“보안엔 예상이 통하지 않는다” 사이버 킬체인의 정의와 한계점

CSO

정보보안 전문가라면, 아마도 사이버 킬 체인, 또는 사이버 공격 라이프사이클을 이용해서 공격 시도를 식별하고 이를 예방하는 전략에 대해 들어봤을 것이다. 그러나 공격 방식이 진화해 감에 따라 사이버 킬 체인을 바라보는 시가도 변화할 필요가 생겼다. 이 글에서는 사이버 킬 체인 개념이 보안에 어떤 의미를 갖는지, 그리고 이를 오늘날 보안 환경에서 어떻게 적용하면 좋을지에 대해 새로운 시각에서 접근해 보고자 한다.

사이버 킬 체인이란 무엇인가?
‘킬 체인’은 원래 타격순환체계를 의미하는 군사 용어다. 일련의 공격 단계와 그 요소를 파악하여 공격이 발생하기 전에 미리 막겠다는 것이다. 킬 체인은 탐지(find), 확인(fix), 추적(track), 조준(target), 교전(engage), 평가(assess)의 6가지 단계로 구성된다.

초기 단계에서 공격을 예방할수록 더 효과적인 킬 체인 시스템이라 할 수 있다. 예컨대 공격자가 적은 정보를 가지고 있을 수록 추후에 제 3자가 그 공격을 이어받아 완수할 확률이 적어진다.

록히드 마틴이 제안한 사이버 킬 체인의 개념도 이와 비슷하다. 공격의 각 단계를 식별해 예방하는 것이 기본 개념이다. 이 방식은 또한, 기업 네트워크 보호에도 사용될 수 있다. 사이버 킬 체인의 각 단계는 아래 그림을 참조하자.



사이버 킬 체인은 도둑질을 생각하면 이해하기 쉽다. 도둑은 우선 자신이 침입할 건물을 정찰하고, 일련의 단계를 거쳐 목표로 했던 물건을 훔쳐 나올 것이다. 사이버 킬 체인을 이용해 사이버 공격자가 네트워크에 몰래 잠입하는 것을 막기 위해서는 네트워크에서 발생하는 일에 대한 상당한 수준의 가시성과 지식이 있어야 한다. 네트워크에 있어서는 안 될 무언가가 있을 때 침입자의 존재를 알아채고 이에 대비할 수 있어야 하기 때문이다.

또 한가지 기억할 것은 체인의 초기 단계에서 공격을 예방 할수록 이후 후 처리에 드는 시간과 비용을 아낄 수 있다는 것이다. 침입자가 이미 네트워크에 짐입해버린 후에는 침입자가 가져간 정보를 파악하는 데 훨씬 많은 포렌식 작업이 요구된다.

과연 사이버 킬 체인 전략이 우리 조직에 적합한 보안 전략일지 알아보기 위해 각 단계별로 아래의 질문들을 자문해 보자.

정찰(Reconnaissance) : 외부자의 시선으로 네트워크 바라보기
정찰 단계는 공격자가 무엇을 목표로 삼을지 혹은 피해야 할 지를 결정하는 단계다. 이들은 외부자의 시선으로 목표 조직의 자원이나 네트워크 환경을 최대한 파악하고, 과연 공격을 감행할만한 가치가 있는 먹잇감인지를 판단한다. 이들이 선호하는 이상적인 타깃은 사이버 공격에 대한 대비가 잘 안 되어 있으면서 가치 있는 데이터를 보유하고 있는 곳이다. 공격자들은 우리가 생각지도 못한 정보를 찾아내 상상하지도 못한 방식으로 이용한다.

반대로 기업들은 자신이 보유한 정보가 생각보다 많다는 사실을 잘 알지 못한다. 직원들의 이름이나 연락처 정보가 온라인에 수록되어 있지 않은가? 소셜 네트워크는 어떤가? 이런 정보는 소셜 엔지니어링 공격에 이용되어 ID와 비밀번호를 유출시킬 수 있다. 웹 서버나 물리적인 위치에 대한 정보가 온라인에 노출되어 있지 않은가? 이러한 정보 역시 소셜 엔지니어링 공격에 사용되거나 네트워크 환경에 침입 시 공격자들의 타깃 데이터가 되기에 딱 좋다.

