[데이터넷] 최근 발생하는 사이버 공격은 취약점 공격 등 기존의 기술 중심 공격을 넘어서고 있다. 신뢰 관계를 이용한 정교한 피싱 공격 혹은 회사 내부에서 사용하는 소프트웨어를 통한 공급망 공 격 등 기술 중심의 체계만으로는 효과적인 방어가 불가능한 형태로 진화하고 있다. 공격의 형태가 변화하면서 9방어 5분석 등의 키워 드로 대표되던 기술적 다단계 방어 체계를 우회한 공격이 크게 증 가하고 있다.

이러한 공격의 변화에 따라 북미를 중심으로 한 해외에서 ‘네트워크 트래픽 분석(NTA)’과 ‘네트워크 위협 탐지와 대응(NDR)’ 시장이 뜨겁게 달아오르고 있다. 전 세계 다양한 제조사들이 다양한 기술과 기능으로 시장에 승부수를 던지고 있지만, 아직 이 기술의 사용 영역과 목적이 명확하게 정의돼 있지 않다.

NTA·NDR 사용영역

<그림 1>은 NTA·NDR 사용영역을 나타낸다. 알려지지 않은 공격 기법을 사용하는 고도의 공격 행위에 대응하기 위한 것으로, 기존에 수행되는 취약점 분석, 사고 대응, 보안 관제 및 모의 공격 영역을 새로운 보안 위협에 대응하기 위해 확장한 것이다. 따라 서 이 장치는 방화벽, IPS 등 방어 체계가 구축·운영되는 환경에서 알려지지 않은 방법을 사용해 수행되는 공격자의 활동을 식별하기 위한 것이다.

이를 위해서는 지속적인 데이터의 수집과(x축) 이를 활용한 위협 헌팅(Threat Hunting) 작업이 수행된다. 관리 대상 네트워크에 불법적으로 권한을 확보한 공격자의 행위로 다양한 통신 사실 정보가 발생하게 되며 이러한 정보는 공격의 진행 정도에 따라 다른 형태로 나타나고 관리 대상 네트워크에 일련의 변화를 소개하게 돼 사용자는 이러한 변화의 추적을 통해 알려지지 않은 방법을 사용하는 공격자를 특정할 수 있게 된다.

<그림 1> 사이버 보안 대응 영역

NTA·NDR 사용 목적

NTA·NDR은 알려진 위협 탐지 중심의 기존 방어 체계를 우회하기 위해 내부망에 침투해 기존의 정보보호 체계에 탐지되지 않은 위협을 데이터 분석기술을 통해 대응하고자 하는 노 력에서 만들어졌다. 아직 그 역할과 기능에 대한 정의가 명확하지 않지만, 분석을 위한 네트워크 트래픽 정보를 생성하고, 데이터 과학, 머신러닝 등 통계기반 데이터 가공을 통해 기존 의 정보보호 장치로는 탐지할 수 없는 위협을 탐지하고자 하 는 점에서 공통점이 있다.

통계적 분석을 수행하기 위해서 가장 먼저 고려해야 하는 것이 분석을 위해 사용하는 데이터의 품질과 형태이다. 데이터의 품질은 분석하고자 하는 ‘사실’이 데이터에 포함되어 있는 가의 문제이며, 데이터의 형태는 이러한 사실을 추출하기 위한 형태를 갖췄는가를 말한다.

전통적인 네트워크 포렌식 영역에서는 이러한 분석에 사용 될 수 있는 데이터의 형태를 크게 아래와 같은 네 가지로 분류한다.

- 네트워크 통계 데이터(Network based Statistical Data)
- 네트워크 세션 데이터(Network Session Data)
- 네트워크 트랜잭션 데이터(Network Transaction Data)
- 네트워크 경보 데이터(Network based Alert Data)

이러한 데이터는 모두 네트워크에서 전송되는 트래픽에서 생성되는 공통점이 있으며 각각의 데이터가 제공하는 해상도 에 따라 분류된 것으로 상위 단계로 이동 시 정확도가 증가하며 하위 단계 이동 시는 정밀도가 증가한다.

데이터 분석에 있어 정확성과 정밀성은 데이터 분석 시 발생하는 오류를 정의하며 사이버 보안 관점에서 정확성은 발생하는 모든 비정상 행위를 인지할 수 있는가의 문제이다.

정밀성은 탐지된 사실이 정탐·오탐을 명확히 식별할 수 있는가를 말하는데, 정밀성만 강조하면, 사안의 경중에 관계없이 하나의 인지된 행위에 대한 분석에 치중해 실질적인 문제를 외면하게 된다. 정확성만 강조하면, 이상 징후의 발생만을 탐지할 뿐 이에 대한 대응방법을 제시하지 못하는 문제점이 발생할 수 있다.

사이버 보안의 문제를 해결하기 위해서는 먼저 정확한 대응을 통해 내부에서 발생하는 수많은 이상 징후 중 비즈니스 연 속성에 가장 중대한 영향을 주는 것을 식별하고 이후 해당 위 협에 대한 정밀한 분석을 통해 이의 발생 원인 및 재발 가능성을 제거하기 위한 업무가 진행돼야 한다.

미국의 사이버 보안 기업 레드실(RedSeal)의 CEO인 로이 로스랑은 자신의 저서 ‘디지털 리질리언스(Digital Resilience)’에서 “사이버 보안은 비즈니스 연속성 보장에 가장 큰 역할을 수행한다. 인가받지 않은 자의 행위를 식별하고 차단해 잠재적 피해를 최소화하며, 필수 업무 수행을 보장할 수 있기 때문”이라고 설명했다.

이를 위해서는 아래의 기준이 충족돼야 한다.

