.gif)
능동적인 방어 혹은 공격적인 방어의 또 다른 표현, 위협 사냥
효과에 대한 입소문 퍼지고 있으나 공식 절차나 형태 갖추지 못해
[보안뉴스 문가용] 가만히 앉아서 당하지만은 않겠다는 기업이 늘어나고 있다. 공격이 들어올 때까지 기다리느니 차라리 주변을 단속하고 누군가 공격의 틈새를 노리고 있는 건 아닌지 능동적으로 살피겠다는 것. 이름하야 위협 사냥(threat hunting). 최근 SANS에서 494명의 IT 전문가들을 대상으로 실시 한 설문조사에서 86%가 자신의 회사에서는 이미 이런 ‘위협 사냥’을 실시하고 있다고 응답했을 정도로 하나의 트렌드가 되어가는 중이다.
▲ 올 때까지 가만히 앉아서 기다리면 되겠지 뭐...
위협 사냥은 현재 주력이 되고 있는 보안의 여러 가지 방법론 중 위협 첩보, 분석 기술, 보안 툴, 인간의 지능을 다양하게 합쳐서 발동된다. 효과가 나쁘지 않다. 위 설문 응답자 중 75%가 공격이 실제로 줄어들었다고 응답했으며 59%가 이런 접근법 덕분에 사건 대응이 신속해지고 정확해졌다고 답한 것.
하지만 ‘위협 사냥 기법이 공식적으로 자리 잡았다’고 답한 건 60%에 불과했다. 즉 아직 형태가 완전히 정립된 게 아니라는 뜻이다. 또한 이걸 일정하게 주기적으로 반복해 본 적이 있다고 답한 사람은 더 적었다. 결국 ‘공격적인 방어’ 혹은 ‘능동적인 방어’로 정보보아니 다시 가닥이 잡혀가고 있는 모양새이긴 하지만 아직 그게 무엇인지 구체적인 합의가 이루어지지 않았다는 뜻이다.
SANS는 이번 설문결과를 발표하며 “위협 사냥은 사전 탐지 혹은 초기 탐지와 빠른 취약점 제거에 큰 도움이 된다”고 설명했다. 하지만 “위협 사냥은 아직 공식적인 명칭조차 없을 만큼 이제 막 태어난 개념이기도 하며, 그렇기에 정식 절차나 공론화된 기법도 나와 있지 않은 상태”라서 기업들에 권하기에도 상당히 조심스러운 부분이 있다고 덧붙인다.
벤 존슨(Ben Johnson)은 보안 전문업체인 카본 블랙(Carbon Black)의 공동 창립자로 위협 사냥과 기존의 정보보안 실시사항들의 차이점은 “사람을 더 필요로 한다는 것”이라고 한다. “사람들이 기계가 울려주는 자동경보에만 의존하지 않고 스스로 나쁜 것을 찾아 나서도록 하는 방법론이죠. 사람이 중심이 되는 것, 그것이 핵심입니다.”
물론 공격적인 방어나 능동적인 방어가 완전히 처음 생긴 개념은 아니다. “누가 처음 말을 지어냈는지, 위협 사냥이라고 하니까 훨씬 뭔가 세련되고 효과적인 방법인 것처럼 들리죠. 그래서 예전부터 있었던 이 개념이 요즘에서야 떠오르고 있다고 봅니다. 또한 ‘이제 충분히 먹을 만큼 먹었으니, 되돌려줄 차례’라는 정서도 쌓였다고 볼 수도 있습니다.”
사람이 중심이 된다고 하지만, 사람에만 의존하는 건 아니다. “자동화 탐지 기술을 병행해야죠. 하지만 현대의 탐지 기술로서도 잡아내지 못하는 공격들이 분명히 있습니다. 거기에 사람의 힘이 투입되는 거죠. 사람의 힘이란 ‘느낌’, ‘예감’, ‘노하우’, ‘경험’ 등 무형적이고 정확한 산술조차 되지 않는 것들도 전부 포함한 겁니다. 사람만이 가진 것들을 총동원하는 거라고 보면 됩니다.”
그렇기에 ‘위협 사냥’은 한 가지 특정 기술을 지칭하는 용어는 아니다. 게다가 기술에 대한 의존도도 높지 않다. “경험이 오래 쌓인 전문가라면 이런 때에는 이런 곳을 한 번 들여다보고 점검해보면 좋겠다, 하는 느낌이 들죠. 거기에 필요한 기술을 효율적으로 적용해 그 예감을 확인해보는 것이 위협 사냥의 본질입니다. 물론 그 예감이 다 맞지 않고, 사고란 건 불시에 찾아오는 법입니다. 즉 갑작스레 들이닥치는 은행강도와 같은 공격을 막아주지는 못하는 방법이라는 것입니다. 대신 현금을 수송하는 날, 은행 밖 반경 500m 내에까지 순찰을 돌렸다면, 검은 복면의 운전자가 빠른 속도로 은행을 향해 달리는 걸 막아 세울 확률이 올라가지요. 그런 차이입니다.”
