오탐은 위협이 아닌 것을 위협으로 간주하면서 나오는 경고를 말한다. 이는 보안 전문가들의 하루 일과를 매우 피곤하게 만드는 주범으로 알려져 있다. 그런데 이 오탐도 다시 생각해봐야 한다는 주장이 나왔다.
[보안뉴스 문가용 기자] ‘오탐’은 사이버 보안 업계에서는 공공의 적과 같다. 특히 많은 보안 업체들이 ‘이 오탐 때문에 진짜 경고를 사람들이 지겨워하고 넘겨듣게 된다’고 주장하기 시작하면서 ‘오탐’은 더더욱 몹쓸 것이 되어버렸다. 그러니 고객사들은 점점 더 이런 질문을 하게 되었다. “오탐지 비율이 어떻게 되나요?”
[이미지 = utoimage]
물론 계속해서 발생하는 오탐이 수많은 보안 담당자들을 괴롭히는 건 사실이다. 그런데 이건 단순히 ‘탐지 기술의 오류’라고만 말할 수는 없다. ‘탐지 논리’가 부정확하게 설정이 되었기 때문에 발생하는 오탐도 상당히 많다. 정확히 뭘 탐지해야할지를 규정하지 않으면 제 아무리 좋은 탐지 기술이라도 헤맬 수밖에 없고, 이는 당연히 다량의 노이즈라는 결과를 낳는다. 규정이 어려운 이유는 관리자의 행동 패턴과 공격자의 행동 패턴 중 겹치는 게 있기 때문이다. 그러니 오탐을 줄이려면 사용자 편에서의 명확하고 세밀한 규정 정립도 있어야 한다.
예를 하나 들어보자. 회사에서 사용하고 있는 비밀번호 관리자가 공격이 없는데도 ‘비밀번호 스프레이 공격’과 같은 행동 패턴을 보인다고 하자. 이런 현상이 탐지되고 경고로 나왔다고 치자. 이는 ‘오탐’일까? 아니다. 이 탐지 덕분에 화이트리스트의 목록을 늘리고, 탐지 논리를 보다 정확하게 다듬어, 다음부터는 같은 상황에서 오탐이 나오지 않도록 만들 수 있다. 그렇다면 이것이 정말 쓸모가 하나도 없고, 경고에 대한 피곤함만 늘리는 것일까? 어쩌면 ‘에이, 오탐이었네’라고 하는 순간에 유용한 정보가 오탐으로 둔갑하는 건 아닐까?
재미있는 건 이런 오탐 비율이 낮아지는 게 마냥 긍정적인 사용자 반응을 이끌어내는 게 아니라는 것이다. 당신이 A라는 제품을 쓰고 있었다고 가정하자. 그 제품은 하루에 수백 개의 경보를 울렸다. 오탐이 상당히 섞여 있었다. 그래서 당신은 B라는 제품으로 바꿨다. 경보가 0으로 줄었다. 당신의 하루는 평온해졌을까? 아니다. 수백 개 울리던 경고에는 중독성이 있다. 여기에 오탐이 섞여 있다는 걸 알아도 그 수가 갑자기 줄어들면 어딘가 허전하고, ‘이게 맞는 걸까?’라는 의심이 든다.
‘오탐’에 대한 업계의 대처 방식 자체가 조금은 달라져야 할지도 모른다. ‘왜 이런 경고가 나오는가? 어떤 행동 패턴이 이 경고를 야기했는가? 그 행동은 이미 이뤄진 것인가, 아니면 이뤄질 가능성이 높은 것인가? 그 행동이 앞으로 다시 발생해도 괜찮은가 아니면 대처를 해야 하는가?’라는 식으로 말이다. 오히려 오탐을 통해 위협의 정의를 보다 분명히 하고, 여기에다가 산업 전체 혹은 국가 전체의 표준을 결합하면 어떨까? 지금처럼 ‘오탐은 조건반사적으로 무시해도 된다’는 분위기보다 얻어갈 것이 더 많지 않을까?
