보안

적극적 방어 접근 방식 '위협 사냥'이란 무엇인가

Mary K. Pratt | CSO 2020.08.25
공격자가 수 개월동안 시스템에 탐지되지 않고 숨어 있는 상황에서 위협 사냥(Threat hunting)은 보안의 필수 요소가 되고 있다.
 
ⓒ Getty Images Bank
 
셀림 아이시
셀림 아이시는 더욱 공격적으로 변했다. 소프트웨어 업체인 엘리메(Ellie Mae) CISO인 셀림 아이시는 보안팀이 자사의 기업 시스템에 잠입하려는 침입자를 찾아내고 숨을 수 있는 곳을 근절하기 위해 노력하고 있다. 아이시는 공격자가 행동을 취하기 전에 차단하길 원한다. 

아이시는 위협 사냥은 예방을 좀 더 생산적으로 만드는 것이라고 말했다. "탐지처럼 수동적이지 않다. 이런 위협을 사전에 검색해 격리할 수 있도록 하는 것이다. 이것이 위협 사냥을 진정으로 적극적인 방어로 만드는 이유다."
 
아이시는 사이버보안 프로그램에 위협 사냥을 추가한 CISO 가운데 한명으로, 이 접근 방식을 모니터를 회피한 침입자 또는 새로워 아직 차단할 수 없는 침입자를 식별하는 방법으로 보고 있다. 


위협 사냥의 정의 

위협 사냥은 기업의 시스템에 숨어있는 위협을 사전에 검색하는 관행이다. 전문가들은 위협 사냥은 그 자체로 완벽하진 않지만 여전히 중요한 기존의 경계 방어를 기반으로 하는 기업 보안의 필수 요소가 되고 있다고 말한다. 
 
그레고리 투힐
카네기 멜론 대학의 하인즈 정보시스템 및 공공정책 대학 부교수이자 최초의 미 연방 정부 CISO를 역임한 그레고리 투힐은 “보안의 경계 방어 모델은 조직이 외부와 내부의 공격을 받을 여지를 남겨둔다. 따라서 CISO는 공격자가 중간에 있다는 가정을 하고 사전에 숨어있는 사람의 징후를 찾고자 한다”라고 말했다.
 
확실히 보안팀은 항상 기업에 대한 위협을 식별하고 기업 방어를 통과한 위협을 차단하는 임무를 맡아왔다. 

그러나 보안팀은 과거의 보안운영센터(Security Operations Center, SOC) 내에 모니터링 시스템에서 경보를 발령한 경우와 같이 어떤 방식으로든 알려진 위협을 식별한다. 경영 컨설팅 업체인 프로티비티(Protiviti)의 보안 및 개인정보보호 책임자인 마이크 오르트립은 “탐지 전 시스템의 평균 시간은 100일 이상이므로 해당 활동을 찾아야 한다. 하지만 위협 사냥은 공격자들이 성공하기 전에 이를 막을 수 있다”라고 설명했다.
 
마이크 오르트립
그래서 오르트립과 다른 전문가들은 위협 사냥의 사전 예방적 특성을 강조했는데, 이는 ISO와 보안 직원이 기업을 더 잘 보호하는 데 도움이 된다고 하는 이유다.
 
투힐은 “위협 사냥은 기본적으로 숨겨져 있는 위협을 사전에 검색하는 것이 원칙이다. 많은 국가 주도의 공격자와 범죄 그룹, 그리고 다른 악의적인 행위자들은 기업 네트워크에 잠입해 사용자의 정보를 수집하고 데이터와 로그인 정보를 얻을 수 있는 어두운 구석에 숨어있는 역량을 갖고 있다. 공격자는 해당 기업의 비즈니스 프로세스와 자격 증명을 이해한 후, 다음 공격을 시작하기로 선택한 시점에서 얻은 정보를 사용할 수 있다. 이런 사례들을 민간과 공공 부문 모두에서 발생했다”라고 말했다.

  
현재 위협 사냥을 도입하는 이유 

물론 보안팀의 목표는 외부에서 시도된 해킹을 차단하거나 위험한 직원의 행동을 막는 것을 포함해 항상 가능한 한 빨리 나쁜 일이 발생하지 않도록 하는 것이다. 그러나 CISO는 오랫동안 실행되어 오던 방어 전략이 공격을 차단하는 데 원하는 만큼 효과적이지 않았다는 것을 대부분 인정한다. 

