보안

“보안엔 예상이 통하지 않는다” 사이버 킬체인의 정의와 한계점

Maria Korolov, Lysa Myers | CSO 2017.11.27

정보보안 전문가라면, 아마도 사이버 킬 체인, 또는 사이버 공격 라이프사이클을 이용해서 공격 시도를 식별하고 이를 예방하는 전략에 대해 들어봤을 것이다. 그러나 공격 방식이 진화해 감에 따라 사이버 킬 체인을 바라보는 시가도 변화할 필요가 생겼다. 이 글에서는 사이버 킬 체인 개념이 보안에 어떤 의미를 갖는지, 그리고 이를 오늘날 보안 환경에서 어떻게 적용하면 좋을지에 대해 새로운 시각에서 접근해 보고자 한다.

사이버 킬 체인이란 무엇인가?
‘킬 체인’은 원래 타격순환체계를 의미하는 군사 용어다. 일련의 공격 단계와 그 요소를 파악하여 공격이 발생하기 전에 미리 막겠다는 것이다. 킬 체인은 탐지(find), 확인(fix), 추적(track), 조준(target), 교전(engage), 평가(assess)의 6가지 단계로 구성된다.

초기 단계에서 공격을 예방할수록 더 효과적인 킬 체인 시스템이라 할 수 있다. 예컨대 공격자가 적은 정보를 가지고 있을 수록 추후에 제 3자가 그 공격을 이어받아 완수할 확률이 적어진다.

록히드 마틴이 제안한 사이버 킬 체인의 개념도 이와 비슷하다. 공격의 각 단계를 식별해 예방하는 것이 기본 개념이다. 이 방식은 또한, 기업 네트워크 보호에도 사용될 수 있다. 사이버 킬 체인의 각 단계는 아래 그림을 참조하자.



사이버 킬 체인은 도둑질을 생각하면 이해하기 쉽다. 도둑은 우선 자신이 침입할 건물을 정찰하고, 일련의 단계를 거쳐 목표로 했던 물건을 훔쳐 나올 것이다. 사이버 킬 체인을 이용해 사이버 공격자가 네트워크에 몰래 잠입하는 것을 막기 위해서는 네트워크에서 발생하는 일에 대한 상당한 수준의 가시성과 지식이 있어야 한다. 네트워크에 있어서는 안 될 무언가가 있을 때 침입자의 존재를 알아채고 이에 대비할 수 있어야 하기 때문이다.

또 한가지 기억할 것은 체인의 초기 단계에서 공격을 예방 할수록 이후 후 처리에 드는 시간과 비용을 아낄 수 있다는 것이다. 침입자가 이미 네트워크에 짐입해버린 후에는 침입자가 가져간 정보를 파악하는 데 훨씬 많은 포렌식 작업이 요구된다.

과연 사이버 킬 체인 전략이 우리 조직에 적합한 보안 전략일지 알아보기 위해 각 단계별로 아래의 질문들을 자문해 보자.

정찰(Reconnaissance) : 외부자의 시선으로 네트워크 바라보기
정찰 단계는 공격자가 무엇을 목표로 삼을지 혹은 피해야 할 지를 결정하는 단계다. 이들은 외부자의 시선으로 목표 조직의 자원이나 네트워크 환경을 최대한 파악하고, 과연 공격을 감행할만한 가치가 있는 먹잇감인지를 판단한다. 이들이 선호하는 이상적인 타깃은 사이버 공격에 대한 대비가 잘 안 되어 있으면서 가치 있는 데이터를 보유하고 있는 곳이다. 공격자들은 우리가 생각지도 못한 정보를 찾아내 상상하지도 못한 방식으로 이용한다.

반대로 기업들은 자신이 보유한 정보가 생각보다 많다는 사실을 잘 알지 못한다. 직원들의 이름이나 연락처 정보가 온라인에 수록되어 있지 않은가? 소셜 네트워크는 어떤가? 이런 정보는 소셜 엔지니어링 공격에 이용되어 ID와 비밀번호를 유출시킬 수 있다. 웹 서버나 물리적인 위치에 대한 정보가 온라인에 노출되어 있지 않은가? 이러한 정보 역시 소셜 엔지니어링 공격에 사용되거나 네트워크 환경에 침입 시 공격자들의 타깃 데이터가 되기에 딱 좋다.