탐지된 이상 현상을 점검할 때, 우리는 과거 어디선가 본 것 같은 느낌을 받으면 오탐이라고 정의하고 지워버리는 경우가 많다. 시그니처를 보니 평상시의 익스체인지 트래픽 정보가 담긴 파일이라서 무시했는데, 나중에 다시 보니 비정상적으로 많은 POST가 처리되고 있었다거나, cmd.exe와 계속 상호작용을 하고 있었다는 식의 이야기는 이 계통에 있으면서 심심찮게 듣는다. 즉 ‘예전에 봤던 것’이라고 가정하고, ‘그러니까 괜찮다’고 한 번 더 가정하는 과정이 우리의 분석에 알게 모르게 개입한다는 것이다. ‘노이즈’ 혹은 ‘오탐’이라는 보안 전문가들의 오랜 적은 사실 그런 우리의 쉬운 가정의 성향 속에 있는 건 아닌가 모르겠다.
그래서 중요한 게 ‘시그니처’가 아니라 ‘행동 패턴을 분석하는 것’이다. 공격자들이 어떤 환경에 침투하기 위해 할 수 있는 행동의 가짓수는 한정적이다. 공격 도구와 전술의 발전이 있는 건 사실이지만, 그럼에도 무한하게 새로운 공격을 무한한 빈도로 할 수는 없다. 예를 들어 워드라는 애플리케이션을 공격에 활용하는 공격자의 경우, 거의 대부분 매크로를 발동시키는 전략을 구사한다. 실제 공격은 이 매크로로부터 시작되는 것으로, 사용자가 매크로를 활성화시키는 순간 워드는 기존과는 다른 행동 패턴을 선보인다.
이 ‘다른 행동 패턴’이란 대부분 워드 프로세스인 winword.exe가 cmd.exe나 powershell.exe와 같은 다른 프로세스들을 만드는 것으로, 이 프로세스들을 통해 백도어 같은 멀웨어가 피해자의 기계에 로딩된다. 공격자들이 백도어 로더로서 코발트 스트라이크(Cobalt Strike)와 같은 정상적인 도구를 사용하면 백신은 공격이 여기까지 진행되도록 아무 것도 탐지하지 못할 가능성이 높다. 그러므로 워드에서 스포닝된 프로세스들을 파악하면 할수록 이런 식의 공격을 더 빨리 탐지할 수 있게 된다.
시그니처 기반 탐지 기술에도 쓸모가 있다. 그러나 한계도 분명하다. 한 IP 주소에서 10분 안에 최소 20명의 사용자들의 계정에 로그인을 시도했지만 실패했다는 탐지 보고를 받으면, ‘비밀번호 스프레이 공격’이 나타나고 있다는 걸 알 수 있다. 하지만 단순히 10분 동안 20명의 사용자가 로그인에 실패했다는 기록이 남으면 어떨까? 많은 조직들에서 이는 ‘오탐’으로 간주된다. 기록이 어디서부터 어디까지 남느냐, ‘행동’을 위주로 한 정보냐, 아니면 평면적인 현상을 기록한 것이 전부냐에 따라 해석이 완전히 달라지는 것이다.
행동 패턴을 탐지하는 건 내부 보안 성숙도 향상에 큰 도움이 된다. 행동 패턴을 모니터링하면 네트워크 내부에서 발생하는 현상들에 대한 보다 깊은 이해도가 장착되기 때문이다. 그리고 그 이해도는 심층적인 가시성으로 이어진다. 가시성이라는 건 네트워크 어느 지점에서 어떤 현상이 발생하는 걸 아는 걸 넘어, 그 현상 앞뒤로 붙는 맥락까지 이해한다는 걸 말한다. 그런 맥락적 이해를 추구하는 데 있어 현 상황과 기술이 내는 ‘오탐’에 대한 이해를 달리하는 것도 필요한 일이다.