사이버보안 플랫폼 제공업체인 아르코스 랩스(Arkose Labs)의 2020년 2분기 사기 및 악용 보고서에 따르면, 올해 1분기 전 세계적으로 4억 4,500만 건의 공격이 탐지되어 총 공격 수가 44% 증가했다. 

이런 통계는 그리 놀라운 것은 아니다. 다른 연구에서도 사이버 공격이 증가하고 있다는 결과가 지속적으로 발표되는 상황이다. 동시에 기업의 IT 스택은 조직의 시스템과 IT를 분리하는 경계가 급속히 사라지면서 더욱 복잡하고 다공성화됐다.
 
볼프강 괴리치
시스코의 한 사업부인 듀오 시큐리티(Duo Security) 자문 CISO 볼프강 괴리치는 "기업 보안팀이 위협을 따라잡는데 종종 어려움을 겪고 있다"라고 말했다. SOC는 발생할 수 있는 문제에 대한 경고가 넘쳐나기 때문에 이 모두를 조사할 수 없다. 실제로 시스코의 2020년 CISO 벤치마크 보고서에 따르면, 기업의 41%가 하루에 1만 건 이상의 경고를 받는 것으로 나타났다.  

경고 피로가 누적되면 보안팀은 효과적으로 활동하지 못하게 될 수 있다. 괴리치는 “만약 계속해서 경고를 받으면 깊이 생각할 수 없고, 넓게 생각할 수도 없다”라고 말했다. 또한 경고는 일반적으로 적극적인 공격 시도를 나타내는데, 공격할 적절한 시간을 기다리거나 모니터링 시스템에 알려지지 않은 새로운 위협을 찾는데에는 효과적이지 않다. 
 
괴리치는 엄격한 대응적 접근 방식과 결합한 경고 과부하가 어떻게 기업을 위험에 빠트리는 지 확인했다. 괴리치는 기업에 대한 공격을 시뮬레이션하는 레드 팀을 이끌고 기업 시스템에 침입하기 위해 다양한 전술을 사용해 보안 태세를 테스트했다. 보안팀은 실제로 SOC에 피싱 이메일 및 악성코드를 경고하는 모니터링 시스템을 통해 개별 공격 부문을 식별했다. 그러나 보안팀은 개별적인 시도가 본격적인 이벤트로 확대되는 것을 성공적으로 막았지만, 현재 진행중인 다각적인 공격이 있다는 큰 그림을 보지 못했다.
 
괴리치는 “보안팀이 해야 할 일을 빠른 방식으로 마무리할 때, 무슨 일이 일어나고 있는지에 대한 전체적인 상황을 놓치게 된다”라고 설명했다. 그러나 사전 예방적 접근 방식과 IT 스택 전반의 초점을 맞춘 위협 사냥은 보안팀이 공격 활동을 파악하는데 도움을 줄 수 있다. 


위협 사냥은 누구를 위한 것인가  

위협 사냥은 새로운 것은 아니지만, 머신러닝과 같은 새로운 기술이 더 성숙해짐에 따라 주류가 되고 위협 인텔리전스가 더욱 풍부해지고 널리 사용 가능해져 기업 보안의 주요 계층이 되고 있다. 괴리치는 “지난 수년간 위협 사냥이 널리 알려졌기 때문에 더 많은 기업에서 이를 검토해왔다”라고 말했다. 

시스코의 2020 CISO 벤치마크 보고서에 따르면, 대기업의 76%가 위협 사냥팀을 운영하고 있다. 시스코의 또 다른 보고서인 <중소기업계의 빅 시큐리티: 중소기업 사이버보안을 위한 10가지 신화를 깨는 사람들>에서는 중소기업의 72%가 일부 직원을 위협 사냥에 전념하도록 한다고 밝혔다. 

또한 전문가들은 효과적인 프로그램에 필요한 기술과 역량을 더 잘 감당할 수 있는 대기업이 일반적으로 더 성숙한 위협 사냥 관행을 갖고 있음을 인정한다. 대기업은 또한 위협 사냥 전문가를 정규직으로 채용할 가능성이 높은 반면, 중소기업은 시간제로 위협 사냥을 하는 것이 일반적이다. 


위협 사냥의 ROI

괴리치는 "위협 사냥을 통해 보안 책임자가 자사의 시스템, 취약점, 해커의 잠재적인 목표에 대해 더 잘 이해할 수 있으며, 이 모든 것이 개선과 더 나은 제어 시스템을 구현하는 방법을 알려 줄 수 있다"라고 말했다. 

