디셉션, 허니팟의 제약사항 보완하는 새로운 기술로 진화
아주 노련한 공격자들도 디셉션에 반복해서 탐지되고 있어
[보안뉴스 오다인 기자] 디셉션(Deception)이라는 거, 허니팟(Honeypot)과 똑같은 거 아닌가? 디셉션 기술이 주제가 될 때마다 자주 나오는 질문이다. 필자는 본 글의 앞부분에서 허니팟의 기원과 배경을 짚어보고, 허니팟이 광범위하게 도입되지 못한 요인들을 언급할 것이다. 그 다음, 본 글의 뒷부분에서 현대의 디셉션 기술을 구성하는 요소들과 그 적용이 어디까지 진화했는지, 그리고 디셉션 기술의 세계적인 도입을 유도하는 특징과 기능들에 대해 설명할 것이다.
[이미지=iclickart]
약 15년 전, 허니드(Honeyd)가 나타났다. 허니드는 상업적으로 이용할 수 있는 최초의 허니팟이었고, 간단한 네트워크 에뮬레이션 툴을 이용해 공격자를 탐지할 수 있도록 설계됐다. 이런 개념은 흥미로웠지만 아주 노련한 직원이 있는 극소수의 조직들을 제하고는 전혀 도입되거나 연구되지 않았다. 허니드는 네트워크 외부에 허니팟을 위치시키고, 내부로 들어오는 네트워크 연결을 기다렸다가, 공격자가 미끼를 무는지 확인한다는 생각을 깔고 있었다.
현재 공격자들은 더욱 정교하고 자금도 탄탄한 데다 점점 더 공격적으로 움직이고 있다. 인간적인 실수는 공격자가 악용할 수 있는 부분을 계속해서 넓혀갈 것이다. 정보 유출이 점점 더 심각해질수록 사람들은 인내심을 잃어가는 중이고, 온갖 규제와 벌금을 비롯해 네트워크 내 위협 탐지가 모든 기업의 보안 인프라에 핵심이 되고 있다. 자본시장 기업 FBR캐피탈마켓(FBR Capital Markets)이 예측하는 것처럼, 탐지 보안 제어로서의 디셉션 기술 시장은 2019년까지 3조 2,600억 원(30억 달러)에 이를 것으로 전망된다. 이는 2016년보다 3배나 큰 규모다.
그러나 구조적인 문제가 있다. 조직들이 예방 인프라에 지나치게 의존한다는 점이다. 이런 이유로 공격자가 네트워크 내부에 일단 들어오기만 하면 탐지되기 어렵다는 빈틈이 생긴다. 우리가 살고 있는 이 연결된 세상에선 공격자들을 바깥에 두는 것만으론 더 이상 충분하지 않다. 아니, 효과가 없다. 또한, 지금의 구조는 특권적인 접근을 갖고 있는 내부자나 하청업체, 공급업체에 적용했을 때도 문제가 발생한다. 모니터링, 패턴 일치, 행동 분석에 의존하는 솔루션들 역시 탐지 제어로 활용될 수는 있지만 오탐(false positives)을 일으키거나 문제를 더 복잡하게 만들고, 자원 소모를 높일 가능성이 높다.
공격자에게 덫을 놓는다는 개념은 디셉션 기술의 효과성 및 진보에 힘입어 다시 나타나고 있다. 디셉션 기술은 이전에 허니팟의 도입을 방해했던 확장성, 배치, 작동 기능 등의 문제를 제거했다. 그 결과, 금융·의료·기술·소매·에너지 등 민간 기업들이나 정부기관들도 방어 전략의 일환으로 디셉션 기술을 도입하고 있다.
