보안

ITWorld 용어풀이 | 사이버 킬 체인(Cyber Kill Chain)

이대영 기자 | ITWorld 2016.08.18
사이버보안 세계에서는 뚫리지 않는 방패는 없다는 것이 이제 정설이 되었습니다. 공격자가 충분한 시간과 자원을 갖고 꾸준히 공격한다면 뚫지 못할 시스템은 없으며, 이런 공격을 막아낼 수 있는 조직은 전무하다는 것입니다.

따라서 100% 막겠다는 방어 전략은 불가능하며 모든 조직의 보안 전략은 해킹 당했다는 가정 속에서 세우고 실행해야 합니다.

이처럼 방어 기반의 전통적인 보안 전략의 한계가 드러났기 때문에 조직과 보안 전문가들은 새로운 방어 전략을 구상하고 시스템을 갖춰야 했습니다. 이런 상황에서 제시된 전략 가운데 하나가 바로 사이버 킬 체인(Cyber Kill Chain)입니다.

사이버 킬 체인은 사이버 공격을 프로세스 상으로 분석해 각 공격 단계에서 조직에게 가해지는 위협 요소들을 파악하고 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보하는 전략입니다. 한 마디로 공격자의 입장에서 사이버 공격 활동을 파악, 분석해 공격 단계 별로 조직에게 가해지는 위협 요소를 제거하거나 완화하자는 것입니다.

사이버 킬 체인은 군사 용어인 킬 체인(Kill Chain, 타격순환체계)에서 가져온 것입니다만 의미는 조금 다릅니다. 1991년 걸프전에서 처음 등장한 킬 체인 전략은 이라크군의 스커드 미사일을 방어하기 위한 선제 공격형 방어 전략이었습니다.

이 방어 전략은 날아가는 미사일을 맞추는 것보다 발사하기 전의 미사일 시설을 먼저 타격한다는 것입니다. 킬 체인은 탐지에서 교전까지 걸리는 시간을 얼마나 단축하느냐에 성패가 달렸습니다. 이후 킬 체인 전략은 좀더 발전, 확대되어 대테러 전쟁에도 확대 적용되고 있습니다.

사이버 보안에서 킬 체인이라는 용어를 처음 사용한 것은 군수업체인 록히드 마틴(Lockheed Martin Corporation)입니다. 2009년 APT 방어에 관한 백서를 발행한 록히드 마틴은 첨단 공격 활동을 파악하기 위한 기준을 수립하고 기존 인프라 방어장치를 이용해 어떻게 대항할 수 있는 지를 설명했습니다.

록히드 마틴은 이를 침입 타격순환체계(Intrusion Kill Chain)라 불렀으며, 이후 이 전략은 이 회사 인프라 보호 계획의 기초가 되었습니다. 이 백서는 "공격자의 위협 그 자체와 공격 의도, 역량, 원칙, 운영 패턴 등을 이해한다면 전통적인 취약점 중심의 프로세스와 시스템으로도 조직의 회복 탄력성을 확보할 수 있다"고 설명했습니다.

사이버 킬 체인 전략의 목적은 공격자의 첨단 공격에 대응하고 조직의 회복 탄력성을 구축하기 위해 공격 구성요소를 파악하고, 공격자들의 지속적인 활동에 법적 책임을 지움으로써 공격의 성공 확률을 낮추는데 있습니다.

공격자의 공격 활동은 일반적으로 정찰(Reconnaissance), 무기화 및 전달(Weaponization and delivery), 악용과 설치(Exploitation and Installation), 명령과 제어(Command & Control), 탈출(Exfiltration) 과정을 거칩니다.

공격 활동에 대한 자세한 내용은 <"전격 해부", APT의 실체 분석과 대응 방안>에서 찾아볼 수 있습니다. www.itworld.co.kr/techlibrary/t/64375/FireEye/88620

현재 사이버 킬 체인 전략은 사이버 공격을 분석하는 가장 잘 알려진 모델 가운데 하나이며, 각 보안 업체는 사이버 킬 체인에 기반한 단계별 방어 전략을 마련하고 있습니다.

