2021.08.10

"사이버보안 방어자들을 위한 새로운 지식 그래프" 마이터 D3FEND

David Strom | CSO
D3FEND는 마이터(Mitre)가 최근 출시한 새로운 스키마이다. 공통 언어를 만들어, 사이버 방어자들이 전략과 기법들을 공유하는데 도움을 준다. 마이터의 ATT&CK 프레임워크와 함께 제공되는 프로젝트이다. 이 두 프로젝트는 서로 보완적이지만, 아주 크게 다르다.
 
ⓒ Getty Images Bank

ATT&CK는 공격자가 네트워크 침입에 사용하는 도구와 기법, 방법들을 분류하는 프레임워크를 가진 지식베이스(Knowledgebase)다. 반면 D3FEND는 경감과 대책에 대한 공급업체의 주장을 분석할 수 있는 지식 그래프(Knowledge graph)이다.

마이터의 수석 사이버 엔지니어로 몇년 동안 이 스키마를 만들었던 피터 칼로루마키스는 언어와 생물정보 기법을 결합해 이전에 규정하지 못했던 방어와 공격 기법 간 관계를 설명하는 컴퓨터 네트워크 방어 기법 개념을 만들었다고 설명했다. 보도자료에는 “D3FEND는 사이버보안 전문가들이 특정 사이버 위협에 맞춰 방어책을 조정해 시스템의 잠재적 공격 표면을 줄여준다”라고 설명한다. 


마이터 D3FEND의 구조

D3FEND는 지식 그래프, 사용자 인터페이스, ATT&CK 모델과 매핑하는 방법 등 3가지 핵심 요소로 구성된다.

- 20년 간 미국 특허 데이터베이스에 등록된 사이버보안 관련 특허들을 분석해 방어 방법들을 요약 정리해 보여주는 지식 그래프
이 그래프에는 분류법과 함께 개념 및 용어들이 정리되어 있다. 각 방어 방법을 분류하는 데 사용하는 5가지 일반적인 전술을 다룬다. ▲강화(Harden) ▲탐지(Detect) ▲격리(Isolate) ▲기만(Deceive) ▲퇴출(Evict)이 여기에 해당된다. 지식 그래프는 각 기법을 설명하기 위해 소스 코드 예제에 링크를 제시한다. 

- 이런 데이터에 접근할 수 있는 일련의 사용자 인터페이스
OWL2 디스크립션 로직과 RDF 등 여러 형식으로 그래프를 다운로드할 수 있다. 정보보안 분야 종사자들에게 친숙하지 않은 형식일 수 있지만, 시멘틱 웹과 데이터 모델링 분야에서 공통되게 사용하는 언어들이다.

- 이런 방어 방법들을 ATT&CK의 모델에 매핑하는 방법 
칼로루마키스는 “D3FEND가 제품이 제공하는 특정 기능을 명확히 해, 공급업체 마케팅 자료 분석에 쓰는 시간을 줄여주기 원한다”라고 말했다. ATT&CK와 달리, D3FEND 프레임워크는 규정을 하려 시도하지 않는다. 그는 “우리는 방어 방법에 공통적으로 적용되는 언어와 개념을 만들기 원했다”라고 말했다. 또 다른 차이점이 있다. ATT&CK는 STIX와 TAXII 프로토콜을 사용해 지원 보안 소프트웨어와의 상호작용을 자동화하지만, D3FEND는 (지금까지는) 대부분이 수동이다.


어려웠던 마이터 D3FEND 구현 과정

D3FEND는 처음으로 이런 데이터를 종합적으로 조사한 시스템이다. 그러나 구현에 어려움이 따랐다. 이 프로젝트는 원본 소스로 특허 데이터베이스를 이용한다. 고무적이었지만 좌절도 수반된 구현 과정이었다. 칼로루마키스는 마이터로 옮기기 전 보안 관련 업체인 블루벡터(Bluvector.io) CTO로 일하면서 특허 신청 자료를 조사했을 때 이에 대한 아이디어를 얻었다. 칼로루마키스는 “특허와 관련된 기술적인 구체성에 차이가 많다. 거의 다 이해되는 것이 있는 반면, 이해하기 더 어려운 것도 있다”라고 말했다.

칼로루마키스는 사이버보안 특허가 아주 많다는 것에 놀랐다. 그는 “일부 공급업체는 100개 이상의 특허를 신청했다”라고 말했다. 그는 모든 사이버보안 특허를 분류한 것은 아니라고 덧붙였다. 대신 이런 특허 ‘모음‘들을 목적 달성을 위한 수단으로 활용했다. 이를 이용해 프로젝트의 지식 그래프와 분류 체계를 만들었다는 의미다. 그는 또한 특정 기술이나 보안 방법이 특정 특허 신청 자료에 언급되어 있다고해서 그 방법이 실제 제품에 반드시 반영되는 것은 아니라고 강조했다.