디셉션은 아직까지 꽤 새로운 기술이다. 그러므로 경험이 많은 보안 전문가들이 “디셉션이란 건 그냥 허니팟이나 허니넷(Honeynet) 같은 거 아니냐?”고 물어도 놀라울 게 없다. 공평하게 말하자면, 당신이 디셉션과 허니팟이 둘 다 덫을 놓는 기술로 구축됐다고 생각한다면 얼추 맞는 생각이다. 두 기술은 공격자들의 작전에 애매함을 부여하고 엉뚱한 방향으로 보내는 등의 방법을 써서 공격자들을 혼란스럽게 하고, 잘못된 방향으로 유도하며, 공격 감행 시점을 늦추도록 설계돼있다. 그러나 두 기술이 갖는 유사성은 이 정도가 전부다.
디셉션의 진화
미국의 퍼듀대학교(Purdue University) 컴퓨터 공학과 교수이자 보안 전문가인 진 스패포드(Gene Spafford)는 1989년 사이버 디셉션 개념을 최초로 소개한 사람이다. 당시 스패포드는 공격 식별을 위한 ‘능동적인 방어(active defenses)’를 주장했는데, 이 능동적인 방어란 건 공격자들의 속도를 저하시키고 그들의 기술을 학습하며 가짜 데이터를 주도록 설계돼 있었다.
그 다음 세대에선 허니팟이라는 진보가 나타났다. 허니드 같은 허니팟들은 상호작용이 적으면서 제한적인 서비스 에뮬레이션을 바탕으로 구축됐다. 대규모 네트워크 스캐닝이나 자동화된 공격들(멀웨어, 스크립트, 봇, 스캐너 등)을 탐지하고, 웜을 추적하며, 지출을 줄이는 것은 상호작용이 적은 허니팟의 최대 장점이었다. 그러나 허니팟의 도입은 수많은 제약사항과 기타 관리의 복잡성 때문에 제한될 수밖에 없었다. 다음을 참고하자.
1) 허니팟은 네트워크 밖의 위협을 탐지하도록 설계됐으며, 네트워크 내부 탐지에 필요한 것들보다 일반적인 조사에 과도하게 집중했다.
2) 인간 공격자들은 시스템이 에뮬레이션 됐는지 쉽게 파악할 수 있었기 때문에 그 흔적을 채취한 뒤 허니팟의 탐지를 피하는 방법을 알아냈다.
3) 이 시스템은 상호작용이 많지 않았기 때문에, 수집될 수 있는 공격 정보를 제한하고 추후 사건 대응을 향상시킬 여지도 확보하지 못했다.
4) 공격자들은 침해된 시스템을 이용해 공격을 지속하기 위한 중심점으로 활용할 수 있었다.
5) 허니팟은 확장성을 고려해 설계된 것이 아니었기 때문에, 운영에 크게 의존했다. 즉, 숙련된 보안 전문가들이 운영을 맡아야만 했다.
디셉션 기술은 기념비적인 진보를 이뤘다. 이전의 제한적이고 정적인 역량에서부터 쉽게 운영 가능하고 쉽게 확장할 수 있는 수준으로 발전한 것이다. 디셉션 기술은 이제 적응력이 뛰어난 머신 러닝 디셉션으로 진화했다. 현재 디셉션 플랫폼은 정확성과 매력적인 유인들, 확장성, 구동성, 통합성 등을 축으로 사건 대응을 가속화하고 있다. 자체적인 내부 테스트와 함께 점점 더 커지는 디셉션 시장 내 여러 요인을 보면, 지금의 디셉션은 아주 정확해서 고도로 숙련된 공격 팀 침투 테스터들도 계속해서 미끼를 무는 상황까지 발전했다는 걸 알 수 있다. 아주 노련한 공격자들도 탐지용 유인물로 설치된 덫을 반복해서 밟고, 자신들의 크리덴셜을 남기고 있는 것이다. 현재 디셉션은 매우 솜씨 좋은 사이버 공격자들을 성공적으로 탐지하면서 혼란을 주고, 그들의 정체까지 밝혀내는 기술적 역량을 갖췄다.