정찰 단계는 알면서도 대비하기가 쉽지 않다. 특히, 소셜 네트워킹 사용이 무척 활발한 오늘날에는 더욱 그렇다. 중요 정보를 숨기는 작업에는 그다지 비용이 들지 않지만, 이런 정보를 찾아내는 과정에는 많은 시간이 소요될 수 있다.


공격 코드 제작(Weaponization), 실행(delievery), 취약점 공격(exploit), 설치(installation) : 침입 시도
목표물 선정을 끝낸 공격자들은 이 단계에서 그 동안 수집한 정보를 이용해 공격에 사용할 툴을 준비하고, 이를 실제로 집행하려 한다. 이들에게 주어진 정보가 많을 수록 소셜 엔지니어링 공격의 효과는 커진다. 예컨대 직원의 링크드인 페이지에서 찾은 정보를 이용해 기업의 내부 리소스에 액세스하는 스피어 피싱 공격이 이루어 질 수 있다. 또는 향후 있을 이벤트에 대한 중요한 정보를 암고 있는 것처럼 보이는 파일에 원격 액세스 트로이 목마를 삽입해 수신자가 이를 실행하도록 만들려고 할 것이다. 또 사용자나 서버가 구동하는 소프트웨어나 운영체제 버전 및 종류를 알고 있을 경우, 네트워크 내부의 취약점을 노리거나 뭔가를 설치해 놓을 확률도 높아 진다.

바꿔 말하자면, 이러한 사실을 알고 있는 우리는 이러한 각 단계마다 보안책을 준비해 놓을 수 있다는 뜻이기도 하다. 소프트웨어가 가장 최신 버전으로 업데이트되어 있는지, 이메일이나 웹 필터링은 사용하고 있는지를 확인하는 것을 의미한다. 예를 들어, 어느 기업에나 아직까지 윈도우 98을 사용하는 기기가 하나쯤은 존재하는데, 이런 기기가 인터넷에 연결되어 있다는 것은 공격자에게 레드 카펫을 깔아주고 환영 사인을 내 거는 것이나 다름 없다.

또, 이메일 필터링은 사이버 공격에 활용되는 문서 형식을 걸러 내는 데 아주 효과적인 수단이다. 특히 파일을 송, 수신할 때 암호로 보호한 ZIP 아카이브를 통해 받도록 해 둘 경우 의도적으로 송신된 파일을 파악하는 데 도움이 된다. 웹 필터링 기능은 사이버 공격에 노출될 가능성이 있는 사이트나 도메인에 접속하는 것을 막아준다.

USB 드라이브의 자동실행 기능은 비 활성화 해두었는가? 사용자의 승인 없이 파일이 실행될 수 있게 설정하는 것은 보안 관점에서는 매우 위험한 선택이다. 파일이 실행되기 전에 잠깐 멈춰서 이를 살펴보고 결정할 기회를 주는 것이 더 안전하다. 또 하나, 최신 기능을 갖추고 있는 엔드포인트 보안 소프트웨어를 사용하고 있는가? 엔드포인트 보안 소프트웨어는 원래 새로운 타깃 공격에 대응하기 위한 솔루션은 아니지만, 이미 알려진 수상한 행동 패턴이나 소프트웨어 공격에 대한 정보를 기반으로 사이버 공격 시도를 탐지해 내기도 한다.

명령 및 제어(Command and Control, C&C) : 위협의 본격적인 진입
목표 네트워크에 진입한 위협은 침입 성공 사실을 본부에 통보하고 명령을 기다린다. 이를 위해 추가적인 컴포넌트들이 필요한 경우도 있지만, 그보다는 C&C 채널 내 봇 마스터에게 접근하는 방식으로 진행되는 것이 보다 일반적이다. 둘 모두 네트워크 트래픽을 요구하는 방식이다. 즉, 방화벽 설정이 네트워크에 접근하는 모든 신규 프로그램을 알려오도록 설정되어 있다면, 사고를 충분히 감지할 수 있는 것이다.

이 단계에서 위협을 감지하지 못했다면, 공격자는 다음 단계로 넘어가 머신에 이런저런 조작을 가할 것이다. IT에겐 보다 많은 노력을 들이게 만드는 문제다. 일부 기업, 산업에서는 피해를 입은 머신에 대한 포렌식을 통해 데이터의 유출 및 조작 여부를 검토하기도 한다. 피해 머신에 대해서는 적절한 클리닝, 이미지 정리 과정이 필요한데, 사전 백업, 표준 기업 이미지 마련 등의 노력이 이뤄졌다면 그 과정을 보다 빠르고 효율적으로 진행할 수 있다.


