[데이터넷] 관제팀이 이전에 보지 못했던 신종 해킹툴을 발견했다. 스크립트에 인코딩 돼 있어 백신이나 기타 보안 탐지 시스템을 통과한 것이다. EDR 솔루션이 위협 헌팅 기술을 이용해 인코딩된 형태의 파워셸 구문 실행을 탐지했고, 이를 관제팀에 알려 분석한 결과, 감염된 사용자 PC가 C&C 서버 명령을 받아 코발트 스트라이크 변형 해킹툴이 다운로드 된 것이 확인됐다.

관제팀은 중요 서버와 파워셸 스크립트 발송 PC를 포렌식 분석하고, 피해상황과 침해 경로를 확인한 후 악성코드를 삭제했다. 그리고 EDR 긴급 차단 정책을 전사 적용해 해당 해킹툴 확산을 막았다.

이처럼 공격자들은 보안 솔루션을 우회할 수 있는 다양한 방법을 사용한다. 코발트스트라이크는 정상적으로 사용하는 레드팀 도구인데, 지하시장에서 이를 크랙해 목표 조직의 내부 시스템을 장악하는데 사용되고 있으며, 많은 변종으로 백신 등 시그니처·패턴 기반 보안 솔루션을 우회한다.

이러한 해킹툴을 스크립트에 인코딩시켜 샌드박스 등 파일 기반 분석 솔루션도 우회한다. 파일없는 악성코드는 시스템이 장악된 후 본격적인 공격활동을 시작해야 탐지될 수 있다. 즉 공격이 시작되고 피해가 발생해야 침해당했다는 사실을 알 수 있다. 그래서 더 정교하게 위협 탐지와 대응을 수행하는 EDR, NDR 솔루션이 사용되며, 여기에 전문가의 역량을 더한 MDR도 제안된다.

MDR은 원격보안관제 서비스보다 광범위한 범위에서 위협을 식별하고 대응할 수 있게 하는 보안 서비스다. 엔드포인트와 네트워크 전반에서 이상징후를 찾아 위협을 조기에 식별해 조치하며, 사후분석을 통해 추가 공격을 막을 수 있도록 한다.

엄정용 LG CNS 보안사업 담당은 “MDR은 위협 모니터링과 탐지된 이벤트에 대한 적절한 조치, 침해사고 분석과 대응체계 마련, 취약점 관리를 통한 침해 예방 등을 종합적으로 서비스해 위협 전반을 관리하고 고객의 비즈니스를 보호할 수 있게 한다”고 설명했다.

MDR의 핵심, EDR

LG CNS의 MDR 서비스는 EDR, NDR 및 여러 보안 솔루션을 이용해 위협 징후를 조기에 식별하고, 식별된 이벤트에 대해 플레이북을 기반으로 한 대응, 침해사고 분석으로 해킹경로 파악과 추가 침해 방어, 개선사항 마련을 제안한다. 그리고 취약점 관리로 위협이 발생할 수 있는 가능성을 최대한 줄인다.

엄정용 담당은 MDR에서 매우 중요한 역할을 하는 솔루션으로 EDR을 들었다. 원격보안관제는 방화벽, IPS 등 네트워크 장비에서 수집되는 이벤트를 기반으로 이상징후를 탐지하기 때문에 엔드포인트에서 일어나는 위협 탐지는 제한된다. 앞서 예로 든 탐지 사례가 그 대표적인 예시로, 사용자 PC의 감염을 분석하지 못했다면 공격 경로 분석에 상당한 어려움을 겪었을 것이다.

LG CNS가 탐지한 또 다른 사례 중 하나로, 일반적으로 사용되지 않는 폴더에 공격 스크립트가 생성된 것이 있었다. 업무용 서버 내에 관리자에게 잘 노출되지 않는 시스템 디버그 폴더를 만들어 정보 유출을 위한 공격 스크립트 파일을 생성했다. EDR이 이를 탐지해 관제팀에 알렸으며, 분석 결과, 이 스크립트 파일은 백신을 우회하기 위한 해킹툴이었다. 관제팀은 이를 삭제하고 침해경로를 확인해 사용된 취약점을 제거하고 관련 IP를 즉시 차단했다.

엄정용 담당은 “EDR의 행위분석과 위협헌팅 기술은 지능적으로 보안을 우회하는 시도를 정확하게 탐지할 수 있게 한다. 플레이북 혹은 커스터마이징 된 룰, 국내외 위협 인텔리전스 정보를 활용해 이상행위를 확인하고 조치할 수 있다”며 “LG CNS는 전문 CERT 조직과 함께 통합보안센터에서 EDR에서 식별된 위협 정보를 확인하고 적시 대응해 고객의 비즈니스를 보호하며, 침해 경로 등을 분석해 취약점이나 잘못된 정책을 찾아 조치할 수 있도록 한다”고 설명했다.

