직접적인 방어 역할도 해주고, 장기적인 보안 전략 마련의 기틀도 잡아주고
[보안뉴스 문가용 기자] 전쟁 시에 교란 작전이나 속임수를 활용하는 전략은 태고부터 존재해온 것이었다. 수천 년전, 중국의 손자는 “군사작전은 속임수로 이루어진다(병자궤도야)”고까지 썼다. IT 업계에서도 해커들을 방어하기 위해 속임수를 도입한 게 새롭지 않다. 가장 먼저 속임수를 사용한 건 클리포드 스톨(Clifford Stoll)이라는 민간 기업으로 마치 전략적 기밀이 담겨 있는 듯한 가짜 파일을 다수 만들어 스파이들을 속인 것이다. 여기에 속아 많은 KGB와 관련이 있는 해커들이 다수 걸려들었다.
[이미지 = iclickart]
그렇다면 ‘방어로서의 속임수’란 무엇인가? 기만전술이란 정확히 뭘 말하는 걸까? 정보보안에 있어서 가장 널리 사용되고 있는 속임수는 허니팟(honeypot)이다. 허니팟은 공격자들의 주의를 끌기 위해 만들어진 가짜 서버나 네트워크 서비스를 말한다. 허니팟 전도사를 자칭하는 보안 전문가 랜스 스피츠너(Lance Spitzner)에 따르면 “허니팟은 누군가 실제로 공격을 위해 정찰을 하고 실제 침투 행위를 감행한다는 것 자체로 큰 의미를 갖는다”고 설명한다. 방어에 성공했다는 것 외에 더 큰 뭔가가 있다는 것이다.
“그렇기에 누군가 걸려들게 하려면 굉장히 그럴듯해 보여야 합니다. 신용카드 정보가 수천만 건 저장되어 있다든지, 군사 기밀을 누군가 수집해 놓은 것처럼 보인다든지 하는 식으로 말입니다. 여기에 비밀번호를 살짝 약하게 설정해 놓는 것도 도움이 됩니다. 이런 장치를 심어놓는 목적은 1차적으로 실제 공격자들이 접근해서는 안 되는 곳으로부터 시선을 돌리기 위함입니다.” 허니팟에 가짜 로그인 정보를 가득 저장해두었고, 누군가 그걸 훔쳐갔다면, 설치한 허니팟 토큰 등을 활용해 추적할 수도 있다.
레드 팀과 블루 팀으로 나눠놓고 진행하는 모의 공격 및 모의 방어 훈련 시에도 허니팟이 사용된다. 전문가 프레드 코헨(Fred Cohen)은 이미 2001년 허니팟 기술을 응용해 레드 팀의 속도를 크게 늦추는 데에 성공한 적이 있다. 재미있는 건 훈련 프로그램을 몇 차례 진행하고 나서 허니팟을 제거했을 때에도 역시 공격자들의 시간이 느려졌다는 것이다. 이에 대해 당시 코헨 박사는 “허니팟에 당해 본 공격자들이, 네트워크 침투 후 허니팟 유무를 지나치게 꼼꼼하게 살피느라 공격 소요 시간이 연장된 것”이라고 설명했다.
현존하는 ‘기만전술’ 전용 툴들은 전문가들이 악성 행위자들의 트렌드를 파악하고 C&C 봇넷을 탐색하고 분석용 멀웨어 샘플을 채취하는 데에 사용하는 허니팟들로 구성되어 있는 게 대부분이다. 당연히 기업의 방어에 직접적인 도움을 주는 허니팟들은 아니다. 이런 허니팟 솔루션들이 주로 사용되는 것은 현재 사법기관과 군 조직들이다. 즉, 지금 IT 환경에서 사용되는 ‘기만전술’이란 ‘방패’로서 활용되는 게 아니라 좀 더 긴 시각에서 방어자의 힘을 키우는 데에 사용된다고 볼 수 있다.
그렇지만 허니팟이 방어의 ‘대세’이자 ‘누구나 사용하는 기술’이라고 볼 수는 없다. 왜 그런 것일까? “사람은 새로운 해결책이 주는 낯섦보다 오래된 골칫거리가 주는 익숙함을 선호하기 때문”이라고 존 맥스웰(John Maxwell)은 설명한다.