어떤 공격은 우리의 예상을 뛰어넘는다
지난 한 해 동안 우리가 뼈저리게 배운 교휸은, 사이버 공격은 교과서대로 발생하지 않는다는 것이다. 이들은 때때로 어떤 단계를 건너뛰기도 하고, 또 새로운 단계를 더하기도 하며, 왔던 길을 되돌아 가기도 한다. 근래 발생한 가장 피해 규모가 컸던 공격 사례 중 하나는 공격자가 완전히 다른 공격 경로를 선택함으로써 기업 보안 팀이 수년에 걸쳐 공들여 쌓아 놓았던 방어를 위회해 간 경우였다. 커델스키 시튜리티(Kudelski Security)의 글로벌 관리 서비스 부회장인 앨든 키나이아는 “록히든 마틴의 킬 체인 개념은 악성코드 대비 위주인데, 이로 인해 다른 종류의 공격을 잘 못 보게 되는 경우가 생간다”고 말했다.

알러트 로직(Alert Logic)의 제품 및 마케팅 수석 부회장인 미샤 고프슈타인은 “사이버 킬 체인은 결코 우리가 경험해 온 공격에 꼭 들어 맞는 솔루션이라 할 수 없다”고 말했다. 알러트 로직은 데이터센터 보안 솔루션 전문 기업이다.

특히, 올해 웹 애플리케이션 공격은 가장 평범한 데이터 유형을 타깃으로 이루어졌다. 2017년 버라이즌 데이터 유출 조사 보고서에 따르면, 모든 데이터 유출 사고의 3분의 1은 이러한 데이터를 목표로 했다. 가장 흔한 공격 방식은 애플리케이션 자체의 취약성을 이용한 것이다.

근래 발생한 대규모 기관의 정보유출 사건 예로는 신용평가기관인 이퀴팩스(Equifax)의 정보 유출 사건이 있다. 이런 류의 공격을 미리 탐지하기란 쉽지 않다. 실제로 이퀴팩스 역시 2개월 넘게 웹사이트 상의 수상한 네트워크 트래픽 흐름을 감지내 내지 못했다.

포지티브 테크놀로지(Positive Technologies)의 사이버 보안 대응 팀장인 리앤 갤러웨이는 “공격자가 모든 작업을 마치고 빠져나가는 단계가 되어서야 기업들은 비로소 공격이 발생했다는 사실을 알게 되는 경우가 많다. 때로는 소비자를 비롯해 제 3자가 뭔가 이상한 점이 있다는 것을 알려주고 나서야 공격 사실을 알게 되기도 한다”고 말했다.

조사 결과, 이퀴팩스 공격은 아파치 스트럿츠(Aapche Struts) 웹 서버 소프트웨어 상의 취약점 때문이었던 것으로 나타났다. 만일 이퀴팩스가 제 때에 이러한 취약성을 보완한 보안 패치를 했더라면, 피해를 예방할 수 있었을지도 모른다. 하지만 때로는 소프트웨어 업데이트 그 자체가 공격의 대상이 되는 경우도 있다. 지난 9월 어베스트(Avast)의 C클리너(CCleaner) 소프트웨어 업데이트가 그 좋은 예다.

제로데이 공격은 또 어떠한가? 소프트웨어 애플리케이션 및 API는 앱 당 평균 26.8건의 심각한 취약점을 가지고 있다고 콘트라스트 시큐리티(Contrast Security)의 CTO인 제프 윌리엄스가 말했다. “이는 기겁할 만한 숫자다. 이퀴팩스 사건 이후 사람들은 이들의 안일함에 분개했지만, 사실 대부분 기업들이 애플리케이션 보안에 있어 이퀴팩스보다 더 안전하다고 보기 어렵다. 오늘날 우리는 전 세계 수천 개의 IP 주소를 통해 발생하는 광범위한 애플리케이션 공격을 목격하고 있다.”

이런 공격에 대비하기 위해서는 우선 패치 배포를 가속화해야 한다. 윌러엄스는 “예전에는 이런 공격이 발생하려면 애플리케이션 취약점이 노출된 후에도 짧게는 수 주에서, 길게는 수 개월까지 걸렸다. 오늘날 이 기간은 고작 하루 남짓으로 줄어들었고, 2018년이 되면 아마도 취약성 발견 후 수 시간 이내로 공격이 진행될 정도로 가속화 되고 있다”고 말했다.

