킬 체인 공격에 취약한 사물인터넷(IoT)
단계별 보안 전략으로 공격에 대비해야
[보안뉴스 오다인 기자] 킬 체인(kill chain)은 선제타격시스템 또는 공격형 방위시스템을 뜻하는 군사용어다(역주: 한국에서는 타격순환체계로 부른다). 1991년 걸프전부터 사용된 말인데, 미국 방위업체 록히드마틴의 컴퓨터 과학자들이 2011년 네트워크 방어를 위한 사이버보안과 관련해서도 이 용어를 사용하기 시작했다.
ⓒ iclickart
현재 킬 체인은 사물인터넷(IoT: Internet of Things) 및 봇넷(botnet) 공격의 확대 등 인터넷 중심의 시대적 변화와 맞물려 새로운 의미로 확장돼 쓰인다. IoT의 경우, 미국의 IT제품 컨설팅업체 IDC(International Data Corporation)가 2020년까지 3백억 개의 사물들이 디지털 인프라 안에서 연결될 것으로 예측하는 등 그 규모는 계속 커질 것으로 보인다.
미국 공군이 킬 체인을 6단계로 나누는 것과 같이, 사이버 킬 체인 또한 공격을 6단계로 구분한다. 초기 정찰부터 차후 공격까지, 각 단계는 다음과 같다.
1. 정찰
침입자가 목표 기기를 고르고 취약점을 찾는다.
2. 무기 준비
침입자는 취약점을 공략할 바이러스나 웜 같은 멀웨어를 원거리 무기로 사용한다.
3. 운반
침입자는 멀웨어를 이메일 첨부나 웹사이트, USB 드라이브 등을 통해 목표 기기로 전송한다.
4. 익스플로잇
멀웨어는 공격을 유발하는 코드를 설계하고, 추후 이 코드는 취약점이 포착된 목표 네트워크 내에 실행된다.
5. 설치
멀웨어는 침입자가 사용할 접근 통로를 확보한다.
6. 명령 및 제어
멀웨어는 침입자가 목표 네트워크에 지속적으로 접근하게 해주며 추후 공격까지 가능하게 해준다.
보안용 카메라, 스마트 온도 조절기, 웨어러블 기기, 심지어 커피메이커까지 아우르는 IoT 기기들은 침입자에게 쉬운 먹잇감이다. 그런 기기들에는 보안 시스템이 거의 또는 아예 없기 때문이다. 킬 체인의 두 번째 단계인 무기 준비를 쉽게 만들어준다는 말이다. 예를 들어, 지난 해 소니의 IP 보안용 카메라 모델 80개에서 백도어가 발견된 적이 있었는데, 이는 해커들이 그만큼 쉽게 접근할 수 있었다는 뜻이다.
단계별 공격은 단계별 방어로 막을 수 있다
킬 체인이 기업의 IoT 보안에 침입하는 것을 막으려면 단계별 접근 방식에 투자하는 것이 최선이다. 이에 대한 네 단계는 다음과 같다.
1. 평가
네트워크를 검사하여 연결된 모든 IoT 기기들을 파악하라. 네트워크에 기기 전부 또는 일부가 연결돼있다면 해당 기기들을 모두 확인해야 한다. 어떤 종류의 기기가, 어떤 운영체계로 돌아가고 있으며, 어떤 애플리케이션과 프로세스가 설치돼있는지 등등을 전부 파악하라.
2. 망 분리
IoT 기기는 다른 기기들과 동일한 네트워크를 사용해선 안 된다. 조직의 핵심 시스템 또는 데이터 네트워크와도 같은 네트워크를 쓰면 안 된다. 이런 세그먼트 사이사이에 방화벽을 설치해서 IoT의 ‘사물’들이 네트워크의 가장 중요한 부분에 닿는 것을 막아라.
3. 탐지
네트워크에 들어오는 모든 IoT 기기를 탐지하기 위해 사용자의 네트워크 사용행태를 정기적으로 분석하라. 또한, 특정 기기가 다른 일반적인 기기들과 비슷하게 작동했는지 면밀하게 검토하라. 감염된 기기나 가짜 기기는 똑같게 보일지는 몰라도 다르게 작동했을 수 있다.
4. 대응
일일이 감시하는 것은 몇 시간에서 며칠이 걸릴 수도 있는 일이므로, 특정한 기기의 접근을 몇 초 내에 막을 수 있는 사용자만의 백업 플랜을 준비하는 것이 좋다.
위와 같은 단계별 방어 전략은 킬 체인 공격의 가능성을 사전에 차단하는 데에도 유용하지만, 누군가 공격에 성공했을 때에도 빠른 대처를 가능하게 한다. 취약점이 탐지되고, 그 취약점에 대한 공격이 발견되었다면, 킬 체인의 가장 마지막 단계인 명령 및 제어를 훼파하는 것이 가장 중요하다. 여기에는 몇 가지 이유가 있다.
1) 명령 및 제어 단계의 공격을 얼마나 빠르고 효과적으로 대응하냐에 따라 미리 수립된 방어 전략의 실현 가능성이 판가름난다. 말만 번지르르한 전략은 진짜 필요할 때 힘을 발휘하지 못한다.
2) 또한 명령 및 제어 단계에서 공격을 발견하고 막으면, 역추적 등으로 용의자의 범위를 최소화시킬 수 있다.
3) 명령 및 제어 단계에서 조치를 취하면 시간을 가장 많이 아낄 수 있다. 이 단계에서는 감염된 기기가 확실해지기 때문에, 해당 기기를 네트워크에서 완전히 분리시키면 문제가 어느 정도 해결된다.