그래프에 언급되고 분류된 방법 가운데 하나인 URL 분석을 예로 들면, 보안 분석가는 이메일이나 웹 링크 같은 URL 관련 맥락 정보, 사용된 도메인 이름과 포트 번호 같은 요소들을 분석에 URL의 양성, 악성 여부를 판단할 수 있다. 이 방법은 원래 특허인 소포스 특허와 연결되고, 스피어 피싱과 드라이브바이(Drive-by) 공격 같은 다양한 ATT&CK 기법들이 제시된다.


마이터 D3FEND 생태계의 시작

마이터의 노력은 NSA에 의해 보상을 받았다. 누구나 수용해 확대할 수 있도록 제공한다. D3FEND가 발표된 이후, 1개 이상의 오픈소스 프로젝트가 추진되고 있다. 이 프로젝트는 파이썬 스크립트와 쿼리를 이용해 ATT&CK 방법과 함께 방법을 해석하는 데 도움을 준다. 

마이터는 조만간 다른 형태의 서드파티 통합도 발생할 것으로 예상한다. ATT&CK가 도구 공급업체들로 구성된 독자적인 생태계를 만들었던 것처럼 말이다. 

D3FEND가 이런 종류의 첫 번째 시도는 아니다. 그러나 가장 종합적인 형태가 되도록 시도하고 있다. 칼로루마스키는 “사이버 관련 방어용 지식 그래프를 개발하기 위한 목적으로 공개된 사이버보안 특허들을 종합적으로 분석한 경우는 지금까지 없었다”라고 말했다.

NIST는 몇년 전부터 사이버 디펜스 매트릭스(Cyber Defense Matrix)를 지지해왔는데, 이는 더 추상적인 동시에 더 구체적인 매트릭스이다. 칼로루마스키는 “기존 사이버보안 지식베이스는 니즈를 충족하기 위해 대책 및 방법들이 하는 일의 구조와 충실도에 있어 충분하지 못한 상태로 설명한다”라고 지적했다. 

이는 대책과 기법, 즉 실제 작동 방식이 분리된 형태이다. 목적은 공급업체가 동일한 문제 해결에 각기 다른 방식을 사용하고 있는지 판단하는 것이다. 특정 코드 세그먼트를 확인하는 것을 예로 들 수 있다. 칼로루마스키는 자신의 프로젝트는 IT 관리자가 현재 보안 제품 포트폴리오에서 기능 중복이 있는지 찾는 데 도움을 준다고 말했다. 또 특정 기능에 있어 변화에 필요한 정보를 제공하고, 사이버 인프라 보호에 있어 더 나은 결정을 내리도록 돕는다. editor@itworld.co.kr


2021.08.10

"사이버보안 방어자들을 위한 새로운 지식 그래프" 마이터 D3FEND

David Strom | CSO
D3FEND는 마이터(Mitre)가 최근 출시한 새로운 스키마이다. 공통 언어를 만들어, 사이버 방어자들이 전략과 기법들을 공유하는데 도움을 준다. 마이터의 ATT&CK 프레임워크와 함께 제공되는 프로젝트이다. 이 두 프로젝트는 서로 보완적이지만, 아주 크게 다르다.
 
ⓒ Getty Images Bank

ATT&CK는 공격자가 네트워크 침입에 사용하는 도구와 기법, 방법들을 분류하는 프레임워크를 가진 지식베이스(Knowledgebase)다. 반면 D3FEND는 경감과 대책에 대한 공급업체의 주장을 분석할 수 있는 지식 그래프(Knowledge graph)이다.

마이터의 수석 사이버 엔지니어로 몇년 동안 이 스키마를 만들었던 피터 칼로루마키스는 언어와 생물정보 기법을 결합해 이전에 규정하지 못했던 방어와 공격 기법 간 관계를 설명하는 컴퓨터 네트워크 방어 기법 개념을 만들었다고 설명했다. 보도자료에는 “D3FEND는 사이버보안 전문가들이 특정 사이버 위협에 맞춰 방어책을 조정해 시스템의 잠재적 공격 표면을 줄여준다”라고 설명한다. 


마이터 D3FEND의 구조

D3FEND는 지식 그래프, 사용자 인터페이스, ATT&CK 모델과 매핑하는 방법 등 3가지 핵심 요소로 구성된다.

- 20년 간 미국 특허 데이터베이스에 등록된 사이버보안 관련 특허들을 분석해 방어 방법들을 요약 정리해 보여주는 지식 그래프
이 그래프에는 분류법과 함께 개념 및 용어들이 정리되어 있다. 각 방어 방법을 분류하는 데 사용하는 5가지 일반적인 전술을 다룬다. ▲강화(Harden) ▲탐지(Detect) ▲격리(Isolate) ▲기만(Deceive) ▲퇴출(Evict)이 여기에 해당된다. 지식 그래프는 각 기법을 설명하기 위해 소스 코드 예제에 링크를 제시한다. 

- 이런 데이터에 접근할 수 있는 일련의 사용자 인터페이스
OWL2 디스크립션 로직과 RDF 등 여러 형식으로 그래프를 다운로드할 수 있다. 정보보안 분야 종사자들에게 친숙하지 않은 형식일 수 있지만, 시멘틱 웹과 데이터 모델링 분야에서 공통되게 사용하는 언어들이다.

