이미 86%는 사용하고 있는 기법, 반 이상이 “결과 양호”
기존 능동 보안을 넘는 총체적인 모니터링 및 분석 전략
[보안뉴스 문가용] 사이버 공격의 진화 속도가 무섭다. 아무리 강력한 방벽도 무너져 내리는 요즘이다. 이에 따라 기업들이 느끼는 압박감도 계속해서 증가하고 있다. 압박은 결국 결과를 낳는 법인지, 보안 업계에 최근 위협 사냥(threat hunting)이라는 말이 등장하기 시작했다. ‘능동적인 보안’보다 훨씬 더 능동적인 방어를 지향하는 이 위협 사냥의 정체는 무엇일까?
최근 SANS 인스티튜트(이하 SANS)에서 494명의 IT 전문가들을 대상으로 진행한 설문에 따르면 이미 86%의 기업이 이 ‘위협 사냥’을 시작했다고 한다. 59%는 이미 이 ‘위협 사냥’으로 인해 사건 대응의 속도가 향상되었다고 했으며 75%는 공격이 가능한 구멍을 줄이는 데에 도움을 크게 받았다고 했다.
스쿼럴 데이터(Sqrrl Data)의 보안 기술자인 데이비드 비앙코(David Bianco)는 위협 사냥의 성숙도 모델을 개발한 인물로, “위협 사냥이란 말이 새롭게 나오고 있긴 하지만 보안 위협 혹은 공격을 탐지하기 위한 모든 수단을 말하는 것일뿐”이라고 설명한다. “즉, 데이터의 질이 중요하고, 해당 데이터를 분석할 수 있는 툴도 정확해야 해고, 해당 툴을 다루고 분석할 줄 아는 사람이 필요합니다. 그것이 핵심이죠.”
또한 비앙코의 말 대로 ‘탐지를 위한 모든 수단’을 애매하게 ‘위협 사냥’이라고 부르고 있기 때문에 어떤 특징 기술이나 접근법이 최고로 군림하고 있지는 않다. “게다가 한 가지 기술만을 가지고 있는 헌터보다는 여러 가지 기술을 부릴 줄 아는 사람이 더 뛰어나죠. 위협을 사냥하기 위해서는 어차피 하나의 대세 기술이 있는 것보다는 각자가 여러 가지 기술을 보유하는 편이 더 좋습니다.”
그렇다면 정해진 형태가 없는 ‘위협 사냥’이란 건 어떤 식으로 도입을 해야 할까? 다섯 가지를 짚어 보았다.
1. 발상의 전환
기술력으로 승부하려는 게 정보보안 업계의 고질적인 문제다. 위협 사냥은 신기술 싸움과는 거리가 멀다. 사이버리즌(Cybereason)의 공동창립자인 요나탄 스트림 아밋(Yonatan Strien Amit)은 “발상의 싸움”이라고 묘사할 정도로 ‘기본기’가 중요한 개념이다. “최신 기술 그 차체가 중요한 게 아니라 기술을 활용해서 나온 결과물을 인간이 얼마나 정확하게 판단할 수 있는가”가 더 중요한 문제라는 것.
“사이버 공격은 매우 복잡합니다. 너무 복잡해서 이해하는 게 매우 어렵습니다. 그래서 공격이 발생한 후 멀웨어나 다른 위협 요소들을 완전히 다 제거했다고 장담하기가 힘든 거죠. 그래서 ‘최초의 침투를 막는 것’이 더 중요하게 부각됩니다. 그 한 번의 침투만 막으면 더 복잡한 일을 막을 수 있거든요.” 하지만 여기에 너무 집중하다보니 ‘한 번 침투한 공격자가 무슨 일을 벌일 것인가, 에대 한 고민인 부족해진다’는 문제가 생기고 있다.
“이게 능동적인 보안과 다른 점입니다. 해커가 ‘침투를 위해 무엇을 할까’ 뿐만 아니라 ‘침투해서는 무슨 일을 벌일까’도 궁금해 하고 탐구하는 것이죠. 완전한 방어막을 만들려면 우리가 지금까지 완전하다고 생각했던 방어막을 그들이 어떻게, 왜 뚫는지를 알아야 합니다.”
2. 해커처럼 생각하라
그러므로 해커처럼 생각할 줄 아는 게 매우 중요한 능력이다. 해커처럼 생각하려면 먼저 자신이 속한 조직에 대해 잘 알고 있어야 한다. “내가 해커라면 어떤 데이터를 노릴까, 어느 구멍으로 공격을 시도할까, 와 같은 내용은 기본적입니다. 표적 공격을 하는 해커들은 우리 회사 보안 팀이 공격을 발견했을 때 초동 조치를 취하는 데에 걸리는 시간, 복구에 걸리는 시간까지도 알고 있는 게 보통입니다.”
“사람마다, 기업마다 대응방식이 다릅니다. 그렇기에 공격자들은 간단한 멀웨어로 미리 찔러보기를 합니다. 그것에 대한 대응방식을 관찰하는 것이죠. 혹은 간단한 멀웨어를 대량으로 뿌려서 시선을 딴 데로 돌리고, 진짜 공격을 감행하기도 합니다. 이런 기법 때문에 공격이 더 복잡해지는 것이기도 하고요.” 아밋은 최초 공격을 분석하는 것으로써 의외의 정보를 얻어낼 수 있다고 설명한다. “최초의 공격이 그 다음 행위를 예측하는 데에 도움이 되는 경우도 있습니다. 그러니 최초 침투 방식은 더 철저하게 분석해볼 필요가 있습니다.”
3. 멀웨어에 집중하는 건 바보 짓이다
멀웨어는 공격의 시작점만을 제공하는 게 보통이다. 아니라고 해도 공격의 극히 일부만 담당하는 게 요즘 추세다. 멀웨어 샘플을 찾아 지운다고 위험에서 벗어났다고 생각하는 건 보안에 대해 아무 것도 모른다는 증거다. SANS의 책임자인 존 페스카토어(John Pescatore)는 “공격이 발생한 원인과 요소들을 찾아내는 것만이 위협 사냥은 아니다”라고 설명한다.
“위협 사냥이라면 능동적인 위협 모니터링과 조사 활동을 겸한 개념입니다. 즉 주로 우리 회사를 노릴 만한 해커들이 누가 있는지, 그런 사람들이 보통 어떤 식으로 공격을 하는지, 주로 어떤 자산을 노리는지, 어떤 부류의 사람을 공격하는지를 조사하고 공부해서 알고 있어야 한다는 겁니다.”
멀웨어 찾기에만 급급하면 ‘사이버 공격’의 수많은 요인들을 간과하게 된다. 게다가 요즘 해커들은 피해자의 시스템에 있는 보안 솔루션 및 다른 ‘공식’ 툴 및 애플리케이션을 통해 공격을 일삼는다. 이런 활동을 찾아내려면 멀웨어가 아니라 다른 의심 지표들을 개발하고 연구해야 한다. “요즘엔 윈도우의 파워쉘(PowerShell)이나 WMI 등을 통해 루트 및 관리자 권한을 탈취하는 경우가 많죠. 멀웨어 탐지에 기대는 건 공격 활로를 열어주는 것이나 다름없습니다.”
4. 올바른 데이터를 사용하라
초밥을 만들려면 좋은 생선을 써야 한다는 수준의 당연한 말이긴 한데, 사실은 사실이다. 위협 사냥의 기본 중 기본은 첩보와 정보의 질이 좋아야 한다는 것이다. 보안 업체인 애큐이티 솔루션즈(Acuity Solutions)의 크리스 러브조이(Kris Lovejoy)는 “보안 시스템, SIEM, 분석 플랫폼에서 수집한 정보들은 네트워크가 어떤 상태인지를 잘 보여주는 지표가 될 수 있습니다.”
