> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
‘위협 헌팅’ 유행…“시스템 침해사고는 현재진행형”
전사 시스템에서 침해 흔적 찾아 대응 방안 마련해야…고급 위협 분석가 수요 늘 것
     관련기사
  블록체인 오해와 이해 … 블록체인은 비트코인이 아니다
2018년 01월 15일 11:00:31 김선애 기자 iyamm@datanet.co.kr

2018년 이후 가장 수요가 높을 것으로 예측되는 기술로는 인공지능(AI), 디지털 보안, 사물인터넷(IoT) 등이 꼽힌다. 특히 인공지능은 디지털 보안과 사물인터넷과 관련한 문제 해결에 핵심적인 역할을 수행할 전망으로 다양한 분야에 접목되면서 인공지능에 대한 투자가 빠르게 늘고 있다. 뿐만 아니라 소프트웨어 정의, 클라우드, 5G 등 IT 인프라의 정의를 새롭게 써내려가고 있는 상황으로 2018년은 4차 산업혁명을 위한 기반 인프라가 본격적으로 조성되는 한해가 될 전망이다. 특히 가트너는 기업의 80%가 2021년까지 혁신을 위한 경쟁에서 도태되거나 자체적 혁신에 실패함으로써 시장 점유율의 약 10%를 잃을 것으로 예상하는 등 기업의 디지털 트렌스포이션은 선택이 아닌 필수가 됐다. 기업의 디지털 경제 시대 생존법이자 성장동력으로 주목받는 새로운 기술과 트렌드를 짚어본다. <편집자>

전통적인 APT 대응 전략으로 록히드마틴의 ‘사이버 킬 체인’이 일반적으로 사용됐다. ‘탐색-침투-C&C 통신 및 악성 페이로드-수평확산-인증정보 탈취-정보수집-정보 유출 및 탈출’로 이어지는 사이버 킬 체인은 APT 공격을 패턴화해 각 공격 단계에 맞춘 단계별 방어 정책을 만들도록 했다.

몇 년 전부터는 ‘적응형 보안’이 유행했다. 탐지, 대응, 예측, 예방으로 이뤄진 4개의 순환되는 프로세스 내에서 방어 전략을 운영한다는 것이다.

사이버 킬 체인은 내외부 통신의 이상행위를 찾아 실시간으로 차단하는 것에 중점을 두었지만, 완벽한 차단은 불가능하기 때문에 이미 진행된 위협을 탐지하고 대응책을 마련하며, 발견된 정보를 기반으로 다음의 공격을 예측하고 예방책을 만드는 과정을 순환반복하는 것이 적응형 보안의 핵심 내용이다.

이제는 ‘위협 헌팅(Threat hunting)’이 유행하고 있다. 2013년부터 사용되고 있는 위협헌팅은 선제방어 중심의 보안 전략은 실패한다고 여기고, 이미 해킹을 당했다는 사실을 전제한 후 공격을 탐지·대응하는데 무게를 둔 개념이다. 밀림에서 사냥하듯, 전사 시스템에서 위협 사냥꾼(Threat hunter)이 침해흔적과 취약점을 찾아 대응책을 마련한다는 것이 주요내용이다.

IOC·공격자 프로파일 이용해 침해조사 효율화
위협 헌팅에 필요한 핵심 요소는 IOC, 머신러닝, 가시화를 들 수 있다. IOC는 시그니처와 다르다. IOC는 침해사고 시 반드시 나타나는 침해 흔적을 분류한 것으로 포렌식 조사를 통해 축적된 정보를 기반으로 하고 있어 침해조사에 도움을 준다.

IOC와 함께 공격자 프로파일을 이용하면 침해조사 속도를 더 빠르게 할 수 있다. 공격그룹은 각각 선호하는 공격 방식이 있다. 침해사고에서 나타난 증거를 프로파일과 비교해 유력한 용의자가 있다면 해당 공격그룹이 이전에 단행한 공격을 기준으로 분석하고, 결과를 더 빠르게 도출할 수 있다. 공격증거는 범죄수사에 활용할 수 있는 증거로 제출될 수도 있다.

위협을 탐지하고 조사하는 분석가를 위협 사냥꾼이라고 부르는데, 사냥꾼들은 어디에서 침해가 발생했는지 모르고 탐지에 나서기 때문에 전사 시스템에서 위협 정보를 수집해야 한다.

모든 시스템의 로그와 네트워크 패킷을 수집하고 분석해 침해흔적을 찾는다. 방대한 양의 데이터를 분석하기 위해서는 머신러닝 기술이 반드시 필요하며, 위협 인텔리전스, IOC 등 외부 위협 정보도 필요하다.

머신러닝은 수집된 데이터를 학습하면서 이상한 징후를 포착해 분석가에게 알린다. 분석가는 위협 순위 지표에 따라 분석 우선순위를 정하고 분석해나가면서 실제 공격이 있었는지, 공격이 어떻게 진행됐으며, 피해규모는 어떤지, 현재 확산되고 있는 공격인지 소강상태인지 등을 살펴보고 대책을 제안한다.

모의침투테스트로 취약점 사전 제거
위협을 가시화하는 것은 연관된 위협을 추가로 찾아내는데 도움이 된다. 어떤 시스템이 침해를 당했으며, 어떤 취약점을 이용당했는지, 내부에 악의적인 조력자가 있는지 혹은 수시로 보안정책을 어기는 직원이 있는지 등을 직관적으로 보여줘 추가 조치를 취할 수 있도록 한다.

공격에 이용되는 시스템은 취약점이 공격자에게 노출돼 있다는 뜻이므로 즉시 격리하고 어떤 공격에 이용됐는지 면밀히 살펴보고 공격이 진행되는 과정을 추적해 대응방안을 마련해야 한다.

위협 사냥은 레드팀과 블루팀으로 나누어 모의침투테스트를 하는 것도 필요하다. 공격자와 똑같은 방법으로 침투테스를 실시한 후 취약점을 파악해야 한다. 자동화된 방어 시스템으로 공격의 상당부분은 막을 수 있지만, 지능적이고 전문적으로 진행되는 공격은 고급 분석 전문가인 위협 사냥꾼의 몫이다.

물론 위협 사냥의 일정 부분은 자동화 솔루션으로 진행할 수 있다. 차세대 관제 시스템, 지능형 모니터링 시스템, 진화한 탐지·대응 시스템 등을 이용하면 전 사 시스템에서 사람이 미처 발견하지 못한 위협을 찾아낼 수 있으며, 전문가의 업무를 크게 줄일 수 있다.

그러나 시스템이 판단하지 못하는 위협은 전문가의 역량에 의지하게 될 것이다. 향후 위협 사냥꾼이라고 불리는 보안 전문가 수요는 크게 늘어날 것으로 기대되며, 침해대응 역량을 갖춘 고급 전문가의 몸값은 크게 뛰어오를 것으로 예상된다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

 
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr