애플리케이션 보안

웹의 3단계 계층 구조

• 표면 웹 (Surface Web): 일반적인 검색 엔진에 의해 수집 및 노출되는 영역
• 딥 웹 (Deep Web): 수집되지 않는 영역 (예: 사내 망분리 PC, 내부 그룹웨어, 개인 데이터 등)
• 다크 웹 (Dark Web): 특정 브라우저로만 접근 가능한 격리된 영역
• 보안의 핵심: 딥 웹에 있어야 할 정보(내부망 등)가 표면 웹으로 노출되는지 관리하는 것(취약점 진단 및 웹 해킹 방지)

공격 표면 관리 (ASM)

• 정의: 외부에서 접근 가능한 모든 자산을 식별하고 관리

국가 망 보안 체계 (N2SF)

• 개요: 2025년 9월 국가정보원 주도로 수립된 새로운 보안 가이드라인
• 핵심 전략: 데이터를 중요도에 따라 분류하여 차등적 보안 적용
• 제로 트러스트: '아무도 믿지 않는다'는 원칙하에 클라우드 및 공급망 보안을 재설계하는 방법

(토론) Cisco Umbrella가 대응하는 주요 DNS 기반 공격

보안 DNS란?

: 기존 DNS에 위협 인텔리전스 기반 탐지·차단 기능을 결합하여, 악성 도메인 접속, Command & Control 통신, 피싱/랜섬웨어 감염을 사전에 차단하는 보안 통제 기술

1) DNS Cache Poisoning 관련 위협

(1) 공격 개념

DNS Cache Poisoning은 DNS 서버 캐시에 위조된 응답을 삽입하여 사용자를 공격자가 의도한 IP 주소로 연결시키는 공격이다.

(2) Umbrella 대응 방식

Cisco Umbrella는 자체 글로벌 DNS 인프라를 운영하며 DNSSEC를 지원한다. 또한 악성 도메인에 대한 접근 자체를 사전에 차단함으로써 캐시 변조로 인한 피해 확산을 방지한다.

2) DNS Amplification 기반 DDoS 악용

(1) 공격 개념

DNS는 UDP 기반 프로토콜로, 작은 요청에 비해 큰 응답을 생성할 수 있다. 공격자는 이를 이용하여 반사 및 증폭 공격을 수행한다.

(2) Umbrella 대응 방식

Cisco Umbrella는 Anycast 기반 글로벌 인프라를 활용하여 대규모 트래픽을 분산 처리한다. 또한 오픈 리졸버 악용을 방지하고 비정상 트래픽을 필터링한다.

3) Cisco Umbrella의 기능

• DNS Layer Security
• Secure Web Gateway
• Cloud-Delivered Firewall
• CASB(Cloud Access Security Broker)
• Cisco Talos 기반 위협 인텔리전스

4) 동작 원리

1. 조직 내부의 DNS 요청을 Cisco Umbrella 클라우드로 포워딩
2. Anycast 기반 글로벌 DNS 인프라에서 요청 분석
3. 머신러닝 및 위협 인텔리전스 기반 위험 점수 산정
4. 정책에 따라 허용 또는 차단 응답 반환

이 과정에서 공격은 웹 접속 이전 DNS 단계에서 선제적으로 차단된다.

5) 도입 효과

(1) 보안적 효과

• 악성코드 감염 사전 차단
• C2 통신 차단
• 내부 데이터 유출 예방
• 랜섬웨어 초기 단계 차단

(2) 운영적 효과

• 온프레미스 장비 구축 불필요
• 재택 및 원격 근무 환경 보호 가능
• 중앙 집중형 정책 관리

(3) 비용적 효과

• 장비 도입 및 유지보수 비용 절감
• 운영 인력 부담 감소

6) 도입 시 고려사항

1. 내부 DNS 구조 변경 및 포워딩 설정 필요
2. 원격 근무자를 위한 Roaming Client 또는 Agent 배포
3. DNS 로그의 클라우드 저장에 따른 법적·개인정보 보호 이슈 검토
4. 기존 방화벽, SIEM, EDR 등 보안 장비와의 연동 설계
5. 정책 설계 시 조직별 접근 통제 기준 수립