[데이터넷] 사이버 위협이 고도화되면서 대응 기술도 빠르게 진화하고 있다. EPP, EDR을 통해 엔드포인트를 노리는 위협에 대응하는 한편, 위협헌팅을 통해 진행중이거나 완료된 공격을 탐지·분석하고 있다. 마이터 어택·OSINT 등을 이용해 이전에 발생한 공격 유형과 새롭게 발견된 공격을 비교·분석해 효과적인 대응 방안을 찾으면서 보안을 강화하고 있다. 진화하는 위협 탐지와 대응기술을 알아본다.

KISA 랜섬웨어 최신 동향 분석 보고서에 따르면, 2018년부터 2020년까지 랜섬웨어 관련 침해사고가 전체 침해사고 사례 중 약 60%를 차지하고 있다. 최근 랜섬웨어 추이를 보더라도 54%~60%로 꾸준하게 높은 비율을 유지하고 있고, 악성코드까지 포함하면 전체 침해사고 중 약 92%가 엔드포인트 관련 사고다.

랜섬웨어 감염을 위한 대표적인 공격 방법은 악성메일, SNS 등을 이용하는 것이다. 예를 들면, 업무 관련 이메일 등으로 위장해서 첨부파일을 보내고, 담당자가 이메일 첨부파일을 확인하는 순간 감염되도록 하는 방법이다. 또 SNS를 이용해서 링크를 걸어놓고 사용자가 링크에 접속하면 악성코드에 감염되도록 하는 경우가 있다.

이력서를 사칭해서 첨부파일 형태로 HR 담당자에 메일을 발송하거나, 인보이스를 가장 및 공공기관을 사칭해 회계 담당자에게 메일을 발송하는 등 다양한 악성 이메일이 존재한다.

2019년부터 2020년까지 악성 이메일 통계를 보면, 전체 메일 중 50%가 넘는 메일이 악성 이메일로 분류된다. 그 중 첨부파일을 통한 공격이 전체 악성 이메일 중 86%를 차지하고 있다. 이러한 악성 이메일은 엔드포인트를 감염시켜 초기 침투를 시도하기 때문에 엔드포인트 안티바이러스(AV)가 악성메일 대응을 위해 사용돼 왔다.

AV 우회공격이 많아지면서 2010년 초 중반부터는 AV 기능 외에 DLP, 방화벽 등 엔드포인트 보호 기능을 통합한‘엔드포인트 보안 플랫폼(EPP)’이 등장했다.

2015년 중반부터 알려지지 않은 파일 대응을 위해 위협 사냥(Threat Hunting)의 필요성이 대두됐으며, 이 기능을 탑재한 ‘엔드포인트 위협 탐지 및 대응(EDR)’도 등장했다.

 

위협 탐지와 대응을 위해 사용하는 구체적인 기술을 소개하면 다음과 같다.

위협 사냥

기존의 단위 보안솔루션에서 탐지된 이벤트를 SIEM 등에 수집한 후 상관관계와 알림 분석을 통해 침해인지 아닌지 판단하고 대응하는 일련의 활동을 위협 탐지(Threat Detection)라고 한다. 위협 사냥은 내부 위협 및 취약점 여부에 대해 시나리오 기반으로 가설을 수집하고, 기존 보안 솔루션에서 탐지 및 분석이 가능한지 판단하기 위해 로그를 생성함으로써 탐지·대응을 반복 수행하는 것을 말한다.

EDR

위협 사냥을 수행할 때 가장 많이 이용되는 보안 솔루션으로 EDR이 있으며, EDR은 특정 악성코드로 의심되는 파일이 탐지되었을 경우 해당 프로세스가 어떤 행위를 했는지, 의심스러운 악성행위로 판별되는지 등 분석 및 대응할 수 있도록 가시성을 제공한다. 뿐만 아니라 위협 인텔리전스 플랫폼(TIP)과 연동해 EDR에서 탐지된 악성파일이 악성 IP인지 URL인지 해시 기반인지 등 세부 정보를 확인할 수 있다.

