> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[위협 헌팅④] 지능형 SOC 성숙도 높여
성숙된 침해 탐지·대응 역량으로 위협 사냥 … 보안 전문가 역량 상향평준화 해 줄 것
     관련기사
  [위협 헌팅①] 모든 시스템은 침해당했다
  [위협 헌팅②] 공격자 전략·전술·절차 예측하고 대응
  [위협 헌팅③] 능동적 위협 헌팅 위한 분석 도구 필요
2018년 03월 26일 08:41:49 김선애 기자 iyamm@datanet.co.kr

‘모든 시스템은 침해당했다’는 사실을 전제로 하는 ‘사이버 위협 헌팅’이 주목받고 있다. 위협 헌팅은 이미 보안 관제, 침해사고 대응, 보안 분석 등에서 활용되고 있으며, 최근 머신러닝, 위협 인텔리전스를 접목하면서 한 차원 더 높은 수준으로 발전하고 있다. 효과적인 위협 헌팅을 위해서는 고급 보안 전문가와 보안 분석 솔루션이 결합돼야 하는 만큼, 보안 전문 인력을 양성할 수 있는 환경의 확장과 고급 보안 분석 기술의 발전이 필수적으로 요구된다.<편집자>

탐지된 위협 회귀분석해 공격 전반 가시화

공격은 엔드포인트에서 처음 진행되는 만큼, 엔드포인트에서 위협을 찾아내는 것도 중요하다. EDR이 그 도구로 사용되고 있는데, 엔드포인트 백신이 탐지하지 못하는 위협을 찾아 대응할 수 있도록 도와주기 때문이다.

EDR을 이용하는 위협 사냥의 예를 들어보면, 탐지된 공격을 회귀분석 해 전체 공격을 가시화하는 것을 꼽을 수 있다. 엔드포인트에서 과거에 실행되지 않았던 새로운 프로세스가 실행됐는지 정기적으로 검사하고, 새로운 프로세스가 발견되면 행위를 분석해 프로세스 계층구조, 실행 권한, 타임라인 분석 등을 통해 의심스러운 이벤트가 발생하지 않았는지 조사한다.

이것이 위협이라고 판단되면 해당 엔드포인트를 격리 조치하는 한편, 이벤트의 이전 행위와 관련 프로세스의 행위를 분석해 위협의 시작 지점을 찾는다. 전체 통합 검색을 통해 분석된 위협 내용을 포함하는 모든 엔드포인트를 식별하고 격리한다.

   

▲위협헌팅 성숙도 모델(자료: 씨큐비스타)

SOC·IR 역량 높이는 위협 헌팅

사이버 위협 헌팅은 SOC, 침해대응 등의 분야에서 주로 활용된다. 공격이 일어나기 전에 능동적으로 공격자가 노릴만한 허점과 자산을 파악하고 공격 사슬을 끊어내는 사이버 위협 헌팅을 통해 공격 전체 주기를 아우르는 높은 가시성을 확보할 수 있다.

또한 공격자의 흔적을 추적하고 제거하는 과정에서 얻은 노하우와 경험을 보안관제 프로세스에 녹여냄으로써 강화된 대응체계를 구축할 수 있다. 수동적인 성향이 강했던 침해 대응, 디지털 포렌식 등의 분야에 적용될 시 더 큰 시너지를 낼 수 있을 것으로 기대한다.

이글루시큐리티는 CERT에서 제공해온 위협 헌팅 기능을 보다 강화해 고객사의 사업 여건과 환경에 최적화된 서비스를 제공하고 있다. 각기 다른 경험과 역량, 전문 지식을 보유한 전문가들이 다양한 각도에서 내부 위협에 대한 가설을 세우고 이에 기반해 공격자의 TTP를 간파하는 과정을 반복함으로써, 미래의 사고 발생 가능성을 크게 낮출 수 있게 될 것이라고 보고 있다. 또한 국제침해사고대응팀협의회(FIRST), 민관군합동대응팀, C-TAS, 공개 위협 정보(OSINT) 활동에 참여하면서 위협 데이터를 공유하고 사이버 위협 헌팅을 한층 강화한다.

정일옥 이글루시큐리티 팀장은 “지금까지 CERT에서 수행해온 위협 헌팅 기능을 SIEM과 연계되는 AI 기반 보안관제 솔루션과 보안관제 서비스에 접목시키는 데 집중하고 있다. 정기적인 사이버 위협 헌팅 사례 분석과 공유를 통해 사이버 보안 최전선에 있는 보안관제 요원들 역시 보다 강화된 위협 헌팅을 제공한다”고 밝혔다.

위협 헌팅은 사이버 위협을 능동적으로 추적하고 탐지하는 전략으로 기존의 방어 전략으로 대응하지 못했던 고도화된 위협을 찾아낼 수 있다. 그러나 솔루션이나 시스템이 아니라 보안 전문가이 역량에 크게 좌우되며, 자칫 잘못하면 고급 보안 전문가가 초보적인 분석 업무만 수행해 시간과 인력의 낭비가 발생할 수 있다.

위협 헌팅을 위해 새로운 보안 솔루션이나 플랫폼, 탐지 기술이 등장해 시장을 혁신적으로 변화시키지는 않을 것이다. 다만 위협 사냥을 효과적으로 수행할 수 있도록 지원하도록 기술이 발전할 것이며, 보안 전문가의 역량을 상향평준화해 위협 탐지 수준을 보장할 수 있도록 할 것으로 보인다.

황원섭 마이크로포커스 차장은 “위협 헌팅은 전략, ,전술, 절차(TTP) 안에 융합돼 활용될 것이며, 지능형 SOC 성숙도를 올려주는 역할을 하게 될 것이다. 다양한 분석 엔진과 빅데이터 기술, 그리고 이를 활용하는 전문가의 숙련도에 따라 위협 사냥의 속도와 정확도를 높일 수 있는 만큼, 관련 기술의 발전과 전문가 교육 등이 부상할 것”이라고 설명했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  위협 헌팅, 사이버 킬 체인, ATP, 선제방어, 침해 탐지와 대응, 사이버 공격
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr