‘모든 시스템은 침해당했다’는 사실을 전제로 하는 ‘사이버 위협 헌팅’이 주목받고 있다. 위협 헌팅은 이미 보안 관제, 침해사고 대응, 보안 분석 등에서 활용되고 있으며, 최근 머신러닝, 위협 인텔리전스를 접목하면서 한 차원 더 높은 수준으로 발전하고 있다. 효과적인 위협 헌팅을 위해서는 고급 보안 전문가와 보안 분석 솔루션이 결합돼야 하는 만큼, 보안 전문 인력을 양성할 수 있는 환경의 확장과 고급 보안 분석 기술의 발전이 필수적으로 요구된다.<편집자>
전문 분석가 역량 가장 중요
공격자들은 수많은 공격기법과 공격도구를 사용하며, 증거를 조작하고 정상 프로세스로 위장해 탐지를 어렵게 만든다. 가트너는 2020년 기업이 공격과 탐지에 대응하는데 1130억달러(약 130조원) 가량을 지출할 것으로 예상한 바 있다. 이제 공격을 당하지 않는 조직이나 사람은 없으며, 이미 모든 시스템이 해킹 당했다는 것을 전제로 보안 전략을 짜야 한다.
이러한 배경에서 주목받고 있는 사이버 위협 헌팅은 네트워크와 엔드포인트에서 발생하는 행위를 분석하고, 다양한 위협정보와 연계해 분석하며, 데이터 시각화를 통한 위협 탐지, 머신러닝을 이용한 이상행위 탐지 등을 수행한다. 로그, 패킷 뿐 아니라 사용자 인증 정보, 시스템 접근 정보 등 모든 IT 시스템에 남아있는 정보를 분석한다.
사이버 위협 헌팅은 ▲정상 수준을 벗어나는 내부 위협을 사전에 도출하고 ▲공격자의 전략, 전술, 절차(TTP)를 예측하는 반복과정을 통해 ▲적정한 보안 수준을 유지하고 ▲미래의 사고 발생 가능성을 낮추는 것이라고 정리할 수 있다.
사이버 위협 헌팅에서 가장 핵심적인 요소는 ‘사냥꾼’이라고 불리는 전문가다. 사냥꾼은 자동화된 탐지 시스템이 찾아내지 못한 정교하고 은밀한 위협을 찾아내며, 침해사고 분석, 보안관제, 침해대응, 모의해킹, 취약점 탐지 등에서 전문성을 갖춰야 한다. 데이터 과학자 수준의 위협 분석 기술을 갖춰야 하며, SOC와 IR 프로세스에서 의심스러운 행동을 통합 조사할 수 있어야 한다.
정일옥 이글루시큐리티 관제기술연구팀장은 “성공적인 위협 헌팅은 인간의 행동에 근거하기 때문에 고도로 숙련된 기술과 경험이 많은 전문가가 필요하다. 보안 시스템을 우회해 진행되는 지능형 공격을 찾아내기 위해서는 침해대응 역량 뿐 아니라 위협 데이터의 연계 분석, 데이터 시각화, 머신러닝, 디지털 포렌식 등 여러 기술을 능숙하게 이용할 수 있으며, 다년간의 헌팅 경험과 지식을 보유한 보안 전문가가 요구된다”고 설명했다.
위협 헌터는 특정한 직군에 속한 사람들로 제한할 수 없다. 보안관제, 침해대응, 보안분석, 화이트해커 등 여러 전문 분야에서 활동하면서 경력을 쌓은 사람들로 구성될 수 있으며, 네트워크, 보안 및 기타 다른 분야와 협업해 비즈니스를 위협하는 실제 공격을 효과적으로 찾아낼 수 있다.
머신러닝·위협 인텔리전스·시각화 분석 기술 필수
위협은 방대한 범위에서 발생하기 때문에 전문가에만 의존해서는 막을 수 없다. 일반적이고 패턴화 된 공격을 차단하는 한편, 전문가의 분석 업무를 효율화하고 역량을 높일 수 있는 기술도 수반돼야 한다.
위협 헌팅에 사용되는 기술은 모든 시스템에서 위협 데이터를 수집해 공격자가 기업의 어떤 정보 자산·인프라를 노릴 수 있는지 파악할 수 있어야 하며, 어떤 경로로 침투할 수 있는지, 왜 공격을 시도하려고 하는 것인지 등을 예측할 수 있어야 한다. 이에 필요한 기술은 빅데이터, 머신러닝, 데이터 웨어하우스, 시각화 분석, 위협 인텔리전스 등이 꼽힌다.
위협 헌팅에 사용될 수 있는 보안 솔루션의 종류는 많지만, ‘위협 헌팅 도구’라는 이름을 자신 있게 내세우는 솔루션은 많지 않다. 대부분 관제 시스템에서 사용되는 위협 탐지와 모니터링, 분석 시스템이 위협 헌팅 도구로 사용되며, 머신러닝 기술을 이용해 분석가의 업무를 줄이고 헌팅 효율성을 높이고 있다.
씨큐비스타는 네트워크와 엔드포인트에서 AI를 활용해 위협 헌팅을 도와주는 자동화된 솔루션을 출시하고 시장을 만들어나가고 있다. 네트워크 기반 사이버 위협 헌팅 솔루션 ‘패킷사이버(PacketCYBER)’는 악성코드 탐지, 네트워크 이상 탐지, 모든 통신과 파일에 대한 메타데이터 기록을 통한 고속 분석, 컨텍스트 분석, 히스토리 분석을 지원한다.
패킷사이버는 한 지방자치단체 CCTV 폐쇄망에 적용돼 글로벌 샌드박스 솔루션과 네트워크 이상탐지 솔루션으로 찾아내지 못한 위협을 찾아냈다. 패킷사이버는 학습이 불필요한 네트워크 이상 탐지 기능을 통해 다수의 네트워크 이상 행위를 탐지하고 메타데이터를 통한 컨텍스트 분석을 제공했다.