도메인툴즈(DomainTools)의 제품 관리자인 팀 헬밍(Tim Helming)은 위협 사냥이 여러 장점을 갖고 있긴 하지만 “아직은 정의부터 확실히 내려야 할 때”라고 생각한다. “저 역시 정확히 어떻게 정의를 내려야 할 지 모르겠습니다. 다만 한 가지 확실한 건 공격이 들어오기 전에 움직인다는 것, 혹은 공격이 일어날 때까지 기다리고 있지만은 않겠다는 것 정도입니다.”
또한 그 기본 개념은 “공격이 이미 들어와 있다고 가정하는 것”에서부터 출발하는 게 아닐까, 그는 조심스럽게 제안한다. “이제 막 걸음을 걷기 시작한 아이와 차가 다니는 대로변을 걸을 때, 갑자기 지나가는 사람들과 차들이 다 위협거리로 보이죠? 아이가 다니는 주위에 뭔가 이상한 움직임은 없나 매의 눈으로 살피게 되고요. 그 마음을 들여다보세요. ‘누군가 저 아이를 공격할 것이다’라는 걱정과 우려가 있습니다. 그런 전제가 있기 때문에 아이를 지킬 수 있는 것이죠.”
위협 사냥이라는 것이 정식적인 보안의 한 방법론으로 자리를 꿰차기에는 많이 이른 것으로 보인다고 SANS는 의견을 밝히고 있다. 위협 사냥의 핵심인 경험과 숙련도가 충분한 사람을 구하는 게 쉬운 일만은 아니다. 하지만 해본 사람들이 증언하는 효과가 입소문을 타고 더 널리 퍼진다면 그 시기가 예상 외로 앞당겨질 가능성도 충분하다. 또한 자동화와 인공지능이 대세인 때에 사람의 필요가 대두되고, 그 효과가 서서히 드러나고 있다는 점도 흥미롭다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
효과에 대한 입소문 퍼지고 있으나 공식 절차나 형태 갖추지 못해
[보안뉴스 문가용] 가만히 앉아서 당하지만은 않겠다는 기업이 늘어나고 있다. 공격이 들어올 때까지 기다리느니 차라리 주변을 단속하고 누군가 공격의 틈새를 노리고 있는 건 아닌지 능동적으로 살피겠다는 것. 이름하야 위협 사냥(threat hunting). 최근 SANS에서 494명의 IT 전문가들을 대상으로 실시 한 설문조사에서 86%가 자신의 회사에서는 이미 이런 ‘위협 사냥’을 실시하고 있다고 응답했을 정도로 하나의 트렌드가 되어가는 중이다.
▲ 올 때까지 가만히 앉아서 기다리면 되겠지 뭐...
위협 사냥은 현재 주력이 되고 있는 보안의 여러 가지 방법론 중 위협 첩보, 분석 기술, 보안 툴, 인간의 지능을 다양하게 합쳐서 발동된다. 효과가 나쁘지 않다. 위 설문 응답자 중 75%가 공격이 실제로 줄어들었다고 응답했으며 59%가 이런 접근법 덕분에 사건 대응이 신속해지고 정확해졌다고 답한 것.
하지만 ‘위협 사냥 기법이 공식적으로 자리 잡았다’고 답한 건 60%에 불과했다. 즉 아직 형태가 완전히 정립된 게 아니라는 뜻이다. 또한 이걸 일정하게 주기적으로 반복해 본 적이 있다고 답한 사람은 더 적었다. 결국 ‘공격적인 방어’ 혹은 ‘능동적인 방어’로 정보보아니 다시 가닥이 잡혀가고 있는 모양새이긴 하지만 아직 그게 무엇인지 구체적인 합의가 이루어지지 않았다는 뜻이다.
SANS는 이번 설문결과를 발표하며 “위협 사냥은 사전 탐지 혹은 초기 탐지와 빠른 취약점 제거에 큰 도움이 된다”고 설명했다. 하지만 “위협 사냥은 아직 공식적인 명칭조차 없을 만큼 이제 막 태어난 개념이기도 하며, 그렇기에 정식 절차나 공론화된 기법도 나와 있지 않은 상태”라서 기업들에 권하기에도 상당히 조심스러운 부분이 있다고 덧붙인다.