애플리케이션에 직접적으로 보안 통제를 내장할 필요가 있다는 지적도 있다. RASP(runtime application self protection)을 의미하는 것으로, 가트너는 이 시장의 연간 성장세가 9%에 달할 것으로 예측하고 있다.

비르섹 시스템(Virsec Systems)의 CTO인 사티아 쿱타는 “이제는 보다 애플리케이션과 가까운 곳, 코어 프로세스나 메모리 사용 등보다 심층적인 차원에서 보안에 접근해야 한다. 애플리케이션 수준에 내장된 새로운 컨트롤 플로우(control flow) 기술은 애플리케이션 프로토콜 및 문맥을 이해하고, 애플리케이션 플로우를 매핑할 수 있다. 마치 구글 지도와 같다. 애플리케이션이 A 지점에서 B 지점으로 가야 하는데 예상치 못한 우회를 하는 것이 목격되면, 어떤 문제가 발생했음을 바로 알 수 있다”고 설명했다.

유출된 개인 정보나 허술한 암호 역시 공격자들의 도구가 된다. 이 경우 악성코드를 설치할 필요도, C&C 서버와의 커뮤니케이션이나 횡적 움직임(lateral movement)도 필요 없다. 옵시디언 시큐리티(Obsidian Security)의 CTO인 벤 존슨은 “데이터베이스 유출이나 아마존 S3 버킷을 찾아 냈다는 것은 공격에 이렇다 하게 손써 보지도 못하고 당할 수 밖에 없다는 것을 의미한다”고 말했다.

최근 레드록(RedLock) 보고서에 따르면, 아마존 S3 같은 클라우드 스토리지 서비스를 사용하는 기관의 53%는 이러한 서비스를 최소 한 건 이상 실수로 노출한 경험이 있는 것으로 나타났다. 또한, 올 여름 스카이하이 네트워크(Skyhigh Networks) 보고서는 기업이 사용하는 AWS S3 버킷의 7%는 무제한적 액세스가 가능했고, 35%는 암호화도 되지 않은 상태였다고 지적했다.

이처럼 합법적인 경로를 통해 데이터가 유출될 경우, 유출 방어(exfiltration defense) 시스템도 이것이 수상한 움직임이라는 것을 탐지해 내지 못한다. 고프슈타인은 “따라서 웹 애플리케이션 공격에 대비하기 위해서는 여기에 맞는 특수화 된 툴이 필요하다”고 말했다.

서비스 거부 공격(denial of service attack)은 어떨까. 사이버리즌(Cybereason)의 CSO 샘 커리는 “이 경우, 어쨌든 목표를 선정하는 과정이 필요하기 때문에 정찰 과정을 거치기는 해야 한다”고 말했다. 그리고 정찰 단계를 거친 공격자들은 곧바로 공격 단계로 접어든다.

그러나 서비스 거부 공격은 다른 악성 공격들을 감추기 위한 위장일 뿐일 수도 있다. 커리는 “시스템에 과도한 부하를 부여하면 그 자체로부터 취약성을 만들어낼 수 있다. 또한 시그널 대 노이즈 비율을 높여 공격의 증거를 다른 잡음들 사이에 파묻히게 만드는 동시에 시그널을 찾을 수 없도록 만드는 방식이다”라고 설명했다.

위에 언급된 단계들 외에 공격 단계를 추가하기도 한다. 예를 들어, 공격자들은 침입 흔적을 지우고 교란 요소를 투입하거나, 거짓 데이터를 전파하기도 하며 향후 재 공격에 사용할 목적으로 백도어를 설치해 두기도 한다.

이들은 또한, 공격의 단계를 순서를 바꿔가며 시행하거나 전 단계로 돌아가 반복하기도 한다. 즉, 사이버 공격은 우리가 생각하는 것처럼 순서대로 차근차근 진행되지 않는다는 것이다. 커리는 “마치 나뭇가지처럼, 혹은 촉수처럼 사방 팔방으로 퍼져 나가는 형세다”라고 말했다.

공격을 통한 이익 취득 : 끝날 때까지 끝난 게 아니다
서비스 거부 공격이 언제나 파괴를 마지막으로 끝맺음 되는 것은 아니다. 한차례 성공적인 공격을 허용한 네트워크는 언제라도 재 공격의 대상이 될 수 있음을 기억하자.