- 이런 방어 방법들을 ATT&CK의 모델에 매핑하는 방법 
칼로루마키스는 “D3FEND가 제품이 제공하는 특정 기능을 명확히 해, 공급업체 마케팅 자료 분석에 쓰는 시간을 줄여주기 원한다”라고 말했다. ATT&CK와 달리, D3FEND 프레임워크는 규정을 하려 시도하지 않는다. 그는 “우리는 방어 방법에 공통적으로 적용되는 언어와 개념을 만들기 원했다”라고 말했다. 또 다른 차이점이 있다. ATT&CK는 STIX와 TAXII 프로토콜을 사용해 지원 보안 소프트웨어와의 상호작용을 자동화하지만, D3FEND는 (지금까지는) 대부분이 수동이다.


어려웠던 마이터 D3FEND 구현 과정

D3FEND는 처음으로 이런 데이터를 종합적으로 조사한 시스템이다. 그러나 구현에 어려움이 따랐다. 이 프로젝트는 원본 소스로 특허 데이터베이스를 이용한다. 고무적이었지만 좌절도 수반된 구현 과정이었다. 칼로루마키스는 마이터로 옮기기 전 보안 관련 업체인 블루벡터(Bluvector.io) CTO로 일하면서 특허 신청 자료를 조사했을 때 이에 대한 아이디어를 얻었다. 칼로루마키스는 “특허와 관련된 기술적인 구체성에 차이가 많다. 거의 다 이해되는 것이 있는 반면, 이해하기 더 어려운 것도 있다”라고 말했다.

칼로루마키스는 사이버보안 특허가 아주 많다는 것에 놀랐다. 그는 “일부 공급업체는 100개 이상의 특허를 신청했다”라고 말했다. 그는 모든 사이버보안 특허를 분류한 것은 아니라고 덧붙였다. 대신 이런 특허 ‘모음‘들을 목적 달성을 위한 수단으로 활용했다. 이를 이용해 프로젝트의 지식 그래프와 분류 체계를 만들었다는 의미다. 그는 또한 특정 기술이나 보안 방법이 특정 특허 신청 자료에 언급되어 있다고해서 그 방법이 실제 제품에 반드시 반영되는 것은 아니라고 강조했다.

그래프에 언급되고 분류된 방법 가운데 하나인 URL 분석을 예로 들면, 보안 분석가는 이메일이나 웹 링크 같은 URL 관련 맥락 정보, 사용된 도메인 이름과 포트 번호 같은 요소들을 분석에 URL의 양성, 악성 여부를 판단할 수 있다. 이 방법은 원래 특허인 소포스 특허와 연결되고, 스피어 피싱과 드라이브바이(Drive-by) 공격 같은 다양한 ATT&CK 기법들이 제시된다.


마이터 D3FEND 생태계의 시작

마이터의 노력은 NSA에 의해 보상을 받았다. 누구나 수용해 확대할 수 있도록 제공한다. D3FEND가 발표된 이후, 1개 이상의 오픈소스 프로젝트가 추진되고 있다. 이 프로젝트는 파이썬 스크립트와 쿼리를 이용해 ATT&CK 방법과 함께 방법을 해석하는 데 도움을 준다. 

마이터는 조만간 다른 형태의 서드파티 통합도 발생할 것으로 예상한다. ATT&CK가 도구 공급업체들로 구성된 독자적인 생태계를 만들었던 것처럼 말이다. 

D3FEND가 이런 종류의 첫 번째 시도는 아니다. 그러나 가장 종합적인 형태가 되도록 시도하고 있다. 칼로루마스키는 “사이버 관련 방어용 지식 그래프를 개발하기 위한 목적으로 공개된 사이버보안 특허들을 종합적으로 분석한 경우는 지금까지 없었다”라고 말했다.

NIST는 몇년 전부터 사이버 디펜스 매트릭스(Cyber Defense Matrix)를 지지해왔는데, 이는 더 추상적인 동시에 더 구체적인 매트릭스이다. 칼로루마스키는 “기존 사이버보안 지식베이스는 니즈를 충족하기 위해 대책 및 방법들이 하는 일의 구조와 충실도에 있어 충분하지 못한 상태로 설명한다”라고 지적했다. 

이는 대책과 기법, 즉 실제 작동 방식이 분리된 형태이다. 목적은 공급업체가 동일한 문제 해결에 각기 다른 방식을 사용하고 있는지 판단하는 것이다. 특정 코드 세그먼트를 확인하는 것을 예로 들 수 있다. 칼로루마스키는 자신의 프로젝트는 IT 관리자가 현재 보안 제품 포트폴리오에서 기능 중복이 있는지 찾는 데 도움을 준다고 말했다. 또 특정 기능에 있어 변화에 필요한 정보를 제공하고, 사이버 인프라 보호에 있어 더 나은 결정을 내리도록 돕는다. editor@itworld.co.kr


X