“위협 사냥은 마치 페이스북에서 소아성애자나 아동학대자가 올리는 찾아내는 것과 같습니다. 페이스북은 자체 정보 수집 시스템으로 이런 사진들을 찾아내기도 하지만 기계가 결정할 수 없는 애매한 사진들은 사람이 결정하도록 하죠.” 즉 좋은 정보를 수집함으로써 사람이(보안 담당자가) 보다 정확한 결정을 내리는 게 위협 사냥이라는 것이다.
“위협 사냥은 해커를 사냥하는 게 아닙니다. 날 위협할 수 있는 요소들을 파악하고 알아내 잡아내는 것이죠. 많은 정보를 모으는 게 중요한 게 아니라, 그 많은 정보들을 통해 커다란 그림을 하나 그려내는 게 더 중요한 겁니다. 여기에는 기계와 사람의 조화가 반드시 필요하고요.”
5. 가끔은 미친 짓도 해야 한다
러브조이는 “냉전 시대에 잠수함 운용에 있어 중요한 전략 중 하나였던 크레이지 이반(Crazy Ivan)을 기억해보라”며 “크레이지 이반은 돌발행동을 통해 추적을 따돌리거나 추적자의 모습을 노출시키는 전략”이었다고 설명한다.
이를 사이버 세상으로 옮겨 오면 무슨 일이 일어날까? “어느 날 갑자기 예정에도 없이 암호를 바꾸면, 누군가 네트워크 상에서 이전 암호를 계속 시도해보는 게 눈에 띌 수 있습니다. DNS 캐시를 예고도 없이 지우면 엔드포인트가 봇넷 혹은 악성 서버로 연결시도 되는 걸 파악할 수도 있고요. 가끔 이런 행동들을 함으로써 네트워크에 나도 몰래 상주해 있는 존재를 발견할 수도 있습니다. 위협 사냥의 좋은 전략 중 하나입니다.” 러브조이의 설명이다.
글 : 제이 비자얀(Jai Vijayan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
기존 능동 보안을 넘는 총체적인 모니터링 및 분석 전략
[보안뉴스 문가용] 사이버 공격의 진화 속도가 무섭다. 아무리 강력한 방벽도 무너져 내리는 요즘이다. 이에 따라 기업들이 느끼는 압박감도 계속해서 증가하고 있다. 압박은 결국 결과를 낳는 법인지, 보안 업계에 최근 위협 사냥(threat hunting)이라는 말이 등장하기 시작했다. ‘능동적인 보안’보다 훨씬 더 능동적인 방어를 지향하는 이 위협 사냥의 정체는 무엇일까?
최근 SANS 인스티튜트(이하 SANS)에서 494명의 IT 전문가들을 대상으로 진행한 설문에 따르면 이미 86%의 기업이 이 ‘위협 사냥’을 시작했다고 한다. 59%는 이미 이 ‘위협 사냥’으로 인해 사건 대응의 속도가 향상되었다고 했으며 75%는 공격이 가능한 구멍을 줄이는 데에 도움을 크게 받았다고 했다.
스쿼럴 데이터(Sqrrl Data)의 보안 기술자인 데이비드 비앙코(David Bianco)는 위협 사냥의 성숙도 모델을 개발한 인물로, “위협 사냥이란 말이 새롭게 나오고 있긴 하지만 보안 위협 혹은 공격을 탐지하기 위한 모든 수단을 말하는 것일뿐”이라고 설명한다. “즉, 데이터의 질이 중요하고, 해당 데이터를 분석할 수 있는 툴도 정확해야 해고, 해당 툴을 다루고 분석할 줄 아는 사람이 필요합니다. 그것이 핵심이죠.”
