보안

“사이버 교전을 유도해 해커의 전술을 파악한다” 마이터 인게이지 살펴보기

Mary K. Pratt | CSO 2022.07.26
사이버 보안은 마치 군사 경쟁처럼 적의 다음 행보, 전략, 동기를 파악하는 것이 중요하다. 마이터의 자료를 이용하면 사이버 전투에 필요한 자료를 확보할 수 있다. 
 
ⓒ Samuel Zeller (CC0) 

마이터(MITRE Corp)는 미 연방정부에게 자금을 받는 비영리 단체로 공공 및 민간 기업과 파트너십을 맺고 보안 전문가에게 필요한 정보를 제공한다. 특히 올해 초 공개된 '마이터 인게이지(MITRE Engage)' 프레임워크는 사이버 교전, 기만, 거부 활동을 계획하고 수행할 때 쓸 수 있어 주목할 만하다. 여기서 말하는 인게이지란 해커의 공격 즉 사이버 교전을 유발시킨다는 뜻이다. 

마이터 최고정보보안책임자 빌 힐은 “사이버 교전은 적군의 전투 계획을 살펴보는 과정과 유사하다”라며 “싸움 상대는 총명하다. 그저 한 가지 방어책만 정해 놓고 모든 공격을 막을 수 있을 것이라 기대하면 안 된다. 적의 다음 행동을 알아야 한다”라고 설명했다.

해커와 교전을 벌이면 공격자와 방어자 모두 진화된 전투 기술을 활용하며 새로운 공격 양상을 확인할 수 있다. 힐에 따르면, 사이버 교전 기법에서 방어자는 공격받는 환경을 자체적으로 통제하면서 공격을 유도해 해커의 행동과 전술을 관찰한다. 

힐은 “교전 기법은 위협 사냥(threat hunting)과 비슷하면서도 다르다. 위협 사냥은 이미 네트워크 내에 있는 적을 찾아내 제거한다. 반면 교전은 좀 더 선제적이고 의도적이다. 가령 적의 공격 방식을 알아내겠다는 목표를 세우고, 의도적으로 공격을 주고받는 상황을 만든다”라고 설명했다. 방어자가 이런 의도적인 교전을 활용하면 초기 공격 이후 해커가 어떤 일을 하는지 알아낼 수 있다.

힐은 “공격 시작과 관련해서는 많은 것이 알려져 있다. 보안 전문가는 첫 공격 정보를 기반으로 역공학을 하면서 해커의 기법을 분석한다. 하지만 첫 공격은 전체 공격 중 빙산의 일각에 불과하다. 만일 적이 네트워크에 침투하면 그다음에는 어떤 일이 벌어질까? 적이 두 번째로 하는 일은 무엇인가? 세 번째로 하는 일은? 다음 단계에 대해서는 상대적으로 적게 알려져 있다”라고 지적했다.

힐은 첫 공격 외 다른 정보가 부족한 데에는 그만한 이유가 있다고 설명했다. 힐은 “방어자는 초기 공격을 막기 위해 노력한다. 공격 이후 상황을 있는 그대로 놔두지는 못한다”라고 말했다.

그러나 교전 기법은 다르다. 힐은 “공격 이후 상황을 통제할 수 있는 수준이라면, 의도적으로 공격이 이뤄지도록 방치할 수 있다. 그러면 적이 사용하는 도구와 공격 후반에 사용되는 전술, 기법, 절차(TTP)를 확인할 수 있다. 방어자에게 매우 가치 있는 정보를 얻을 수 있는 셈이다. 공격에 성공한 해커의 다음 행동을 알면 방어자에게 분명 도움이 된다”라고 말했다. 힐의 설명대로, 해커의 공격 활동을 종합적으로 활용하면, 공격받은 이후 단계별로 효과적인 기법을 미리 알아낼 수 있다.
 

실제 상황을 위한 방어 기법

마이터 관계자에 의하면, 인게이지 프레임워크는 ‘공격은 가정이 아니라 실제 상황이다’라는 개념을 기반으로 개발됐다. 공격을 결국 피할 수 없다는 점을 감안하면, 교전을 통해 피해를 대비하거나 피해 규모를 줄여볼 수 있다. 해커의 행동을 예측할 수 있으니 보다 빠르고 효과적으로 공격을 막아 보는 것이다. 