글 : 캐롤린 크랜달(Carolyn Crandall)
[국제부 오다인 기자(boan2@boannews.com)]
아주 노련한 공격자들도 디셉션에 반복해서 탐지되고 있어
[보안뉴스 오다인 기자] 디셉션(Deception)이라는 거, 허니팟(Honeypot)과 똑같은 거 아닌가? 디셉션 기술이 주제가 될 때마다 자주 나오는 질문이다. 필자는 본 글의 앞부분에서 허니팟의 기원과 배경을 짚어보고, 허니팟이 광범위하게 도입되지 못한 요인들을 언급할 것이다. 그 다음, 본 글의 뒷부분에서 현대의 디셉션 기술을 구성하는 요소들과 그 적용이 어디까지 진화했는지, 그리고 디셉션 기술의 세계적인 도입을 유도하는 특징과 기능들에 대해 설명할 것이다.
[이미지=iclickart]
약 15년 전, 허니드(Honeyd)가 나타났다. 허니드는 상업적으로 이용할 수 있는 최초의 허니팟이었고, 간단한 네트워크 에뮬레이션 툴을 이용해 공격자를 탐지할 수 있도록 설계됐다. 이런 개념은 흥미로웠지만 아주 노련한 직원이 있는 극소수의 조직들을 제하고는 전혀 도입되거나 연구되지 않았다. 허니드는 네트워크 외부에 허니팟을 위치시키고, 내부로 들어오는 네트워크 연결을 기다렸다가, 공격자가 미끼를 무는지 확인한다는 생각을 깔고 있었다.
현재 공격자들은 더욱 정교하고 자금도 탄탄한 데다 점점 더 공격적으로 움직이고 있다. 인간적인 실수는 공격자가 악용할 수 있는 부분을 계속해서 넓혀갈 것이다. 정보 유출이 점점 더 심각해질수록 사람들은 인내심을 잃어가는 중이고, 온갖 규제와 벌금을 비롯해 네트워크 내 위협 탐지가 모든 기업의 보안 인프라에 핵심이 되고 있다. 자본시장 기업 FBR캐피탈마켓(FBR Capital Markets)이 예측하는 것처럼, 탐지 보안 제어로서의 디셉션 기술 시장은 2019년까지 3조 2,600억 원(30억 달러)에 이를 것으로 전망된다. 이는 2016년보다 3배나 큰 규모다.
그러나 구조적인 문제가 있다. 조직들이 예방 인프라에 지나치게 의존한다는 점이다. 이런 이유로 공격자가 네트워크 내부에 일단 들어오기만 하면 탐지되기 어렵다는 빈틈이 생긴다. 우리가 살고 있는 이 연결된 세상에선 공격자들을 바깥에 두는 것만으론 더 이상 충분하지 않다. 아니, 효과가 없다. 또한, 지금의 구조는 특권적인 접근을 갖고 있는 내부자나 하청업체, 공급업체에 적용했을 때도 문제가 발생한다. 모니터링, 패턴 일치, 행동 분석에 의존하는 솔루션들 역시 탐지 제어로 활용될 수는 있지만 오탐(false positives)을 일으키거나 문제를 더 복잡하게 만들고, 자원 소모를 높일 가능성이 높다.
공격자에게 덫을 놓는다는 개념은 디셉션 기술의 효과성 및 진보에 힘입어 다시 나타나고 있다. 디셉션 기술은 이전에 허니팟의 도입을 방해했던 확장성, 배치, 작동 기능 등의 문제를 제거했다. 그 결과, 금융·의료·기술·소매·에너지 등 민간 기업들이나 정부기관들도 방어 전략의 일환으로 디셉션 기술을 도입하고 있다.
