보안

공격자를 함정에 빠뜨리는 방법과 혁신적인 디셉션 도구 4가지

John Breeden II | CSO 2020.11.17
몇 년 전, 많은 디셉션 기술(deception technology) 업체들이 점차 발전하는 위협에 반격하기 위해 플랫폼에 클라우드 통합, 인공 지능(AI), 자동화 등의 고급 기능을 추가하고 있었다. 업그레이드된 방어책이 필요했던 이유는 숙련된 공격자들이 정체를 드러내고 가공의 정적 자산을 겨냥해 빵 부스러기를 떨어뜨리는 등의 전통적인 디셉션 기법을 피해가기 시작했기 때문이다.
 
ⓒ Getty Images Bank

현재, 디셉션 기술이 다시 우위를 차지했고 실제처럼 보이며 실제 자산에 매우 가깝게 동작하지만 가짜인 자산으로 구성된 미로를 배치할 수 있다.

디셉션 플랫폼이 있는 많은 기업이 여전히 새로운 기술에 맞서 가장 첨단의 해커를 낚아 궁극적으로 함정에 빠뜨리기 위한 새로운 노력을 주도하고 있다. 현존하는 가장 발전되고 혁신적인 4가지 디셉션 도구를 살펴보자.


아칼비오 쉐도우플렉스

아칼비오(Acalvio)의 쉐도우플렉스(Shadowplex) 플랫폼은 처음부터 기업 환경에서 사용하기 위해 고안됐다. 아칼비오는 컴퓨터, 프린터, 파일 서버 등의 일반적인 IT 장치를 단순히 기업의 일부로 보지 않는다. 또한 쉐도우플렉스는 사물인터넷 센서와 장치뿐만 아니라 심지어 운영 기술(Operational Technology, OT) 영역의 상당 부분을 구성하는 산업용 제어 클러스터도 보호할 수 있다.  

IoT 및 OT 장치의 경우 보안 기능이 제한적이거나 없는 경우가 많기 때문에 보호를 위한 디셉션 기술 계층이 반드시 있어야 한다. 이 때문에 의료 장비 옆에 있는 데스크톱 컴퓨터로 위장해 관심도에 따라 공격자를 낚을 수 있는 의료 환경 등에도 좋은 선택이 된다.

IoT와 OT를 보호할 수 있는 것도 인상적이지만 쉐도우플렉스의 놀라운 점은 과도하게 많은 리소스를 사용하지 않고 대규모 디셉션 배치를 처리할 수 있다는 점이다. 그 비밀은 모든 디셉션 자산이 클라우드 또는 온프레미스 방식으로 가상 서버팜에 위치할 수 있는 디셉션 팜(Deception Farm)이라는 것 안에 있다는 점이다. 

물리적인 네트워크로 다시 연결하기 위해서는 소프트웨어 터널에 엔드포인트로 기능하는 일련의 센서가 필요하다. 센서는 강력하거나 비쌀 필요가 없다. 50달러까지 네트워크 기기도 잘 작동하며, 소프트웨어를 기반으로 가상화 할 수도 있다. 보호하고 있는 네트워크 세그먼트마다 하나씩 필요하다.

쉐도우플렉스는 보호할 네트워크에 가상의 디셉션 자산을 배치하게 된다. 이 자산은 호스트 환경에 기초해 자동으로 배치할 수 있으며, 쉐도우플렉스는 필요에 따라 운영체제, IT, OT, IoT 장치를 적절히 혼합해 선택할 수 있다. 디셉션 자산은 서로 통신하고 트래픽을 유발할 수 있지만 실제로 디셉션 팜 안에서만 상호작용할 수 있으며, 그 결과는 실제 환경을 모방한다.

겉으로는 기술적으로 보이지만 적이 상호작용을 시작하면 디셉션 팜의 AI 기반 제어 센터가 즉시 디셉션 자산을 구성해 공격자가 데스크톱, 프린터, 산업용 제어 장치 등에 예상하는 대로 작동할 수 있도록 돕는다. 공격자를 가능한 오랫동안 붙잡아 두면서 보안팀에 해당 공격에 관해 알린다. 쉐도우플렉스는 공격자의 의도와 전략을 더 파악하기 위해 상황을 제공하며, 이것은 현재의 위협을 완화할 뿐 아니라 차후에 방지하는 데 도움이 된다.