위협 인텔리전스

위협 인텔리전스는 EDR에서 탐지한 정보를 기반으로 용이한 분석을 할 수 있다. TIP는 증거를 기반으로 정보를 제공·공유하고 의심스러운 행위를 판단할 수 있도록 해준다. 최근 위협 인텔리전스 분야에서 전략, 전술, 프로세스(TTP)를 강조하고 있는데, TTP란 공격자가 사용하는 전술과 기술적인 기법, 절차의 특징을 정리한 것을 말한다. TTP를 설명하기 위해서는 ‘고통의 피라미드’를 이해해야 한다.

고통의 피라미드 제일 하단에서 MD5와 같은 해시 정보는 공격자 입장에서 제일 변경하기 쉬운 정보다. 벤더 입장에서도 모든 해시 정보를 다 수집해서 대응할 수 없다. 그 위의 IP와 도메인 같은 경우에는 유효 기간이 너무 짧은 경향이 있다.

공격자 입장에서 공격에 성공할 경우 IP나 도메인은 변경하기에 간단하고, 벤더 입장에서는 대응하기가 쉽지 않다. 네트워크/호스트의 아티팩트는 흔적을 찾아야 하기 때문에 대응하기에 어려운 부분이 있고, 툴이나 TTPs는 난이도가 높아 공격자가 공격하기에도 어려움이 있다.

결국 공격 기법 등에 대한 표준화가 필요하고, 이 표준화에 가장 적합하다고 보는 판단 기준이 마이터 어택(MITREATT@CK) 프레임워크다.

마이터 어택 프레임워크

마이터(MITRE)는 미국 비영리단체로, 공격자의 전술, 전략, 프로세스와 공격 및 대응 관련 인텔리전스를 결합한 ‘어택(ATT@CK)’ 프레임워크를 제공한다. 최근 마이터 어택 프레임워크는 하위 기술 ID(Sub-TID)까지 반영된 프레임워크 매트릭스를 공개했다. 마이터 어택 매트릭스는 기본적으로 윈도우 기반 환경을 설명하고 있지만, 최근에는 맥, 리눅스 클라우드, 모바일, ICS까지 확장돼 각 영역별로 점검 세분화를 제공한다.

<그림 2>는 특정 TID를 선택할 때 보여지는 화면으로, 공격자가 어떠한 공격 방법과 기법을 사용해 공격하는지에 대한 설명과 어떤 행위 유형으로 분류하는지 보여준다. 뿐만 아니라 공격을 어떻게 탐지하고 완화할 수 있는지에 대한 설명까지도 함께 제공하고 있다.

TID를 효율적으로 활용하기 위해서는 고객사별로 해당 TID를 탐지할 수 있는 장비가 존재하는지, 장비 로그는 어떤식으로 생성되는지, 해당 로그를 어떻게 관제에 활용할 지 등을 보면 위협 대응에 있어서 더 좋은 효과를 볼 수 있을 것이다. 나아가 공격자별로 사용하는 소프트웨어와 TID 기법에관한 유사도 분석을 통해서 분석을 더 용이하게 할 수 있을 것으로 판단된다.

 

OSINT(Open Source Intelligence)

기존에는 위협 정보를 공개하지 않고, 폐쇄하는 측면이 있지만, 최근에는 오픈 소스 형태로 확장되면서 공유하는 형태로 바뀌었다. 참고할만한 OSINT 레퍼런스는 다음과 같다.

- URL haus: URL haus는 최근 악성코드 URL 정보를 제공하고, 온·오프라인 상태 정보도 제공한다.

- 트위터: 트위터에서는 IOC 정보 공유가 상당히 많이 이뤄지고 있으며, 대표적으로 멀웨어헌터팀(Malwawe HunterTeam) 같은 경우에는 바이러스 토탈에서도 검색이 되지 않는 해시 정보를 자주 제공하고 있다.

- 피시(Phish), 멀웨어 리포트(Malware Report): 그 외에 피싱 아카이브나 글로벌 EPP 벤더들이 발행하는 위협보고서를 주기적으로 취합해 Github에 업로드하는 사이트도 존재한다. 최근에는 벤더들도 악성코드 위협보고서를 발행할 경우 해당 보고서에 관련된 IOC 정보를 공개하는 추세로 가고 있어, 참고용으로 좋은 소스가 될 수 있다.