기만 기술 전문 업체 애티보 네트웍스(Attivo Networks)의 연구를 보면 교전 기법의 가치를 살펴볼 수 있다. 2020년도 ‘사이버 기만을 이용한 데이터 유출 비용 절감 및 SCO 효율성 증대’ 보고서에 따르면 “사이버 기만 기법을 활용하는 기업은 그렇지 않은 기업에 비해 데이터 유출 관련 비용을 최대 51%까지 절감할 수 있다”라고 추정했다. 

힐에 따르면, 마이터는 교전이란 기법이 대중화되기 전부터 약 10년간 교전을 수행했으며 관련 장점을 확인했다고 한다. 마이터는 군사 전략을 참고해 교전 기법을 발전시켰다. 힐은 “정확히 언제부터 교전 기법이 사용됐는지 알 수 없지만, 연관 분야를 살펴보면서 교전 기법을 도입했다. 실제 교전 및 연구 결과로 얻은 정보를 종합해 다른 기업에 도움을 주고자 인게이지 프레임워크를 개발했다”라고 설명했다. 그러나 힐은 마이터 소속 직원 및 보안 전문가에게 교전 기법의 개념을 알려주는 것이 쉽지 않았다고 설명했다. 힐은 “교전의 의미와 장점을 잘 이해하지 못해서 자료를 새로 만들었다”라고 밝혔다. 
 

교전 기법을 알려주는 종합 가이드

교전 기법을 알려주기 위해 만든 첫번째 자료는 마이터 실드(MITRE Shield)였다. 2020년에 처음 공개된 마이터 쉴드는 해커 공격에 대응할 수 있는 도구를 제공한다. 인게이지는 ‘마이터 어택(MITRE ATT&CK)’ 프레임워크도 활용한다. 마이터 어택은 기업에 가해진 수백 만 건의 공격 정보와 위협 전술 및 기법을 포함한다. 구체적으로 어떻게 교전 기회를 만들어낼 수 있는지도 인게이지를 통해 배울 수 있다. 가령 적과 상호작용하는 방법과 공격의 설계 및 통제 방법이 인게이지에 나와 있다.

인게이지는 거부 전략과 기만 작업에 대해서도 알려준다. 거부 전략은 특정 시점에서 적의 침입이나 활동을 막는 것을 말한다. 이 과정에서 적의 반응을 살펴보고 필요한 다음 조치가 무엇일지 알아낼 수 있다. 기만 작업은 말 그대로 해커를 속이는 행동이다. 힐은 “해커가 진실을 진실이 아니라고 믿게 만들거나 사실은 테스트 환경에 있지만 진짜 환경에 있다고 믿게 하는 작업이 교전 기법에서 이뤄진다”라고 말했다.

힐은 “거부와 기만은 함께 쓰이는 경우가 많은데 마이터 인게이지는 거부보다 기만에 더 집중한다. 그렇다고 해커에게 공격을 가하거나 부적절한 행동을 하는 것은 아니다”라고 강조했다. 

일부 보안 전문가는 교전을 공개적으로 논의하면 방어자에게 유리한 점이 사라질 수 있다고 주장한다. 그러나 이런 주장은 보안 커뮤니티가 효과적이고 성공적인 기만 기법 활용 방법을 더 공유해야 한다는 필요성을 보여준다. 

힐은 “마이터는 교전 기법에서 나누는 아이디어를 적도 인지하고 있다고 가정한다. 적은 상황이 진짜라고 믿기도 하고, 실제가 아니라는 것을 알아차리기도 한다. 따라서, 보안팀은 실제 환경처럼 보이게 하는 작업에 집중해야 한다. 보안성을 높이려는 기업에 충분히 가치가 있는 작업이다. 적에게 정보를 얻은 후 방어 기술의 우선순위를 정하고 싶다면, 교전 기법은 활용할 만하다”라고 설명했다. 
editor@itworld.co.kr
 Tags 마이터

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.