그렇기에 ‘기만전략’이 유용하기는 하지만 주류의 반열에 올라서지 못했기 때문에 컴플라이언스 실천 사항에 포함되지도 못하고, 그 어떤 감사관도 허니팟을 제대로 된 보안 조치로 인정하지 않는다. 그렇다면 예산이 빠듯한 CISO가 굳이 허니팟을 활용하게 될까? 돈을 써봐야 감사에 아무런 도움이 되지 않는데 말이다. 그러니 허니팟은 점점 ‘부자’들의 전유물처럼 되어가고 있다. 효과가 널리 알려진 솔루션의 현주소다.
물론 허니팟을 안 쓰는 게 단순 돈 문제인 것만은 아니다. 워낙 진짜 서버나 데이터와 비슷하기 때문에 IT 담당자들이 스스로 속는 경우도 꽤나 자주 발생한다. 그렇다고 이 덫에 대해 자세히 설명하거나 교육하면, ‘몰래 설치되어야만 하는’ 덫의 기본이 무시된다. 악성 내부자가 있을 경우 ‘교육’은 더욱 위험해진다. 경우에 따라서는 그럴듯한 덫을 친 게 오히려 법적 책임을 물어야 하는 요인이 되기도 한다. 게다가 허니팟은 사용처에 맞게 ‘맞춤형 제작’이 반드시 필요하다는 어려움도 존재한다. 게다가 이는 주기적으로 변경해주어야 하기도 하는데, 이걸 해낼 기업이 그리 많지 않은 것도 사실이다.
최근까지 이러한 어려운 점들 때문에 허니팟이 대세로 떠오르지는 못했다. 하지만 여유가 되기만 한다면 반드시 최우선으로 고려해볼만 한 게 바로 허니팟이다. 공격을 막아줄뿐만 아니라, 누가 당신을 어떻게 왜 노리는지도 알려주는 소중한 ‘보약’으로서 작용도 하기 때문이다.
글 : 레이몬드 폼폰(Raymond Pompon)
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 전쟁 시에 교란 작전이나 속임수를 활용하는 전략은 태고부터 존재해온 것이었다. 수천 년전, 중국의 손자는 “군사작전은 속임수로 이루어진다(병자궤도야)”고까지 썼다. IT 업계에서도 해커들을 방어하기 위해 속임수를 도입한 게 새롭지 않다. 가장 먼저 속임수를 사용한 건 클리포드 스톨(Clifford Stoll)이라는 민간 기업으로 마치 전략적 기밀이 담겨 있는 듯한 가짜 파일을 다수 만들어 스파이들을 속인 것이다. 여기에 속아 많은 KGB와 관련이 있는 해커들이 다수 걸려들었다.
[이미지 = iclickart]
그렇다면 ‘방어로서의 속임수’란 무엇인가? 기만전술이란 정확히 뭘 말하는 걸까? 정보보안에 있어서 가장 널리 사용되고 있는 속임수는 허니팟(honeypot)이다. 허니팟은 공격자들의 주의를 끌기 위해 만들어진 가짜 서버나 네트워크 서비스를 말한다. 허니팟 전도사를 자칭하는 보안 전문가 랜스 스피츠너(Lance Spitzner)에 따르면 “허니팟은 누군가 실제로 공격을 위해 정찰을 하고 실제 침투 행위를 감행한다는 것 자체로 큰 의미를 갖는다”고 설명한다. 방어에 성공했다는 것 외에 더 큰 뭔가가 있다는 것이다.
“그렇기에 누군가 걸려들게 하려면 굉장히 그럴듯해 보여야 합니다. 신용카드 정보가 수천만 건 저장되어 있다든지, 군사 기밀을 누군가 수집해 놓은 것처럼 보인다든지 하는 식으로 말입니다. 여기에 비밀번호를 살짝 약하게 설정해 놓는 것도 도움이 됩니다. 이런 장치를 심어놓는 목적은 1차적으로 실제 공격자들이 접근해서는 안 되는 곳으로부터 시선을 돌리기 위함입니다.” 허니팟에 가짜 로그인 정보를 가득 저장해두었고, 누군가 그걸 훔쳐갔다면, 설치한 허니팟 토큰 등을 활용해 추적할 수도 있다.