글 : 매튜 워너(Matthew Warner), CTO, Blumira
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] ‘오탐’은 사이버 보안 업계에서는 공공의 적과 같다. 특히 많은 보안 업체들이 ‘이 오탐 때문에 진짜 경고를 사람들이 지겨워하고 넘겨듣게 된다’고 주장하기 시작하면서 ‘오탐’은 더더욱 몹쓸 것이 되어버렸다. 그러니 고객사들은 점점 더 이런 질문을 하게 되었다. “오탐지 비율이 어떻게 되나요?”
[이미지 = utoimage]
물론 계속해서 발생하는 오탐이 수많은 보안 담당자들을 괴롭히는 건 사실이다. 그런데 이건 단순히 ‘탐지 기술의 오류’라고만 말할 수는 없다. ‘탐지 논리’가 부정확하게 설정이 되었기 때문에 발생하는 오탐도 상당히 많다. 정확히 뭘 탐지해야할지를 규정하지 않으면 제 아무리 좋은 탐지 기술이라도 헤맬 수밖에 없고, 이는 당연히 다량의 노이즈라는 결과를 낳는다. 규정이 어려운 이유는 관리자의 행동 패턴과 공격자의 행동 패턴 중 겹치는 게 있기 때문이다. 그러니 오탐을 줄이려면 사용자 편에서의 명확하고 세밀한 규정 정립도 있어야 한다.
예를 하나 들어보자. 회사에서 사용하고 있는 비밀번호 관리자가 공격이 없는데도 ‘비밀번호 스프레이 공격’과 같은 행동 패턴을 보인다고 하자. 이런 현상이 탐지되고 경고로 나왔다고 치자. 이는 ‘오탐’일까? 아니다. 이 탐지 덕분에 화이트리스트의 목록을 늘리고, 탐지 논리를 보다 정확하게 다듬어, 다음부터는 같은 상황에서 오탐이 나오지 않도록 만들 수 있다. 그렇다면 이것이 정말 쓸모가 하나도 없고, 경고에 대한 피곤함만 늘리는 것일까? 어쩌면 ‘에이, 오탐이었네’라고 하는 순간에 유용한 정보가 오탐으로 둔갑하는 건 아닐까?
재미있는 건 이런 오탐 비율이 낮아지는 게 마냥 긍정적인 사용자 반응을 이끌어내는 게 아니라는 것이다. 당신이 A라는 제품을 쓰고 있었다고 가정하자. 그 제품은 하루에 수백 개의 경보를 울렸다. 오탐이 상당히 섞여 있었다. 그래서 당신은 B라는 제품으로 바꿨다. 경보가 0으로 줄었다. 당신의 하루는 평온해졌을까? 아니다. 수백 개 울리던 경고에는 중독성이 있다. 여기에 오탐이 섞여 있다는 걸 알아도 그 수가 갑자기 줄어들면 어딘가 허전하고, ‘이게 맞는 걸까?’라는 의심이 든다.
‘오탐’에 대한 업계의 대처 방식 자체가 조금은 달라져야 할지도 모른다. ‘왜 이런 경고가 나오는가? 어떤 행동 패턴이 이 경고를 야기했는가? 그 행동은 이미 이뤄진 것인가, 아니면 이뤄질 가능성이 높은 것인가? 그 행동이 앞으로 다시 발생해도 괜찮은가 아니면 대처를 해야 하는가?’라는 식으로 말이다. 오히려 오탐을 통해 위협의 정의를 보다 분명히 하고, 여기에다가 산업 전체 혹은 국가 전체의 표준을 결합하면 어떨까? 지금처럼 ‘오탐은 조건반사적으로 무시해도 된다’는 분위기보다 얻어갈 것이 더 많지 않을까?