마지막으로 디셉션 전문가가 아니더라도 쉐도우플렉스를 사용할 수 있다. 이 프로그램의 놀랍도록 유용한 마법사는 단순한 질문과 지침으로 사용자의 지시를 수행한다. 이렇게 강력한 플랫폼에 이렇게 간편한 인터페이스가 있다는 점은 엄청난 장점이다.


ATDDRP

아티보는 처음으로 제품에 대응 기능을 추가한 디셉션 개발업체였으며, 새로운 ATDDRP(Attivo ThreatDefend Deception and Response Platform)을 통해 이를 더욱 발전시켰다. 이제는 온프레미스, 클라우드, 데이터센터, 하이브리드 네트워크 등에도 배치할 수 있다. 해당 기업은 새로운 장치에 기초해 디셉션 자산을 지속적으로 개발하고 있으며 고객의 환경에 배타적인 부분이 있으면 고유한 디셉션 구성을 제안하기도 한다. 배치된 모든 미끼는 네트워크 안에서 사용되고 있는 실제 자산처럼 보인다. 

아티보 플랫폼의 목적은 다른 디셉션 툴셋과 같다. 즉, 공격자들이 상호작용하지만 실제 사용자는 모르거나 절대로 만질 일이 없는 가짜 자산을 배치하는 것이다. 일부 미끼는 다른 것들보다 좀 더 알려져 있으며, 이는 내부자 위협이나 염탐하는 직원을 찾아내는 데 도움이 될 수 있다. 대부분의 경우에 디셉션 자산은 네트워크에 침투해 내부 경로를 파악하거나 자신의 자격 증명을 올리거나 횡방향으로 이동하거나 데이터를 훔치려고 시도하는 위협 활동자를 잡기 위해 고안되었다.

공격자가 아티보의 디셉션 자산 가운데 하나와 상호작용을 하게 되면 경보를 제공하는 것 외에도 다른 기능을 제공한다. 공격자와 상호작용하면서 침입자가 기대할만한 유형의 응답을 전송한다. 샌드박스를 활성화해, 공격자가 업로드하는 악성코드 또는 해킹 도구가 샌드박스 환경에 들어가도록 할 수 있다. 그러면 네트워크를 보호할 뿐 아니라 악성코드를 검사해 공격자의 의도와 전략을 파악할 수 있다.

또한 이 플랫폼을 통해 관리자는 공격자가 착수 플랫폼으로 사용하고 있는 시스템을 격리하거나 해킹된 사용자의 자격 증명을 만료시키는 등 다양한 조치를 취할 수 있다. 사용자가 플랫폼을 신뢰하기 시작하면 중요한 위협 정보가 수집됐을 때 이런 조치를 자동으로 수행하도록 설정할 수 있다.

ADRP(Attivo Deception and Response Platform)는 적절한 디셉션 기술을 제공할 뿐 아니라 방어자가 대응 기능을 바로 시작하는 데 도움이 되며, 이는 분초를 다투는 세상에서 중요한 강점이다.


피델리스 디셉션

기업 네트워크를 관리하는 것은 어려운 일이다. 그 위에 가짜 또는 디셉션 자산 계층을 올리면 더 어려워진다. 사용자가 사기에 기반한 방어책의 더욱 부담스러운 측면의 대부분을 자동화하는 피델리스 디셉션(Fidelis Deception) 플랫폼을 도입하면 일이 훨씬 쉬워진다.

사용이 간편한 마법사와 드롭다운 메뉴를 사용해 디셉션 자산 배치 과정을 진행하거나 피델리스가 모든 것을 자동화하도록 할 수 있다. 환경 안에 있는 다른 것들과 일치하는 자산을 잘 배치한다. 네트워크가 발전하고 확장하면 지속적으로 모니터링해 이런 변화를 디셉션 네트워크에 반영하는 방법에 관해 제안한다. 