또한 비앙코의 말 대로 ‘탐지를 위한 모든 수단’을 애매하게 ‘위협 사냥’이라고 부르고 있기 때문에 어떤 특징 기술이나 접근법이 최고로 군림하고 있지는 않다. “게다가 한 가지 기술만을 가지고 있는 헌터보다는 여러 가지 기술을 부릴 줄 아는 사람이 더 뛰어나죠. 위협을 사냥하기 위해서는 어차피 하나의 대세 기술이 있는 것보다는 각자가 여러 가지 기술을 보유하는 편이 더 좋습니다.”
그렇다면 정해진 형태가 없는 ‘위협 사냥’이란 건 어떤 식으로 도입을 해야 할까? 다섯 가지를 짚어 보았다.
1. 발상의 전환
기술력으로 승부하려는 게 정보보안 업계의 고질적인 문제다. 위협 사냥은 신기술 싸움과는 거리가 멀다. 사이버리즌(Cybereason)의 공동창립자인 요나탄 스트림 아밋(Yonatan Strien Amit)은 “발상의 싸움”이라고 묘사할 정도로 ‘기본기’가 중요한 개념이다. “최신 기술 그 차체가 중요한 게 아니라 기술을 활용해서 나온 결과물을 인간이 얼마나 정확하게 판단할 수 있는가”가 더 중요한 문제라는 것.
“사이버 공격은 매우 복잡합니다. 너무 복잡해서 이해하는 게 매우 어렵습니다. 그래서 공격이 발생한 후 멀웨어나 다른 위협 요소들을 완전히 다 제거했다고 장담하기가 힘든 거죠. 그래서 ‘최초의 침투를 막는 것’이 더 중요하게 부각됩니다. 그 한 번의 침투만 막으면 더 복잡한 일을 막을 수 있거든요.” 하지만 여기에 너무 집중하다보니 ‘한 번 침투한 공격자가 무슨 일을 벌일 것인가, 에대 한 고민인 부족해진다’는 문제가 생기고 있다.
“이게 능동적인 보안과 다른 점입니다. 해커가 ‘침투를 위해 무엇을 할까’ 뿐만 아니라 ‘침투해서는 무슨 일을 벌일까’도 궁금해 하고 탐구하는 것이죠. 완전한 방어막을 만들려면 우리가 지금까지 완전하다고 생각했던 방어막을 그들이 어떻게, 왜 뚫는지를 알아야 합니다.”
2. 해커처럼 생각하라
그러므로 해커처럼 생각할 줄 아는 게 매우 중요한 능력이다. 해커처럼 생각하려면 먼저 자신이 속한 조직에 대해 잘 알고 있어야 한다. “내가 해커라면 어떤 데이터를 노릴까, 어느 구멍으로 공격을 시도할까, 와 같은 내용은 기본적입니다. 표적 공격을 하는 해커들은 우리 회사 보안 팀이 공격을 발견했을 때 초동 조치를 취하는 데에 걸리는 시간, 복구에 걸리는 시간까지도 알고 있는 게 보통입니다.”
“사람마다, 기업마다 대응방식이 다릅니다. 그렇기에 공격자들은 간단한 멀웨어로 미리 찔러보기를 합니다. 그것에 대한 대응방식을 관찰하는 것이죠. 혹은 간단한 멀웨어를 대량으로 뿌려서 시선을 딴 데로 돌리고, 진짜 공격을 감행하기도 합니다. 이런 기법 때문에 공격이 더 복잡해지는 것이기도 하고요.” 아밋은 최초 공격을 분석하는 것으로써 의외의 정보를 얻어낼 수 있다고 설명한다. “최초의 공격이 그 다음 행위를 예측하는 데에 도움이 되는 경우도 있습니다. 그러니 최초 침투 방식은 더 철저하게 분석해볼 필요가 있습니다.”
3. 멀웨어에 집중하는 건 바보 짓이다
멀웨어는 공격의 시작점만을 제공하는 게 보통이다. 아니라고 해도 공격의 극히 일부만 담당하는 게 요즘 추세다. 멀웨어 샘플을 찾아 지운다고 위험에서 벗어났다고 생각하는 건 보안에 대해 아무 것도 모른다는 증거다. SANS의 책임자인 존 페스카토어(John Pescatore)는 “공격이 발생한 원인과 요소들을 찾아내는 것만이 위협 사냥은 아니다”라고 설명한다.