글: 오페르 아미타이(Ofer Amitai)
[국제부 오다인 기자(boan2@boannews.com)]
단계별 보안 전략으로 공격에 대비해야
[보안뉴스 오다인 기자] 킬 체인(kill chain)은 선제타격시스템 또는 공격형 방위시스템을 뜻하는 군사용어다(역주: 한국에서는 타격순환체계로 부른다). 1991년 걸프전부터 사용된 말인데, 미국 방위업체 록히드마틴의 컴퓨터 과학자들이 2011년 네트워크 방어를 위한 사이버보안과 관련해서도 이 용어를 사용하기 시작했다.
ⓒ iclickart
현재 킬 체인은 사물인터넷(IoT: Internet of Things) 및 봇넷(botnet) 공격의 확대 등 인터넷 중심의 시대적 변화와 맞물려 새로운 의미로 확장돼 쓰인다. IoT의 경우, 미국의 IT제품 컨설팅업체 IDC(International Data Corporation)가 2020년까지 3백억 개의 사물들이 디지털 인프라 안에서 연결될 것으로 예측하는 등 그 규모는 계속 커질 것으로 보인다.
미국 공군이 킬 체인을 6단계로 나누는 것과 같이, 사이버 킬 체인 또한 공격을 6단계로 구분한다. 초기 정찰부터 차후 공격까지, 각 단계는 다음과 같다.
1. 정찰
침입자가 목표 기기를 고르고 취약점을 찾는다.
2. 무기 준비
침입자는 취약점을 공략할 바이러스나 웜 같은 멀웨어를 원거리 무기로 사용한다.
3. 운반
침입자는 멀웨어를 이메일 첨부나 웹사이트, USB 드라이브 등을 통해 목표 기기로 전송한다.
4. 익스플로잇
멀웨어는 공격을 유발하는 코드를 설계하고, 추후 이 코드는 취약점이 포착된 목표 네트워크 내에 실행된다.
5. 설치
멀웨어는 침입자가 사용할 접근 통로를 확보한다.
6. 명령 및 제어
멀웨어는 침입자가 목표 네트워크에 지속적으로 접근하게 해주며 추후 공격까지 가능하게 해준다.
보안용 카메라, 스마트 온도 조절기, 웨어러블 기기, 심지어 커피메이커까지 아우르는 IoT 기기들은 침입자에게 쉬운 먹잇감이다. 그런 기기들에는 보안 시스템이 거의 또는 아예 없기 때문이다. 킬 체인의 두 번째 단계인 무기 준비를 쉽게 만들어준다는 말이다. 예를 들어, 지난 해 소니의 IP 보안용 카메라 모델 80개에서 백도어가 발견된 적이 있었는데, 이는 해커들이 그만큼 쉽게 접근할 수 있었다는 뜻이다.
단계별 공격은 단계별 방어로 막을 수 있다
킬 체인이 기업의 IoT 보안에 침입하는 것을 막으려면 단계별 접근 방식에 투자하는 것이 최선이다. 이에 대한 네 단계는 다음과 같다.
1. 평가
네트워크를 검사하여 연결된 모든 IoT 기기들을 파악하라. 네트워크에 기기 전부 또는 일부가 연결돼있다면 해당 기기들을 모두 확인해야 한다. 어떤 종류의 기기가, 어떤 운영체계로 돌아가고 있으며, 어떤 애플리케이션과 프로세스가 설치돼있는지 등등을 전부 파악하라.
2. 망 분리
IoT 기기는 다른 기기들과 동일한 네트워크를 사용해선 안 된다. 조직의 핵심 시스템 또는 데이터 네트워크와도 같은 네트워크를 쓰면 안 된다. 이런 세그먼트 사이사이에 방화벽을 설치해서 IoT의 ‘사물’들이 네트워크의 가장 중요한 부분에 닿는 것을 막아라.
3. 탐지
네트워크에 들어오는 모든 IoT 기기를 탐지하기 위해 사용자의 네트워크 사용행태를 정기적으로 분석하라. 또한, 특정 기기가 다른 일반적인 기기들과 비슷하게 작동했는지 면밀하게 검토하라. 감염된 기기나 가짜 기기는 똑같게 보일지는 몰라도 다르게 작동했을 수 있다.
4. 대응
일일이 감시하는 것은 몇 시간에서 며칠이 걸릴 수도 있는 일이므로, 특정한 기기의 접근을 몇 초 내에 막을 수 있는 사용자만의 백업 플랜을 준비하는 것이 좋다.
위와 같은 단계별 방어 전략은 킬 체인 공격의 가능성을 사전에 차단하는 데에도 유용하지만, 누군가 공격에 성공했을 때에도 빠른 대처를 가능하게 한다. 취약점이 탐지되고, 그 취약점에 대한 공격이 발견되었다면, 킬 체인의 가장 마지막 단계인 명령 및 제어를 훼파하는 것이 가장 중요하다. 여기에는 몇 가지 이유가 있다.
1) 명령 및 제어 단계의 공격을 얼마나 빠르고 효과적으로 대응하냐에 따라 미리 수립된 방어 전략의 실현 가능성이 판가름난다. 말만 번지르르한 전략은 진짜 필요할 때 힘을 발휘하지 못한다.
2) 또한 명령 및 제어 단계에서 공격을 발견하고 막으면, 역추적 등으로 용의자의 범위를 최소화시킬 수 있다.
3) 명령 및 제어 단계에서 조치를 취하면 시간을 가장 많이 아낄 수 있다. 이 단계에서는 감염된 기기가 확실해지기 때문에, 해당 기기를 네트워크에서 완전히 분리시키면 문제가 어느 정도 해결된다.
글: 오페르 아미타이(Ofer Amitai)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)