레드 팀과 블루 팀으로 나눠놓고 진행하는 모의 공격 및 모의 방어 훈련 시에도 허니팟이 사용된다. 전문가 프레드 코헨(Fred Cohen)은 이미 2001년 허니팟 기술을 응용해 레드 팀의 속도를 크게 늦추는 데에 성공한 적이 있다. 재미있는 건 훈련 프로그램을 몇 차례 진행하고 나서 허니팟을 제거했을 때에도 역시 공격자들의 시간이 느려졌다는 것이다. 이에 대해 당시 코헨 박사는 “허니팟에 당해 본 공격자들이, 네트워크 침투 후 허니팟 유무를 지나치게 꼼꼼하게 살피느라 공격 소요 시간이 연장된 것”이라고 설명했다.
현존하는 ‘기만전술’ 전용 툴들은 전문가들이 악성 행위자들의 트렌드를 파악하고 C&C 봇넷을 탐색하고 분석용 멀웨어 샘플을 채취하는 데에 사용하는 허니팟들로 구성되어 있는 게 대부분이다. 당연히 기업의 방어에 직접적인 도움을 주는 허니팟들은 아니다. 이런 허니팟 솔루션들이 주로 사용되는 것은 현재 사법기관과 군 조직들이다. 즉, 지금 IT 환경에서 사용되는 ‘기만전술’이란 ‘방패’로서 활용되는 게 아니라 좀 더 긴 시각에서 방어자의 힘을 키우는 데에 사용된다고 볼 수 있다.
그렇지만 허니팟이 방어의 ‘대세’이자 ‘누구나 사용하는 기술’이라고 볼 수는 없다. 왜 그런 것일까? “사람은 새로운 해결책이 주는 낯섦보다 오래된 골칫거리가 주는 익숙함을 선호하기 때문”이라고 존 맥스웰(John Maxwell)은 설명한다.
그렇기에 ‘기만전략’이 유용하기는 하지만 주류의 반열에 올라서지 못했기 때문에 컴플라이언스 실천 사항에 포함되지도 못하고, 그 어떤 감사관도 허니팟을 제대로 된 보안 조치로 인정하지 않는다. 그렇다면 예산이 빠듯한 CISO가 굳이 허니팟을 활용하게 될까? 돈을 써봐야 감사에 아무런 도움이 되지 않는데 말이다. 그러니 허니팟은 점점 ‘부자’들의 전유물처럼 되어가고 있다. 효과가 널리 알려진 솔루션의 현주소다.
물론 허니팟을 안 쓰는 게 단순 돈 문제인 것만은 아니다. 워낙 진짜 서버나 데이터와 비슷하기 때문에 IT 담당자들이 스스로 속는 경우도 꽤나 자주 발생한다. 그렇다고 이 덫에 대해 자세히 설명하거나 교육하면, ‘몰래 설치되어야만 하는’ 덫의 기본이 무시된다. 악성 내부자가 있을 경우 ‘교육’은 더욱 위험해진다. 경우에 따라서는 그럴듯한 덫을 친 게 오히려 법적 책임을 물어야 하는 요인이 되기도 한다. 게다가 허니팟은 사용처에 맞게 ‘맞춤형 제작’이 반드시 필요하다는 어려움도 존재한다. 게다가 이는 주기적으로 변경해주어야 하기도 하는데, 이걸 해낼 기업이 그리 많지 않은 것도 사실이다.
최근까지 이러한 어려운 점들 때문에 허니팟이 대세로 떠오르지는 못했다. 하지만 여유가 되기만 한다면 반드시 최우선으로 고려해볼만 한 게 바로 허니팟이다. 공격을 막아줄뿐만 아니라, 누가 당신을 어떻게 왜 노리는지도 알려주는 소중한 ‘보약’으로서 작용도 하기 때문이다.
글 : 레이몬드 폼폰(Raymond Pompon)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
 TH.jpg)
 TH.jpg)
 th.jpg)
 THJ.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