디셉션은 아직까지 꽤 새로운 기술이다. 그러므로 경험이 많은 보안 전문가들이 “디셉션이란 건 그냥 허니팟이나 허니넷(Honeynet) 같은 거 아니냐?”고 물어도 놀라울 게 없다. 공평하게 말하자면, 당신이 디셉션과 허니팟이 둘 다 덫을 놓는 기술로 구축됐다고 생각한다면 얼추 맞는 생각이다. 두 기술은 공격자들의 작전에 애매함을 부여하고 엉뚱한 방향으로 보내는 등의 방법을 써서 공격자들을 혼란스럽게 하고, 잘못된 방향으로 유도하며, 공격 감행 시점을 늦추도록 설계돼있다. 그러나 두 기술이 갖는 유사성은 이 정도가 전부다.
디셉션의 진화
미국의 퍼듀대학교(Purdue University) 컴퓨터 공학과 교수이자 보안 전문가인 진 스패포드(Gene Spafford)는 1989년 사이버 디셉션 개념을 최초로 소개한 사람이다. 당시 스패포드는 공격 식별을 위한 ‘능동적인 방어(active defenses)’를 주장했는데, 이 능동적인 방어란 건 공격자들의 속도를 저하시키고 그들의 기술을 학습하며 가짜 데이터를 주도록 설계돼 있었다.
그 다음 세대에선 허니팟이라는 진보가 나타났다. 허니드 같은 허니팟들은 상호작용이 적으면서 제한적인 서비스 에뮬레이션을 바탕으로 구축됐다. 대규모 네트워크 스캐닝이나 자동화된 공격들(멀웨어, 스크립트, 봇, 스캐너 등)을 탐지하고, 웜을 추적하며, 지출을 줄이는 것은 상호작용이 적은 허니팟의 최대 장점이었다. 그러나 허니팟의 도입은 수많은 제약사항과 기타 관리의 복잡성 때문에 제한될 수밖에 없었다. 다음을 참고하자.
1) 허니팟은 네트워크 밖의 위협을 탐지하도록 설계됐으며, 네트워크 내부 탐지에 필요한 것들보다 일반적인 조사에 과도하게 집중했다.
2) 인간 공격자들은 시스템이 에뮬레이션 됐는지 쉽게 파악할 수 있었기 때문에 그 흔적을 채취한 뒤 허니팟의 탐지를 피하는 방법을 알아냈다.
3) 이 시스템은 상호작용이 많지 않았기 때문에, 수집될 수 있는 공격 정보를 제한하고 추후 사건 대응을 향상시킬 여지도 확보하지 못했다.
4) 공격자들은 침해된 시스템을 이용해 공격을 지속하기 위한 중심점으로 활용할 수 있었다.
5) 허니팟은 확장성을 고려해 설계된 것이 아니었기 때문에, 운영에 크게 의존했다. 즉, 숙련된 보안 전문가들이 운영을 맡아야만 했다.
디셉션 기술은 기념비적인 진보를 이뤘다. 이전의 제한적이고 정적인 역량에서부터 쉽게 운영 가능하고 쉽게 확장할 수 있는 수준으로 발전한 것이다. 디셉션 기술은 이제 적응력이 뛰어난 머신 러닝 디셉션으로 진화했다. 현재 디셉션 플랫폼은 정확성과 매력적인 유인들, 확장성, 구동성, 통합성 등을 축으로 사건 대응을 가속화하고 있다. 자체적인 내부 테스트와 함께 점점 더 커지는 디셉션 시장 내 여러 요인을 보면, 지금의 디셉션은 아주 정확해서 고도로 숙련된 공격 팀 침투 테스터들도 계속해서 미끼를 무는 상황까지 발전했다는 걸 알 수 있다. 아주 노련한 공격자들도 탐지용 유인물로 설치된 덫을 반복해서 밟고, 자신들의 크리덴셜을 남기고 있는 것이다. 현재 디셉션은 매우 솜씨 좋은 사이버 공격자들을 성공적으로 탐지하면서 혼란을 주고, 그들의 정체까지 밝혀내는 기술적 역량을 갖췄다.
글 : 캐롤린 크랜달(Carolyn Crandall)
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
