[위협 헌팅①] 모든 시스템은 침해당했다

홈 > 뉴스 > 뉴스 > 보안

[위협 헌팅①] 모든 시스템은 침해당했다

시스템 전반에서 공격 흔적·취약점 탐지하는 위협 헌팅 ‘부상’…AI 접목해 지능적 분석 제공

관련기사

[위협 헌팅②] 공격자 전략·전술·절차 예측하고 대응

2018년 03월 21일 14:40:31

김선애 기자

iyamm@datanet.co.kr

‘모든 시스템은 침해당했다’는 사실을 전제로 하는 ‘사이버 위협 헌팅’이 주목받고 있다. 위협 헌팅은 이미 보안 관제, 침해사고 대응, 보안 분석 등에서 활용되고 있으며, 최근 머신러닝, 위협 인텔리전스를 접목하면서 한 차원 더 높은 수준으로 발전하고 있다. 효과적인 위협 헌팅을 위해서는 고급 보안 전문가와 보안 분석 솔루션이 결합돼야 하는 만큼, 보안 전문 인력을 양성할 수 있는 환경의 확장과 고급 보안 분석 기술의 발전이 필수적으로 요구된다.<편집자>

사이버 킬체인, 선제방어, 침해 탐지와 대응, 그리고 사이버 위협 헌팅(Cyber Threat Hunting).

지능형 지속 위협(APT)이 유행하기 시작하면서 보안 방법론은 이러한 흐름으로 발전해왔다. 사이버 킬체인은 록히드마틴이 사이버 공격을 물리적인 공격과 동일한 개념으로 설명하면서 소개한 것이다. APT는 취약점 탐색→ 침투→ C&C 통신·페이로드→ 내부 확장·권한상승→ 정보수집→ 정보 유출, 공격 완료 후 탈출의 단계를 거치며, 각 단계에서 적절한 보안 기술을 적용하는 다단계 보안이 필요하다고 설명했다.

선제방어는 ‘취약점 탐색, 침투, C&C 통신·페이로드’의 초기 단계에 주목한다. 시스템의 취약점을 제거하고, 알려진/알려지지 않은 공격도구와 공격방법을 빠르게 인지해 차단하며, 의심스러운 외부 통신과 페이로드를 차단함으로써 공격 면(Attack Surface)을 줄여나간다.

침해 탐지와 대응은 선제방어가 실패했을 때를 대비한다. 공격자들은 사이버 킬체인, 선제방어에 사용하는 보안 기술을 잘 알고 있으며, 이를 우회하는 방법을 공유하고 발전시키고 있다. 그래서 시스템 내부에서 진행되는 공격을 찾아내 확산을 막고 유사 공격을 차단하는 방법을 사용한다.

이 방법으로도 막지 못한 공격을 찾아 대응하는 것이 사이버 위협 헌팅이다. ‘모든 시스템이 침해됐다’는 것을 전제로, 시스템 전반에서 공격 흔적과 취약점을 찾아 제거한다. 사이버 위협 헌팅은 보안 시스템만으로 수행하기 어려우며, 침해대응 및 분석 전문가의 역량이 필요하다. 위협을 찾는 사람을 ‘사냥꾼(Hunter)’이라고 부르기도 한다.


▲ 위협 헌팅에 대한 관심도(자료: 씨큐비스타, 크라우드 리서치 파트너 ‘위협헌팅 보고서 2017’)

위협 헌팅, 분석도구·사람·프로세스 포괄하는 방법론 제시

사이버 위협 헌팅은 2000년대 중반 미국 공군이 엔터프라이즈 헌트 팀을 구성해 시스템을 주기적으로 전수조사한데서 유래한 것으로, 네트워크와 엔드포인트에서 능동적이고 반복적으로 침해 흔적과 취약점을 탐색한다.

이 개념을 발전시킨 최근의 사이버 위협 헌팅은 일반적으로 보안관제센터(SOC) 내에서 알려지지 않은 공격을 찾는 것을 말한다. 여기에 인공지능(AI) 기술과 전문가의 역량, 공격자 프로파일, IOC 등 여러 분석 도구와 전문성을 더해 한 차원 더 높은 수준의 위협 대응 활동을 하는 것으로 발전하고 있다.

전덕조 씨큐비스타 대표이사는 “침해대응 전문가, 관제 전문가들이 이미 사이버 위협 헌팅을 해왔다. 최근에는 보다 조직적이고 효율적으로 헌팅을 수행하기 위해 적절한 도구, 사람, 프로세스, 의사결정권자 인식을 포괄하는 지능적이고 표적화 된 방법이 제안되고 있다”고 설명했다.

보안 분야에서 사이버 위협 헌팅에 주목하는 것은 선제방어, 탐지와 대응 방식으로도 발견되지 않은 공격이 너무 많기 때문이다. 시스코의 ‘2017 연례 사이버 보안 보고서’에 따르면 기업의 65%는 50개에 달하는 보안 제품을 사용하고 있지만, 파편화돼 운영되기 때문에 관리성이 떨어지고 보안 위협에 효과적으로 대처할 수 없다고 분석하고 있다.

그래서 기업들은 보안 시스템을 통합·운영해 위협 가시성을 높이고자 하지만, 개별 시스템마다 관리방식이 상이해 어려움이 많다. 개별 시스템에서 발생하는 이벤트의 형식이 달라 하나의 시스템에서 통합할 수 없으며, API 공개 범위도 각각 달라 위협 수준을 판단하고 대응하는데 어려움을 겪는다.

파이어아이 조사에서는 공격이 시작된 시점부터 탐지되는 시점까지 평균 99일이 걸리며, 44%의 위협은 자동화된 보안 도구로 탐지되지 않는 것으로 나타났다. 체크포인트는 엔터프라이즈의 83%가 봇에 감염돼 있으며, SMB의 80%는 데이터 유출 사고를 겪었고, 알려지지 않은 신종 멀웨어가 처음 유포를 시작해 타깃 기관의 임직원에 의해 다운로드 되는데 단 34초 밖에 걸리지 않는 것으로 분석했다.