• 비즈니스 연속성을 보장하기 위한 네트워크는 인가받지 않은 행위자의 행위를 빠르게 식별하고 그 행위를 효과적 으로 제한할 수 있어야 한다.
• 이러한 네트워크는 구조적인 접근을 통해 사이버 보안 위 협으로 발생할 수 있는 모든 잠재적 피해를 최소화할 수 있어야 한다.
• 이때 가장 중요한 것은 공격 식별 후 이를 빠르게 격리해 비즈니스 연속성 보장을 위한 필수 업무의 진행을 보장할 수 있어야 한다는 것이다.

이러한 업무 프로세스는 반드시 정확성에서 정밀성으로 이 동하는 방향성을 가져야 하는데 NTA·NDR은 이러한 업무의 진행을 위한 다양한 과정을 하나의 장치에서 해결할 수 있도록 한다.

<그림 2> NTA·NDR 기반 사이버 보안 업무 플로우 예시

NTA·NDR 사용 절차

<그림 2>는 나루씨큐리티의 NTA·NDR 제품인 ‘커넥텀’을 이용한 사이버 위협헌팅 업무절차 예시를 나타낸 것이다. 그림 번호 ①은 네트워크 전반에서 발생하는 여러 현상 중 인가받은 행위와 그렇지 않은 행위를 구분하기 위한 현황인지 과정을 나타낸다. 이 과정에서는 네트워크에서 지속적으로 발생하는 통신을 통해 악성코드에 감염된 컴퓨터를 특정한다. 식별된 통신은 각 사업장의 비즈니스 환경에 따라 필요한 통신, 불필요한 통신, 용도가 명확하지 않은 통신 및 악성 행위에 활용되는 통신으로 분류된다.

②번 과정은 새롭게 발생한 지속 통신만을 필터링해 나타낸 것으로 해당 통신이 발생한 시기, 내부망 다른 호스트와의 연결도, 백도어 여부 및 데이터 유통 현황을 세부적으로 나타낸 다. 각각의 통신사실을 사이버 킬체인에 따른 공격 진행의 단계로 분류한다.

내부망에서 발생하는 다양한 통신을 단순히 하나의 관점에 서 판단하는 것은 매우 어려운 일이다. 따라서 탐지된 위협의 심각도에 대한 기준을 제시해야 하는데 여기에서는 사이버 킬 체인 단계에 따른 공격의 진행 정도로 대응 우선순위를 정하도록 한다.

기존의 방어 체계를 우회한 공격이 발생하는 경우 먼저 공격자는 내부망에 특정 호스트를 장악하고 외부에 신호를 전송하며, 이후 내부 이동을 위해 기존에 발생하지 않았던 연결을 발생시켜 내부망에 지속적 접근을 위한 백도어를 설치하게 된다. 공격을 위한 모든 인프라를 구성한 후 각 거점 간 기존에 존재하지 않던 데이터 유통을 발생시킨다.

정확한 이상 징후 탐지를 위한 데이터 사이언스 기반의 분석 과정을 필요로 하며 이를 위해서는 로그 데이터의 단순 저장 및 검색을 넘어설 수 있는 위협모델과 이를 식별하기 위한 알고리즘의 존재여부가 반드시 확인돼야 한다.

③번 과정은 미식별 통신이 발생시킨 세션 데이터와 트랜잭션 데이터의 확인을 통해 발생된 통신의 이상징후 여부를 확인하는 과정으로 보다 정밀한 분석을 위한 수직적 분석 프로세스 과정을 나타낸다.

데이터 분석으로 악성적 지속 통신임이 확인되는 경우 해당 통신을 ④번 과정으로 ‘악성’으로 표시해 재발생 여부를 확인할 수 있다. 이후 ⑤번 과정을 통해 악성코드 감염이 식별된 호스트와 발생한 내외부 간 통신 사실을 확인하고, 통신사실 확인 시 ⑥번 과정을 통해 발생한 통신의 형태와 교환된 데이터량을 분석해 탐지된 위협과 관련된 모든 내부의 이상징후의 발생과 변화를 추적해 현재 발생한 악성통신은 물론 이와 관 련된 모든 잠재 위협을 지속적으로 감시하도록 한다.

<그림 3> 방어 공간 확장과 사이버 공격 대응 모델

3차원 방어 공간으로 확장

사이버 공간은 공격자와 방어자의 지속적인 맞대응을 통해 변화해 간다. 국내 사이버 보안의 시작이라 할 수 있는 2003년 1·25 대란으로 실질적 취약점 대응이 시작됐고, 2009년 7·7 디도스를 기점으로 국내 주요 영역에 서비스거부공격 대응체계가 수립됐다. 이후 2013년 발생한 3·20 사이버테러 는 공격 대상 사업장에 설치 운영 중인 소프트웨어에 대한 신뢰관계 공격을 통해 기존의 취약점 중심의 대응체계를 위협 대 응 중심으로 이동하게 했다.

이러한 공격의 변화는 기존의 2차원적 방어 평면을 3차원 방어 공간(그림 3)으로 확장됐으며, 이러한 공간에서 발생하는 위협은 단순히 단위 위협에 대응하는 보안장비를 설치하는 것으로는 해결이 불가능하게 됐다.

NTA·NDR은 네트워크 기반 위협 대응체계로 변화한 위협 환경에서 보안 사각지대를 해소할 수 있다. 또한 데이터 사이언스 기반 위협 모델링을 통해 비즈니스 연속성 보장에 저해가 되는 사이버 보안 위협을 효과적으로 탐지할 수 있는 수단이 된다. 이 새로운 기술은 정체된 보안시장의 뜨거운 키워드로 자리 잡게 될 것이다.