[2023년 9월] -실전! 제로트러스트(ZeroTrust)를 적용해 보자.(2편)

이번 블로그에서는 지난편에서 설명한 성숙도 모델을 기반으로 제로트러스트를 구현하기 위한 실제적인 방법에 대해서 알아 보겠습니다. 

 

가장 중요한 점은 ‘우리는 이미 제로트러스트를 위한 요소를 보유하고 있으며 현재도 진행 중이다’ 라는 점을 이해하는 것 입니다. 

 

우리는 이미 제로트러스트를 위한 여정을 시작했습니다. 모두 같은 지도를 들고 같은 곳을 바라보고 있지만 가는 방법은 다를 수 밖에 없습니다.

 

각자의 상황에 맞게 한걸음씩 내 딛는다면 언젠가 우리는 목표한 곳에 이르게 될 것입니다. 지금 한 걸음을 떼는 것이 중요합니다. 

지난 7월 24일 GSC(Genians Security Center)는 북한 연계 해킹그룹의 소행으로 분류된 새로운 공격 징후를 포착했습니다. 

 

공격자는 국제 비정부단체에서 운영하는 페이스북 내용을 그대로 모방해 정교한 피싱 사이트를 개설, ‘Browser In The Browser(BitB)’ 공격 기술을 사용했습니다.

 

BitB 공격 기술은 웹 브라우저 내부에 인증 용도로 조작된 또 다른 팝업 창을 추가로 보여주는 피싱 수법입니다. 이때 웹 브라우저 화면과 URL 내용은 신뢰 가능한 공식 주소처럼 보이게 디자인이 가능합니다. 

 

GSC는 본 피싱 공격이 BitB 공격 기술을 절묘하게 사용한 점에 주목했습니다. 이번 보고서 사례처럼 외관상 보여지는 URL 주소의 진위여부를 판단하는데 보다 세심한 주의와 관심이 필요한 이유입니다.