‘모든 시스템은 침해당했다’는 사실을 전제로 하는 ‘사이버 위협 헌팅’이 주목받고 있다. 위협 헌팅은 이미 보안 관제, 침해사고 대응, 보안 분석 등에서 활용되고 있으며, 최근 머신러닝, 위협 인텔리전스를 접목하면서 한 차원 더 높은 수준으로 발전하고 있다. 효과적인 위협 헌팅을 위해서는 고급 보안 전문가와 보안 분석 솔루션이 결합돼야 하는 만큼, 보안 전문 인력을 양성할 수 있는 환경의 확장과 고급 보안 분석 기술의 발전이 필수적으로 요구된다.<편집자>
글로벌 인텔리전스, 헌팅에 필요한 데이터 제공
사이버 위협 헌팅은 내부에서 수집하는 위협 인텔리전스와 외부의 위협 인텔리전스를 통합해 분석함으로써 탐지 정확성을 높인다. 외부 위협 인텔리전스는 바이러스토탈, 사이버 위협 연합(CTA)과 같은 글로벌 서비스를 이용할 수 있으며, SK인포섹의 ‘시큐디움 인텔리전스’, 이스트시큐리티의 ‘쓰렛 인사이드’ 등 국내에 특화된 인텔리전스 서비스를 활용할 수도 있다. 한국인터넷진흥원은 국내 보안기업과 연합해 위협정보를 공유하는 ‘C-TAS’와 글로벌 기업들도 참여하는 ‘CAMP’를 운영하면서 국내외 위협 정보를 수집하고 침해대응 역량을 높이고 있다.
시만텍의 위협 인텔리전스 서비스인 ‘글로벌 인텔리전스 네트워크(GIN)’는 전 세계 57개국에 설치된 9800만 개의 센서를 통해 위협 데이터를 수집한다. 수집된 데이터 규모는 9조행에 이르며, 매일 3억3600만개의 이메일과 24억건 이상의 웹 요청을 필터링하고, 500만개 이상의 함정 계정을 통해 데이터를 취합해 매일 85억개의 이메일 메시지와 17억개 이상의 웹 요청을 처리한다.
사이버 위협 헌팅 과정에서 네트워크 가시성을 확보하기 위해서는 엔드포인트, 로그, 트래픽, 호스트 스캔 정보 등을 분석할 수 있어야 한다. 시만텍은 네트워크 포렌식 솔루션 ‘시큐리티 어낼리틱스(SA)’와 차세대 백신 ‘SEP’, 엔드포인트 침해 탐지 및 대응(EDR) 솔루션으로 이러한 요구를 만족시킨다.
시만텍의 보안 솔루션 포트폴리오는 통합 사이버 보안 플랫폼(Integrated Cyber Defense Platform)으로 작동하며, GIN과 연계해 새로운 위협에도 대응할 수 있다. 이 플랫폼은 온프레미스부터 클라우드까지 이르는 전방위적인 보안 프레임워크를 형성할 수 있도록 하고, 사이버 위협 헌팅에 도움을 준다.
네트워크-엔드포인트 위협 가시성 확보해야
위협 헌터들이 사용할 수 있는 도구로 보안정보 이벤트 관리(SIEM), 네트워크 포렌식, EDR 등이 있으며, 이를 IDS/IPS, DLP, 백신, IAM 등에서 탐지된 보안 이벤트와의 연관성을 통합해 분석하면 보다 정밀한 위협 사냥이 가능하다. 또한 로그, 트래픽, 호스트 스캔 정보 등을 하나의 UI를 통해 분석할 수 있는 통합 분석 플랫폼이 유용하게 사용되며, 고도화된 탐지 징후(IOC) 제공과 능동적 위협 헌팅을 위한 분석 환경을 제공할 수 있어야 한다.
조남용 한국델EMC RSA 이사는 “예를 들어 SEIM을 통해 멀웨어를 탐지한다면 특정 패턴 정보 확인만 가능하다. 네트워크 포렌식, EDR을 연동하면 멀웨어가 어떻게 네트워크에 들어 왔으며, 어떤 비정상 행위를 했는지, 얼마나 많은 자원에 영향을 줬는지 등을 확인할 수 있다”고 설명했다.
‘RSA 넷위트니스 스위트(NetWitness Suite)’는 10여년간 위협 헌터들이 사용해 온 도구로, 로그와 패킷, 엔드포인트에서 위협을 분석해 위협 헌팅에 최적화된 통합된 분석 UI를 제공한다. 국내 제조기업과 은행, 공공기관 등에서 넷위트니스 제품군을 이용해 위협을 찾아내고 있으며, 침해대응(IR) 서비스를 통해 RSA 소속의 숙련된 사이버 헌팅 전문가가 주기적으로 고객사를 방문해 선제적으로 분석하고 위협 대응 행위를 수행한다.
머신러닝 기반 네트워크 행위 분석(NTA) 솔루션 다크트레이스도 위협 사냥에 유용하게 사용되고 있다. 고급수학 알고리즘을 적용해 네트워크 패킷의 이상행위를 찾아내고, 고급 시각화 기술을 적용해 위협대응조직이 위협을 정확하게 탐지하고 대응하도록 한다.
마이크로포커스는 SIEM 솔루션 ‘아크사이트(ArcSight)’에 위협 헌팅을 위한 ‘인베스티게이트(Investigate)’, 사용자·계정 행위 분석 솔루션 ‘아크사이트 UBA’를 포함시키고 있다. 이 제품은 글로벌 소프트웨어 기업 M사와 통신사 T사에 구축해 위협 사냥에 이용하도록 하고 있으며, SOC 성숙도를 높이는 역할로 사용되고 있다.
황원섭 마이크로포커스코리아 차장은 “아크사이트는 강력한 분석 기능을 가진 맞춤형 상관관계 엔진을 갖고 있으며, 머신러닝 통해 알려지지 않은 위협까지 찾아낼 수 있다. 새로운 IOC 식별과 실시간 모니터링 능력이 탁월하다”며 “오픈아키텍처를 통해 다양한 분야의 전문 기업, 기관과 파트너십을 맺고 있다”고 말했다.