탐지된 이상 현상을 점검할 때, 우리는 과거 어디선가 본 것 같은 느낌을 받으면 오탐이라고 정의하고 지워버리는 경우가 많다. 시그니처를 보니 평상시의 익스체인지 트래픽 정보가 담긴 파일이라서 무시했는데, 나중에 다시 보니 비정상적으로 많은 POST가 처리되고 있었다거나, cmd.exe와 계속 상호작용을 하고 있었다는 식의 이야기는 이 계통에 있으면서 심심찮게 듣는다. 즉 ‘예전에 봤던 것’이라고 가정하고, ‘그러니까 괜찮다’고 한 번 더 가정하는 과정이 우리의 분석에 알게 모르게 개입한다는 것이다. ‘노이즈’ 혹은 ‘오탐’이라는 보안 전문가들의 오랜 적은 사실 그런 우리의 쉬운 가정의 성향 속에 있는 건 아닌가 모르겠다.
그래서 중요한 게 ‘시그니처’가 아니라 ‘행동 패턴을 분석하는 것’이다. 공격자들이 어떤 환경에 침투하기 위해 할 수 있는 행동의 가짓수는 한정적이다. 공격 도구와 전술의 발전이 있는 건 사실이지만, 그럼에도 무한하게 새로운 공격을 무한한 빈도로 할 수는 없다. 예를 들어 워드라는 애플리케이션을 공격에 활용하는 공격자의 경우, 거의 대부분 매크로를 발동시키는 전략을 구사한다. 실제 공격은 이 매크로로부터 시작되는 것으로, 사용자가 매크로를 활성화시키는 순간 워드는 기존과는 다른 행동 패턴을 선보인다.
이 ‘다른 행동 패턴’이란 대부분 워드 프로세스인 winword.exe가 cmd.exe나 powershell.exe와 같은 다른 프로세스들을 만드는 것으로, 이 프로세스들을 통해 백도어 같은 멀웨어가 피해자의 기계에 로딩된다. 공격자들이 백도어 로더로서 코발트 스트라이크(Cobalt Strike)와 같은 정상적인 도구를 사용하면 백신은 공격이 여기까지 진행되도록 아무 것도 탐지하지 못할 가능성이 높다. 그러므로 워드에서 스포닝된 프로세스들을 파악하면 할수록 이런 식의 공격을 더 빨리 탐지할 수 있게 된다.
시그니처 기반 탐지 기술에도 쓸모가 있다. 그러나 한계도 분명하다. 한 IP 주소에서 10분 안에 최소 20명의 사용자들의 계정에 로그인을 시도했지만 실패했다는 탐지 보고를 받으면, ‘비밀번호 스프레이 공격’이 나타나고 있다는 걸 알 수 있다. 하지만 단순히 10분 동안 20명의 사용자가 로그인에 실패했다는 기록이 남으면 어떨까? 많은 조직들에서 이는 ‘오탐’으로 간주된다. 기록이 어디서부터 어디까지 남느냐, ‘행동’을 위주로 한 정보냐, 아니면 평면적인 현상을 기록한 것이 전부냐에 따라 해석이 완전히 달라지는 것이다.
행동 패턴을 탐지하는 건 내부 보안 성숙도 향상에 큰 도움이 된다. 행동 패턴을 모니터링하면 네트워크 내부에서 발생하는 현상들에 대한 보다 깊은 이해도가 장착되기 때문이다. 그리고 그 이해도는 심층적인 가시성으로 이어진다. 가시성이라는 건 네트워크 어느 지점에서 어떤 현상이 발생하는 걸 아는 걸 넘어, 그 현상 앞뒤로 붙는 맥락까지 이해한다는 걸 말한다. 그런 맥락적 이해를 추구하는 데 있어 현 상황과 기술이 내는 ‘오탐’에 대한 이해를 달리하는 것도 필요한 일이다.
글 : 매튜 워너(Matthew Warner), CTO, Blumira
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
