차단 중심이 아닌 탐지 중심의 최신 보안 트렌드
지속해서 발전하고 확대되는 사이버 위협에 대해 방어자(예, 기업 내부 보안팀)는 공격자에 비해 매우 불리한 상황에 놓여있을 것입니다. 예를 들면 공격자는 특정 기업의 서비스나 인프라에 대해 100개의 취약점 중 공격 가능한 하나의 취약점을 찾아 공격을 시도하면 되겠지만 방어자의 입장에서는 100개의 취약점을 모두 조치한 후 새롭게 발견되는 또 다른 취약점에 대해서도 분석하고 업데이트를 하는 등 지속적인 관리가 필요하기 때문입니다. 만약 기업 내 방어자, 즉 내부 보안팀의 인력이 10명이라면 해커는 불특정 다수이기 때문에 시작부터 불리한 게임이라는 논리가 될 것입니다.
APT 사이클
이러한 배경과 맞물려 기존에는 다소 수동적인 차단 중심의 보안이 주를 이루었다면, 최근 보안 트렌드는 보다 적극적인 탐지 중심으로 이동하였습니다. 이미 내부망으로 침투한 호스트를 통해 피해자의 네트워크를 스캔하고 공격 타겟을 정하기 위해 공격자가 시간을 쏟는 동안 각 구간 별 다양한 보안솔루션들은 지속적으로 이러한 공격을 차단하고 있겠지만 사전에 차단할 수 없었고 엔드포인트 단에서 이미 침투를 당한 상황이라면 그다음 단계로 공격이 이루어지기 전에 방어자가 먼저 탐지 전략을 세울 수도 있습니다. (APT 싸이클 상단 사진 참조) 이와 같은 방식의 보안 전략이 현재 전 세계의 보안 트렌드이자 방어자의 입장에서 먼저 적극적으로 위협을 식별하고 탐지하는 위협 헌팅 (Threat Hunting)이라는 개념이 생기게 된 배경입니다.
위협 검색 (Threat Hunting) 과 TTP
Threat Hunting의 사전적 의미 : 잠재적 위협요인을 능동적으로 탐지해 제거하는 기술로 정상 수준을 벗어나는 내부 위협요소를 도출하고 공격자의 TTP(Tactics, Techniques, Procedure)를 예측하는 반복적인 과정을 통해, 적정한 보안 수준을 유지하고 미래의 사고 발생 가능성을 낮추는 것을 목표로 함 위협 헌팅 (Threat Hunting)의 개념은 외부 공격에 수동적으로 대응하는 보안 관제와는 다른 개념으로 군대로 비유하면 수색대와 같은 역할이라고 할 수 있을 것입니다. 이러한 Threat Hunting의 개념을 토대로 탐지 중심의 보안 전략에서는 TTP 기반의 탐지 개념이 주를 이루고 있는데, 이는 시그너처 기반의 탐지 방식 즉, IoC 기반의 탐지에 한계가 존재하기 때문입니다. 악성코드에 대한 시그너처가 없으면 탐지가 되지 않고 우회하기 쉬워지는데 이러한 배경에서 궁극적으로 등장한 것이 행위 기반 탐지를 위한 TTP 기반의 탐지 개념입니다. TTP는 공격자의 행위를 체계적으로 이해하기 위한 사고의 틀을 시작으로 등장하였습니다. TTP는 IoC(Indicators of Compromise : 침해 지표)를 포함한 상위 개념으로 인식되어 최근의 침해 사고 또는 악성코드 분석 보고서에서 많이 쓰이고 있는데, TTP 개념에 조금 더 깊게 접근하기 위해서 Indicators of Compromise에 대한 그 사전적 의미를 고민해 볼 필요가 있을 것입니다.