예를 들어, 기업이 일련의 새로운 IoT 보안 카메라를 추가하면 피델리스는 이를 탐지하고 유사한 특성을 가진 일련의 가짜 카메라 배치를 제안한다. 거의 모든 IoT 장치를 지원하며, 상당수가 OT 안에도 있다.

손쉬운 배치 외에 피델리스는 가짜 자산도 제어해 서로 통신하고 같은 유형의 일반 장치와 같은 동작을 수행하도록 한다. 심지어 ARP(Address Resolution Protocol) 테이블을 이용해 디셉션 자산이 보호하고 실제 자산만큼 활발해 보이도록 하는 등 놀랍도록 발전된 전략을 구사한다.

마지막으로, 피델리스는 디셉션 자산과 상호작용하는 가짜 사용자를 현실적으로 생성하는 특성도 있다. 자산이 진짜인지 판단하려는 공격자는 사용자 상호작용의 증거를 보고 해당 사용자가 정교한 디셉션의 일환이라는 사실을 모른 채 방심하게 될 것이다.


트랩엑스 디셉션그리드 7.0 

트랩엑스(TrapX)의 디셉션그리드(DeceptionGrid) 플랫폼도 탄탄한 디셉션 방어 프로그램 가운데 하나이며, 배치할 수 있는 현실적인 가짜 자산의 수 측면에서 더욱 그렇다. 디셉션그리드는 보호하고 있는 네트워크에서 엄청나게 많은 가짜 자산을 배치할 수 있다. 단 각각이 완전한 기능을 갖춘 디셉션 장치는 아니다.

디셉션그리드가 배치한 디셉션 자산에는 일반적인 네트워크 장치, 디셉션 토큰(deception tokens) 및 활성 트랩이 포함된다. 대부분의 배치부터 시작하는 주요 디셉션 자산은 완전한 기능을 갖춘 컴퓨터나 장치처럼 보이도록 고안됐으며, 트랩엑스는 금융 부문이나 의료 등 특정 산업을 위해 고안된 여러 템플릿이 있다. ATM부터 POS 장치와 IoT 자산까지 모든 것을 모방할 수 있다. 또한 디셉션그리드는 완전한 운영체제를 갖춘 디셉션 자산을 배치할 수 있다. FullOS라는 함정은 공격자가 실제 자산과 상호작용하고 있다고 착각하게 만들면서 공격자의 모든 활동을 모니터링해 위협 정보를 수집한다. 

트랩엑스가 배치하는 디셉션 토큰도 못지않게 중요하다. 완전한 기능을 갖춘 디셉션 자산과는 달리 토큰은 공격자가 활용해 해킹하려는 시스템과 네트워크에 관한 정보를 수집할 수 있는 일반적인 파일, 구성 스크립트 등의 미끼다. 공격자와 상호작용하지 않지만 액세스, 복사, 확인 등의 활동이 발생하면 보안팀에게 경고한다.

활성 트랩도 디셉션그리드가 배치하는 디셉션 자산이다. 이 트랩은 자신들 사이의 가짜 네트워크 트래픽을 간소화하며 나머지 디셉션 네트워크로 끌어들인다. 조용히 네트워크 트래픽을 모니터링하고 있는 공격자는 가짜 네트워크 스트림에 속을 가능성이 높아, 이로 인해 정상적이며 네트워크 안에서 활용되고 있는 것처럼 보이기 때문에 안전하다고 판단할지라도 디셉션 자산에 속을 수밖에 없다.  

총체적으로 보호를 위해 네트워크를 디셉션 자산으로 가리고 싶은 경우, 트랩엑스 디셉션그리드보다 더 나은 결과를 제공하는 제품은 없다. 탐지하기 어렵지는 않지만 디셉션그리드가 배치할 수 있는 종잡을 수 없을 정도로 다양한 디셉션 자산을 성공적으로 헤쳐 나갈 수 있는 방법은 거의 없다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.