“위협 사냥이라면 능동적인 위협 모니터링과 조사 활동을 겸한 개념입니다. 즉 주로 우리 회사를 노릴 만한 해커들이 누가 있는지, 그런 사람들이 보통 어떤 식으로 공격을 하는지, 주로 어떤 자산을 노리는지, 어떤 부류의 사람을 공격하는지를 조사하고 공부해서 알고 있어야 한다는 겁니다.”
멀웨어 찾기에만 급급하면 ‘사이버 공격’의 수많은 요인들을 간과하게 된다. 게다가 요즘 해커들은 피해자의 시스템에 있는 보안 솔루션 및 다른 ‘공식’ 툴 및 애플리케이션을 통해 공격을 일삼는다. 이런 활동을 찾아내려면 멀웨어가 아니라 다른 의심 지표들을 개발하고 연구해야 한다. “요즘엔 윈도우의 파워쉘(PowerShell)이나 WMI 등을 통해 루트 및 관리자 권한을 탈취하는 경우가 많죠. 멀웨어 탐지에 기대는 건 공격 활로를 열어주는 것이나 다름없습니다.”
4. 올바른 데이터를 사용하라
초밥을 만들려면 좋은 생선을 써야 한다는 수준의 당연한 말이긴 한데, 사실은 사실이다. 위협 사냥의 기본 중 기본은 첩보와 정보의 질이 좋아야 한다는 것이다. 보안 업체인 애큐이티 솔루션즈(Acuity Solutions)의 크리스 러브조이(Kris Lovejoy)는 “보안 시스템, SIEM, 분석 플랫폼에서 수집한 정보들은 네트워크가 어떤 상태인지를 잘 보여주는 지표가 될 수 있습니다.”
“위협 사냥은 마치 페이스북에서 소아성애자나 아동학대자가 올리는 찾아내는 것과 같습니다. 페이스북은 자체 정보 수집 시스템으로 이런 사진들을 찾아내기도 하지만 기계가 결정할 수 없는 애매한 사진들은 사람이 결정하도록 하죠.” 즉 좋은 정보를 수집함으로써 사람이(보안 담당자가) 보다 정확한 결정을 내리는 게 위협 사냥이라는 것이다.
“위협 사냥은 해커를 사냥하는 게 아닙니다. 날 위협할 수 있는 요소들을 파악하고 알아내 잡아내는 것이죠. 많은 정보를 모으는 게 중요한 게 아니라, 그 많은 정보들을 통해 커다란 그림을 하나 그려내는 게 더 중요한 겁니다. 여기에는 기계와 사람의 조화가 반드시 필요하고요.”
5. 가끔은 미친 짓도 해야 한다
러브조이는 “냉전 시대에 잠수함 운용에 있어 중요한 전략 중 하나였던 크레이지 이반(Crazy Ivan)을 기억해보라”며 “크레이지 이반은 돌발행동을 통해 추적을 따돌리거나 추적자의 모습을 노출시키는 전략”이었다고 설명한다.
이를 사이버 세상으로 옮겨 오면 무슨 일이 일어날까? “어느 날 갑자기 예정에도 없이 암호를 바꾸면, 누군가 네트워크 상에서 이전 암호를 계속 시도해보는 게 눈에 띌 수 있습니다. DNS 캐시를 예고도 없이 지우면 엔드포인트가 봇넷 혹은 악성 서버로 연결시도 되는 걸 파악할 수도 있고요. 가끔 이런 행동들을 함으로써 네트워크에 나도 몰래 상주해 있는 존재를 발견할 수도 있습니다. 위협 사냥의 좋은 전략 중 하나입니다.” 러브조이의 설명이다.
글 : 제이 비자얀(Jai Vijayan)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