예를 들어, 체크포인트가 제시하는 단계별 방어 전략은 다음 그림과 같습니다.


Credit: 체크포인트코리아

하지만 최근 사이버 킬 체인 전략의 한계를 주장하는 보안 전문가가 있어 주목받고 있습니다. 보안 컨설턴트 신 말론은 블랙햇 컨퍼런스 2016에서 "사이버 킬 체인의 문제는 방화벽을 침입자에 대한 핵심 방어 수단으로 가정하고 있다는 점이다. 그러나 상황이 완전히 바뀌었다. 기업은 방화벽 내부에 대한 방어를 반드시 강화해야 한다"고 주장했습니다.

이는 기존 사이버 킬 체인에 새로운 단계를 더 추가해야 한다는 것을 의미합니다. 말론의 제안은 전체적인 단계는 같지만 대신 그 앞에 '내부'라는 말이 붙습니다. 이는 공격자가 이미 침입한 것을 가정한 상태에서 공격 단계를 분석한 것으로, 내부 정찰 >> 내부 무기화 및 전달, 배포 >> 내부 악용 및 설치 >> 내부 명령과 제어 >> 내부 목표 장악 등으로 구성됩니다.

예를 들어 내부 악용 단계는 권한 확대와 네트워크 내부의 활동, 특정 장비 조작 등이 포함됩니다. 또한, 내부 정찰 단계에서 침입자는 개별 사용자의 워크 스테이션에 접속해 로컬 파일과 네트워크 공유, 브라우저 이용 기록 등의 데이터를 수집하고 위키와 쉐어포인트에 대한 접속 권한을 얻는 활동입니다.

공격자가 네트워크에 침입하는 데 성공하면 각 공격 단계는 적절하게 준비가 될 때까지 최대 몇 달이 걸릴 수도 있습니다. 공격자는 공격 효과를 극대화하기 위해 최적의 시기까지 기다리게 됩니다.

실제로 내부 정찰과 내부 무기화 단계는 각각 몇 달이 걸릴 수 있습니다. 보통 공격자의 사이트에서 오프라인으로 이뤄지기 때문에 방어자가 내부 공격 코드 제작을 막는 것은 힘듭니다. 그러나 말론은 "시스템과 애플리케이션을 더 단단하게 만들었다면 공격 코드 작성을 조금 더 어렵게 만들 수 있다. 네트워크에 가짜 기기를 추가해 작업을 더 어렵게 만드는 것도 방법이다"고 말했습니다.

말론이 제시하는 내부 사이버 킬 체인 전략을 적용하면 시스템이 뚫려도 효과적인 복구 절차를 마련할 수 있다는 장점이 있습니다. 물론 새로운 킬 체인 전략의 최종적인 목표 또한 조직의 회복 탄력성을 확보하는 것입니다.

모든 공격을 막을 수는 없지만 피해를 최소화하자는 것으로, 킬 체인의 모든 단계에서 공격 시간을 늦추고 공격을 계속할 경우, 공격 비용도 계속 늘어나게 하는 방어책을 마련한다는 것입니다.

말론은 "네트워크에 침입한 공격자는 목표가 있고 이에 성공하기 위해 일정 수준까지는 돈과 인력, 시간 등 현재 가진 리소스를 기꺼이 쏟아부을 것이다. 따라서 만약 방어자가 이 리소스 소비를 공격자가 기대하는 것 이상으로 늘릴 수만 있다면 비용 대비 효과를 생각한 공격자가 공격을 중단할 것이다"고 설명했습니다.

말론은 '완벽한 방어는 없다'는 전제를 기반으로 한 경제적인 대응 모델을 제시한 것입니다. 이런 주장은 사이버 킬 체인 전략을 비판한 것이 아니라 이를 한 단계 발전시킨 것입니다.

사이버 공격 방법이 나날이 발전, 진화함에 따라 사이버 킬 체인 전략 또한 개선되고 진화한 방법이 제시될 것입니다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.