breach는 침해, 즉 무언가로부터 공격을 받은 의미가 정확하게 들어가 있고 compromise는 타협이라는 의미로 처음부터 의도하지는 않았으나 이점과 해악의 중간 지점을 찾았다는 내용을 내포하고 있습니다. 보안적인 관점에서 보자면 공격자가 취약점을 파악하여 공격에 성공한 후, 방어자가 사고 조사 시 공격에 활용된 정보가 포함되어 있는가에 대한 미묘한 차이가 있어 보입니다. 서두가 조금 길었지만 이렇기 때문에 IoC (침해 지표 : Indicators of Compromise)에서 분류되는 정보들은 특정 침해 사고의 증거 및 흔적들을 의미하는 데이터이며, 본래 디지털 포렌식 및 사고 대응 분야에서 사용되어 왔습니다. 현재는 대부분의 보안솔루션 장비에서 침해 사고 이력을 확인하기 위한 정보로 확장되어 활용되고 있습니다.
그래서 TTP (Tactics, Techniques and Procedure)는 무엇인가요?
그중 IoC (침해 지표)에서 TTP는 피라미드 꼭대기에 있는 가장 분석하기 어려운 단계입니다. Hash Values, IP Address, Domain Names 와 같은 정수나 스트링 값들을 IoC라고 할 수 있는데 이때 정수로 나타낼 수 없는 행위로 설명되는 단계를 TTP라고 합니다. 이렇게 행위를 기반한 공격을 탐지하기 위해서는 방대한 데이터와 함께 그 데이터에 대한 가시성이 요구되는데 이러한 요구사항을 바탕으로 EDR(Endpoint Detect Response) 솔루션이 등장하였으나 EDR은 호스트의 데이터만 수집하기 때문에 네트워크 패킷 수집 및 분석을 통한 공격자의 행위를 설명하는 것에는 한계가 있습니다.
북한의 3대 해킹그룹인 안다리엘이나 라자루스 같은 공격 그룹이 사용했던 기술들을 분석해 구체적으로 에뮬레이션을 할 수 있도록 공격 시나리오를 구성하고 기업 내부 보안팀의 사이버 위협 대응 체계 내에서 각 보안 솔루션과 장비들이 공격을 잘 탐지해 내는지 식별하여 차단되지 않은 항목이 있을 경우 조치해 나감으로써 내부 보안을 강화하는 것이 Threat Informed Defense 개념입니다.
이러한 전략과 정책을 기반으로 등장한 솔루션이 바로 BAS 솔루션 입니다.
BAS(Breach and Attack Simulation) 란?
BAS(Breach and Attack Simulation)란 보안 솔루션이 사이버 공격을 탐지하고 적절하게 대응하는지 검증하도록 설계되어 있습니다. 그리고 실제 보안 위협을 모방하여 기업이 사고에 대응할 계획을 수립하고 보안 시스템의 잠재적 취약성을 발견하는 데 도움이 됩니다. 또한 BAS 솔루션은 다른 보안 솔루션 시스템의 탐지, 차단 성능을 테스트하여 공격이 수행되는 방식에 대한 분석을 제공하고 있습니다.
가트너(미국의 정보 기술 연구 및 자문 회사)에서는 BAS 솔루션의 기술을
"기업이 소프트웨어 에이전트, 가상 머신 및 기타 수단을 사용하여 내부 위협, 측면 이동 및 데이터 유출을 포함한 기업 인프라에 대한 전체 공격 주기를 지속적이고 일관되게 시뮬레이션 할 수 있도록 하는 도구"로 정의하고 있습니다.
많은 기업에서 '보안 시스템 업데이트'나 '보안 정책 변경'을 하면서 그 시스템의 효율성을 확인함에 있어 모의 공격 또는 샘플 테스트 등이 없이는 어려움이 있을 수 있습니다.
BAS 솔루션은 이러한 상황에서 맞춤형 시뮬레이션을 통해 다양한 표면 공격 또는 기업 내 고유한 환경 속에서 비롯된 보안 위협을 모방하여 여러 가지 형태의 위협에 대해 적절하게 방어하고 대응하는지 테스트하고 시스템의 효율성을 확인하는 데 도움이 될 수 있습니다.
글. 김동욱 엔지니어 _ 다온기술
Comments