정찰 단계는 알면서도 대비하기가 쉽지 않다. 특히, 소셜 네트워킹 사용이 무척 활발한 오늘날에는 더욱 그렇다. 중요 정보를 숨기는 작업에는 그다지 비용이 들지 않지만, 이런 정보를 찾아내는 과정에는 많은 시간이 소요될 수 있다.


공격 코드 제작(Weaponization), 실행(delievery), 취약점 공격(exploit), 설치(installation) : 침입 시도
목표물 선정을 끝낸 공격자들은 이 단계에서 그 동안 수집한 정보를 이용해 공격에 사용할 툴을 준비하고, 이를 실제로 집행하려 한다. 이들에게 주어진 정보가 많을 수록 소셜 엔지니어링 공격의 효과는 커진다. 예컨대 직원의 링크드인 페이지에서 찾은 정보를 이용해 기업의 내부 리소스에 액세스하는 스피어 피싱 공격이 이루어 질 수 있다. 또는 향후 있을 이벤트에 대한 중요한 정보를 암고 있는 것처럼 보이는 파일에 원격 액세스 트로이 목마를 삽입해 수신자가 이를 실행하도록 만들려고 할 것이다. 또 사용자나 서버가 구동하는 소프트웨어나 운영체제 버전 및 종류를 알고 있을 경우, 네트워크 내부의 취약점을 노리거나 뭔가를 설치해 놓을 확률도 높아 진다.

바꿔 말하자면, 이러한 사실을 알고 있는 우리는 이러한 각 단계마다 보안책을 준비해 놓을 수 있다는 뜻이기도 하다. 소프트웨어가 가장 최신 버전으로 업데이트되어 있는지, 이메일이나 웹 필터링은 사용하고 있는지를 확인하는 것을 의미한다. 예를 들어, 어느 기업에나 아직까지 윈도우 98을 사용하는 기기가 하나쯤은 존재하는데, 이런 기기가 인터넷에 연결되어 있다는 것은 공격자에게 레드 카펫을 깔아주고 환영 사인을 내 거는 것이나 다름 없다.

또, 이메일 필터링은 사이버 공격에 활용되는 문서 형식을 걸러 내는 데 아주 효과적인 수단이다. 특히 파일을 송, 수신할 때 암호로 보호한 ZIP 아카이브를 통해 받도록 해 둘 경우 의도적으로 송신된 파일을 파악하는 데 도움이 된다. 웹 필터링 기능은 사이버 공격에 노출될 가능성이 있는 사이트나 도메인에 접속하는 것을 막아준다.

USB 드라이브의 자동실행 기능은 비 활성화 해두었는가? 사용자의 승인 없이 파일이 실행될 수 있게 설정하는 것은 보안 관점에서는 매우 위험한 선택이다. 파일이 실행되기 전에 잠깐 멈춰서 이를 살펴보고 결정할 기회를 주는 것이 더 안전하다. 또 하나, 최신 기능을 갖추고 있는 엔드포인트 보안 소프트웨어를 사용하고 있는가? 엔드포인트 보안 소프트웨어는 원래 새로운 타깃 공격에 대응하기 위한 솔루션은 아니지만, 이미 알려진 수상한 행동 패턴이나 소프트웨어 공격에 대한 정보를 기반으로 사이버 공격 시도를 탐지해 내기도 한다.

명령 및 제어(Command and Control, C&C) : 위협의 본격적인 진입
목표 네트워크에 진입한 위협은 침입 성공 사실을 본부에 통보하고 명령을 기다린다. 이를 위해 추가적인 컴포넌트들이 필요한 경우도 있지만, 그보다는 C&C 채널 내 봇 마스터에게 접근하는 방식으로 진행되는 것이 보다 일반적이다. 둘 모두 네트워크 트래픽을 요구하는 방식이다. 즉, 방화벽 설정이 네트워크에 접근하는 모든 신규 프로그램을 알려오도록 설정되어 있다면, 사고를 충분히 감지할 수 있는 것이다.

이 단계에서 위협을 감지하지 못했다면, 공격자는 다음 단계로 넘어가 머신에 이런저런 조작을 가할 것이다. IT에겐 보다 많은 노력을 들이게 만드는 문제다. 일부 기업, 산업에서는 피해를 입은 머신에 대한 포렌식을 통해 데이터의 유출 및 조작 여부를 검토하기도 한다. 피해 머신에 대해서는 적절한 클리닝, 이미지 정리 과정이 필요한데, 사전 백업, 표준 기업 이미지 마련 등의 노력이 이뤄졌다면 그 과정을 보다 빠르고 효율적으로 진행할 수 있다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.