또는 공격을 바탕으로 새로운 이익 창출을 시도하는 해커들도 있다. 프리엠프 시큐리티(Preempt Security)의 CEO인 아지 산셰티는 “공격자들의 수익 모델은 다양하다. 감염된 인프라를 광고 사기나 스팸 발송에 이용하기도 하고, 인프라를 잠궈 합의금을 요구하거나 그 내부의 데이터를 암시장에 팔아 넘기는 공격자도 있다. 심지어는 인프라 자체를 또 다른 범죄자들에게 임대한 사례도 있었다. 범죄자들의 수익 모델은 갈수록 다양해지고 있는 상황이다”라고 설명했다.

비트코인의 등장은 이런 해커들의 수익 창출을 보다 편리하게 만들어줬으며, 그에 따라 공격자들의 공격 의지 역시 한층 활발해졌다고 산셰티는 덧붙였다. 더불어 탈취된 데이터의 소비 영역 또한 과거에 비해 한층 다채로워졌다. 피해 기업의 입장에선 대응에 사법부 등 외부의 도움을 받을 여지가 늘어나게 된 부분이다.

스플렁크(Splunk)의 보안 연구 부문 팀장 몬지 메르자는 “예를 들어, 신용 카드 정보를 탈취했다고 한다면 정보를 판매할 때 이를 검증하고, 정보를 이용해 상품이나 서비스를 구매한 후 그것을 다시 현금화하는 일련의 과정이 요구된다”라고 말했다. 이 모든 과정은 전통적인 사이버 공격 킬 체인 바깥에서 이뤄지는 과정이라는 게 메르자의 설명이다.

공격 개시 전 역시 암시장 생태계가 사이버 공격 라이프 사이클에 영향을 미치는 또 다른 영역이다. 공격자들은 감염된 인증서나 취약 포트, 패치가 적용되지 않은 애플리케이션 등에 대한 목록을 공유한다.

스카이포트 시스템(Skyport Systems)의 상품 본부 팀장인 닐스 스워트는 이것들을 ‘아나 따먹을 수 있는 열매’에 비유하며, “앞으로 그 데이터 목록이 보다 널리 공유될 것”이라고 전망했다.

기업 방화벽을 넘어서는 보안
전통적인 사이버 공격 라이프 사이클은 기업 시스템을 전혀 건드리지 않는 공격들을 놓치게 되기도 한다. 일례로, 오늘날 기업들은 중요 데이터 관리를 위해 서드파티 SaaS에 의존하는 경향이 증가하고 있다. 존슨은 “SaaS 애플리케이션의 크리덴셜을 공격할 경우 취약점을 노리지 않고도, 별도의 설치 과정 없이도 공격이 이루어질 수 있다”고 말했다.

또 암시장에서 로그인 정보를 구입하여 기업의 인프라 근처에는 얼씬도 하지 않는 공격자들에 대한 대비 전략은 완전히 달라야 한다. 중앙화된 단일 로그인 시스템이나 이중 인증 방식을 도입해야 한다.

제 3의 아니 제 4의 공급자들을 목표로 한 공격은 또 어떤가? 로펌, 마케팅 에이전시 등 여러 업체들도 기업의 중요 문서에 대한 부분적 액세스 권한을 가지고 있는 경우가 많다. 금융 기관들 역시 서드파티 프로세싱 시스템을 사용하고 있으며, 의료 기관들이 외부 업체에 의존하는 것은 일상적인 일이다.

데이터 유출과 그로 인한 벌금을 피하기 위해서는 자사 네트워크를 넘어서는 보안 프로세스가 필요하다. 문서 관리 시스템, 서드파티에 대한 감사 체제는 물론이고, 서비스 공급자들이 필수적인 보안 통제 방안을 준비하고 피해를 보상하기에 충분한 사이버 보헙 정책을 제공하도록 해야 한다.

콜롬비아 대학 컴퓨터 공학과 교수인 살바토르 스톨포는 “이제는 사이버 공격 라이프사이클을 새롭게 정의해야 한다. 여기에는 기업 방화벽 너머의 데이터까지 포함되어야 하며, 기업 네트워크 밖으로 벗어난 데이터에 대한 통제권을 줄 수 있어야 한다”고 말했다. editor@itworld.co.kr