위협 사냥의 ROI는 더 광범위하고 지속적인 공격을 식별하고 모니터링을 통과할 수 있는 공격을 차단하는 것이다. 괴리치는 "위협 사냥은 심층적이고 집중적인 작업이다. 정기적인 모니터링이 놓칠 행동이나 활동의 패턴을 찾기 위해 데이터를 탐색하는 팀이 있는 것이다"라고 덧붙였다.
 
연구에 따르면, 위협 사냥이 효과적임을 보여준다. 2019년 10월에 발표된 SANS 위협 사냥 조사 보고서인 <새롭고 경험 많은 사냥꾼의 색다른 요구(The Differing Needs of New and Experience Hunters)>는 위협 사냥에 참여한 575명의 응답자 가운데 61%가 전반적인 보안 태세가 눈에 띄게 개선됐다고 보고했다. 

어떤 위협 사냥도 위협 사냥을 하지 않는 것보다 낫다. 비정상적으로 보이고 심지어 2가지 일만 수행하는 몇 가지 기초적인 사냥을 하는데 시간을 할애할 수도 있다. 즉, 자신의 정상적인 활동에 대해 더 많이 배우고, 악의적인 활동도 발견할 수 있다.

 
효과적인 위협 사냥을 위한 사람, 프로세스 및 도구 

기업 보안의 다른 부분와 마찬가지로 견고한 위협 사냥 프로그램에는 적절한 인력, 프로세스 및 기술의 조합은 물론, 작업 수행에 대한 헌신이 필요하다.
 
괴리치는 “훌륭한 위협 사냥팀은 경고없이 분석 및 조사를 수행해야 한다. 모니터링 팀과 사용가능한 도구에서 데이터를 사용할 수 있으므로 위협 인텔리전스에서 범죄자를 이해하고, 인프라를 이해하고, 행동 패턴을 이해하고, 사고 대응 기능에 대한 정보를 제공할 수 있다"라고 설명했다. 

아이시는 위협 사냥 작업을 수행하기 위해 다양한 기술을 사용하고 있는데, 일반적으로 위협 행위자들이 사용하는 전술, 기술 및 절차(Tactics, Techniques and Procedures, TTPs)를 활용한다. 아이시는 분석, 지능형 시스템 및 자동화가 최적화된 프로그램을 구축의 핵심이라고 말했다.

효과적인 위협 사냥 프로그램의 핵심 요소에는 강력한 보안 정보 및 이벤트 관리(Security Information and Event Management, SIEM) 관행과 포렌식 기능뿐만 아니라 머신러닝으로 강화된 우수한 위협 인텔리전스 및 보안 분석 도구가 포함되어 사냥 중에 식별되는 위협에 대해 조치를 취하고 지원을 제공한다. 이런 부분은 숙련된 분석가와 함께 위협 사냥팀이 나쁜 행위자들에 의해 은폐되어 종종 기업 시스템 내에서 합법적인 트래픽과 거의 일치하는 비정상적인 활동을 식별할 수 있도록 한다. 


보안 프로그램에서 위협 사냥을 수행하는 위치 

아이시와 다른 전문가들은 또한 위협 사냥에 대한 투자가 다른 보안 프로그램을 희생시켜서는 안된다고 충고했다. 위협 사냥은 기존 방어 관행 및 기타 보안 계층에 추가된다. 

AT&T 사이버보안의 커뮤니케이션 책임자인 테레사 라노위츠는 “위협 사냥은 전체 보안 계획의 일부로 수행중인 작업의 한 측면에 불과하다. 정말 좋은 보안 관행과 도구를 구현하는 기업은 필요한 첫 단계를 밟고 있다. 계층화된 보안 접근 방식을 사용하면 대부분의 공격을 차단하는 데 매우 효과적일 수 있다. 그러나 몇 가지 지능형 위협은 여러 보안 계층을 통과할 수 있는데, 이런 위협이 발생하기 전에 차단해야 한다. 이 때 위협 사냥은 능력을 발휘한다"라고 설명했다.
  
라노위츠는 "공격자는 조용히 정보를 수집할 것이다. 이들은 잠수함처럼 귀를 기울이고 바닥에 앉아 전송하지 않고 그냥 수신만 한다. 그러나 때때로 정보를 압축해 명령 및 제어 서버에 일괄적으로 보낸다. 마치 이는 합법적인 사이트처럼 보일 것이다. 이런 행위는 직시하고 있지 않으면 절대 볼 수 없다. 하지만 찾고 있다면 찾을 확률이 더 높아진다"라고 덧붙였다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.