업무 연속성 보장하는 EDR 필수

LG CNS는 제로 트러스트 전략의 일환으로 MDR에 EDR을 적용했다. 제로 트러스트의 핵심은 ‘지속적인 검증과 모니터링’이다. 최소권한 정책을 적용해 모든 접근을 검증하고 모든 행위를 모니터링하는 제로 트러스트를 적용하면 업무 불편이 심해진다.

엄정용 담당은 “제로 트러스트 성공을 위해서는 업무 편의성을 보장하면서 이상징후를 신속하게 탐지하고 대응하면서 사업의 연속성을 유지할 수 있어야 한다. 클라우드·재택근무로 복잡해지는 업무 환경에서도 최소권한 원칙에 따른 애플리케이션 접근 및 권한 정책을 적용해야 하며, 중앙집중 통제를 유지할 수 있어야 한다”며 “사용자 환경을 저해하지 않으면서 정확하게 이상행위를 탐지할 수 있는 EDR이 필수”라고 설명했다.

EDR은 엔드포인트 행위를 분석하고 위협을 식별하는 솔루션으로, PC·서버뿐만 아니라 클라우드 워크로드, 가상머신, 컨테이너 등 다양한 환경에서의 이상행위를 식별할 수 있어야 한다. 애플리케이션과 파일서버, 웹 등의 위협도 파악해 엔드포인트에서 어떤 애플리케이션이 구동되고 있는지, 어떤 권한을 허용해야 하는지 정확하게 판단할 수 있어야 한다. 또 랜섬웨어, 제로데이 공격 등 지능적인 위협을 식별하고 대응할 수 있어야 하며, 오탐 없이 정확한 탐지로 보안조직의 업무를 줄여야 한다.

EDR 솔루션의 대표주자인 VM웨어 카본블랙은 이러한 EDR의 요구를 모두 만족한다. 카본블랙은 보안 효율성을 크게 향상시키고, 보안 인시던트 당 조사 시간을 7.5시간 줄여 3년간 379%의 ROI 개선효과를 제공한다. 랜섬웨어 복원 기능을 제공해 피해 시 이상행위가 발생하기 전으로 시스템을 복원시킬 수 있어 랜섬웨어 공격 시에도 비즈니스 연속성을 보장할 수 있게 한다.

칼빈 차이 VM웨어 네트워크·보안 시니어 마케팅 디렉터는 “공격자는 평균 9개월동안 네트워크에 머물며, 탐지되기까지 277회의 이상행위를 한다. 이들은 합법적인 기술과 프로토콜을 사용하기 때문에 기존의 이상행위 분석 기술로는 탐지할 수 없다. 정교한 행위분석을 지원하는 탐지 기술이 필요하다”며 “VM웨어는 모든 환경, 소스에서 위협을 효과적으로 제어해 보안위협이 높아지는 클라우드에서도 고객의 비즈니스 성장을 돕고 있다. 한국의 고객도 VM웨어와 함께 안전하게 디지털 혁신을 통한 비즈니스 경쟁력 향상을 도모하길 바란다”고 밝혔다.

보안위협 높아지는 멀티·하이브리드 클라우드서 고객 비즈니스 보호

VM웨어는 카본블랙을 포함하는 XDR 전략도 공개하고 있다. 엔드포인트의 이상행위를 정교하게 분석하고 탐지하는 기능 외에도 포괄적인 네트워크 가시성과 효과적인 위협 헌팅, 빠른 탐지와 응답을 탑재하면서 XDR 기능을 확장하고 있다.

특히 NSX를 통해 지원하는 NTA/NDR, IDS를 통해 XDR 전략을 한층 강화한다. 더불어 광범위한 XDR 에코시스템을 통해 모든 소스에서 위협 정보를 수집해 정확한 위협 대응을 지원, 성숙도 높은 XDR 전략을 이행할 수 있게 한다.

김한기 VM웨어코리아 상무는 “VM웨어의 XDR 전략은 엔드포인트와 클라우드에 대한 고급 위협 탐지 및 대응 기능에 네트워크 위협 탐지·대응 및 분석 기술을 통합하고, 단일 에이전트, 단일 뷰를 통한 침해사고 대응을 지원하는 것이다. 멀티·하이브리드 클라우드 환경에서도 공격자의 침투와 수평이동을 확인하고 차단하며, 공격이 피해로 이어지지 않도록 제어할 수 있게 한다”고 설명했다.

김한기 상무는 “클라우드 가속화로 공격표면이 확장되고 있으며, 보안을 우회해 공격자들이 침투할 수 있는 가능성이 더 높아지고 있다. 그래서 모든 공격 가능한 지점에서 위협 정보를 수집해 통합 분석하는 XDR의 수요가 증가하고 있으며, 전문 보안 대응 조직의 역량을 결합한 MDR에 대한 관심도 높아지고 있다. 또한 한국 환경에 최적화된 서비스를 요구하는 고객도 늘어나고 있다”며 “VM웨어는 LG CNS와 함께 국내 고객 맞춤형 고급 위협 탐지 및 대응 서비스를 제공하고 있다”고 말했다.