벤 존슨(Ben Johnson)은 보안 전문업체인 카본 블랙(Carbon Black)의 공동 창립자로 위협 사냥과 기존의 정보보안 실시사항들의 차이점은 “사람을 더 필요로 한다는 것”이라고 한다. “사람들이 기계가 울려주는 자동경보에만 의존하지 않고 스스로 나쁜 것을 찾아 나서도록 하는 방법론이죠. 사람이 중심이 되는 것, 그것이 핵심입니다.”
물론 공격적인 방어나 능동적인 방어가 완전히 처음 생긴 개념은 아니다. “누가 처음 말을 지어냈는지, 위협 사냥이라고 하니까 훨씬 뭔가 세련되고 효과적인 방법인 것처럼 들리죠. 그래서 예전부터 있었던 이 개념이 요즘에서야 떠오르고 있다고 봅니다. 또한 ‘이제 충분히 먹을 만큼 먹었으니, 되돌려줄 차례’라는 정서도 쌓였다고 볼 수도 있습니다.”
사람이 중심이 된다고 하지만, 사람에만 의존하는 건 아니다. “자동화 탐지 기술을 병행해야죠. 하지만 현대의 탐지 기술로서도 잡아내지 못하는 공격들이 분명히 있습니다. 거기에 사람의 힘이 투입되는 거죠. 사람의 힘이란 ‘느낌’, ‘예감’, ‘노하우’, ‘경험’ 등 무형적이고 정확한 산술조차 되지 않는 것들도 전부 포함한 겁니다. 사람만이 가진 것들을 총동원하는 거라고 보면 됩니다.”
그렇기에 ‘위협 사냥’은 한 가지 특정 기술을 지칭하는 용어는 아니다. 게다가 기술에 대한 의존도도 높지 않다. “경험이 오래 쌓인 전문가라면 이런 때에는 이런 곳을 한 번 들여다보고 점검해보면 좋겠다, 하는 느낌이 들죠. 거기에 필요한 기술을 효율적으로 적용해 그 예감을 확인해보는 것이 위협 사냥의 본질입니다. 물론 그 예감이 다 맞지 않고, 사고란 건 불시에 찾아오는 법입니다. 즉 갑작스레 들이닥치는 은행강도와 같은 공격을 막아주지는 못하는 방법이라는 것입니다. 대신 현금을 수송하는 날, 은행 밖 반경 500m 내에까지 순찰을 돌렸다면, 검은 복면의 운전자가 빠른 속도로 은행을 향해 달리는 걸 막아 세울 확률이 올라가지요. 그런 차이입니다.”
도메인툴즈(DomainTools)의 제품 관리자인 팀 헬밍(Tim Helming)은 위협 사냥이 여러 장점을 갖고 있긴 하지만 “아직은 정의부터 확실히 내려야 할 때”라고 생각한다. “저 역시 정확히 어떻게 정의를 내려야 할 지 모르겠습니다. 다만 한 가지 확실한 건 공격이 들어오기 전에 움직인다는 것, 혹은 공격이 일어날 때까지 기다리고 있지만은 않겠다는 것 정도입니다.”
또한 그 기본 개념은 “공격이 이미 들어와 있다고 가정하는 것”에서부터 출발하는 게 아닐까, 그는 조심스럽게 제안한다. “이제 막 걸음을 걷기 시작한 아이와 차가 다니는 대로변을 걸을 때, 갑자기 지나가는 사람들과 차들이 다 위협거리로 보이죠? 아이가 다니는 주위에 뭔가 이상한 움직임은 없나 매의 눈으로 살피게 되고요. 그 마음을 들여다보세요. ‘누군가 저 아이를 공격할 것이다’라는 걱정과 우려가 있습니다. 그런 전제가 있기 때문에 아이를 지킬 수 있는 것이죠.”
위협 사냥이라는 것이 정식적인 보안의 한 방법론으로 자리를 꿰차기에는 많이 이른 것으로 보인다고 SANS는 의견을 밝히고 있다. 위협 사냥의 핵심인 경험과 숙련도가 충분한 사람을 구하는 게 쉬운 일만은 아니다. 하지만 해본 사람들이 증언하는 효과가 입소문을 타고 더 널리 퍼진다면 그 시기가 예상 외로 앞당겨질 가능성도 충분하다. 또한 자동화와 인공지능이 대세인 때에 사람의 필요가 대두되고, 그 효과가 서서히 드러나고 있다는 점도 흥미롭다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
