보안

"온라인 위협에 대한 체계적인 접근" 메타가 제안하는 새로운 킬 체인

Cynthia Brumfield | CSO 2022.11.17
록히드 마틴은 2014년 4월 ‘적대 세력 캠페인 분석과 침입 킬 체인의 정보에 근거한 인텔리전스 기반 컴퓨터 네트워크 방어(Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chain)’라는 백서를 출간해 사이버 방어 비즈니스에 혁명을 일으켰다. 이 문서로 인해 디지털 적대 세력, 구체적으로는 국가 차원의 APT(Advanced Persistent Threat) 그룹을 바라보는 사고가 달라지기 시작했다.
 
ⓒ Getty Images Bank

백서 저자들은 적대 세력이 운용되는 방식에 대한 지식을 활용하면 “인텔리전스 피드백 루프를 만들어 방어자가 정보 우위를 구축해 이후 적대 세력의 침입 시도가 성공할 가능성을 낮출 수 있다”라고 주장한다. 킬 체인(kill chain)이라고 하는 이 모델은 “침입의 각 단계를 기술하고 킬 체인 지표를 방어자의 행동 방침에 매핑하며, 개별 침입을 더 넓은 범위의 캠페인에 연결하는 패턴을 식별한다. 인텔리전스 기반 컴퓨터 네트워크 방어의 기초가 되는 인텔리전스 수집의 반복적 속성을 이해”하는 데 도움이 된다.

록히드 마틴의 백서가 발간된 지 8년 뒤, 백서 저자 중 한 명이자 현재 메타(Meta)의 보안 엔지니어 조사관인 에릭 허친스와 메타의 글로벌 위협 인텔리전스 리드인 벤 니모는 최근 개최된 사이버워콘(Cyberwarcon) 컨퍼런스에서 새로운 킬 체인 모델을 발표했다. 이 모델은 온라인 작전의 일반적인 사일로를 관통하는 공통 프레임워크 ‘온라인 오퍼레이션 킬 체인(Online Operations Kill Chain)’를 규정한다.


공통 위협 분류 체계

메타 연구원들은 온라인 작전에서 직면하는 고유한 과제에 초점을 두고 공통 위협 분류 체계를 고안했다. 업계의 집단 방위에서 취약점을 파악하고 위협 환경을 더 효과적으로 이해하는 데 도움이 된다. 니모는 사이버워콘에서 “첫 번째 작업은 무슨 일이 일어나고 있는지, 악의적 행위자가 무엇을 하고 있는지를 일단 파악하는 것”이라고 말했다.

이어 “분류 체계를 마련한 목적은 위협 행위자들을 분석하고 해체하고 끌어내리는 것이다. 위협 행위자를 이해하면 할수록 이들 간 공통점이 더 많이 보인다. 같은 유형의 다른 작전 간에도 공통점이 있지만, 서로 다른 작전 사이에도 공통점이 있다. 지난 18개월 동안 개발한 프레임워크로 메타가 대처하는 모든 온라인 작전 유형의 공통점을 세분화하고 도표화하고 분석할 수 있다”라고 덧붙였다.

허친스는 새로운 킬 체인 모델을 구상하는 과정에서 큰 과제 중 하나가 첩보전과 정보 작전의 각 사일로를 관통하는, 다양한 작전에 이 모델이 적용되는지 확인하는 것이었다면서, “물론 적대 세력은 규칙에 따르지 않는다”라고 언급했다. 대표적인 사례는 계정 탈취와 침해를 모두 사용한 고스트라이터(Ghostwriter) 캠페인이다. 침해된 계정으로 리투아니아와 라트비아, 폴란드를 표적으로 한 영향력 작전(influence operation)을 진행해 NATO의 동유럽 활동에 대한 비판적인 관점을 퍼뜨렸다.

새로운 킬 체인 모델은 악의적인 정보 작전과 기타 유형의 악성 온라인 활동 간의 간극을 잇는 역할을 한다. 니모는 “체인의 양 끝단에 원하는 효과를 얻고자 하는 행위자와 이들이 표적으로 삼는 사람이 있는 모든 종류의 작전에 맞춰 최대한 광범위하게 설계했다”라고 말했다. 

또한 “기본적으로 이 모델은 온라인 작전을 실행한다면 그 작전으로 무엇을 할 계획이든 몇 가지 공통점이 적용된다는 원칙에 기반한다. 우선 온라인에 연결할 수 있어야 한다. 소셜 미디어에서 작전을 수행한다면 소셜 미디어 계정이 필요할 것이다. 여기에 방어자가 보고 감지하고 공유하고 설명하고 대처할 수 있는 공통점이 있다. 공통점을 찾고 하나의 프레임워크로 만들고자 하는 것”이라고 덧붙였다.


메타의 10단계 킬 체인 

온라인 오퍼레이션 킬 체인은 다음 10단계로 구성된다.
 
  1. 자산 획득. 여기서 자산은 IP 주소, 이메일 주소, 전화번호, 암호화폐 지갑 또는 적대 세력이 작전을 수행하는 데 필요한 무엇이든 될 수 있다. 니모는 “올해 초 한 러시아 작전에서는 작전 수행원들이 편히 앉을 수 있는 많은 수의 빈 백 의자를 구입한 것이 확인됐다”라고 말했다.
  2. 자산 위장. 작전은 인터넷 노출을 염두에 두고 수행되므로 적대 세력은 자산을 정상적인 자산처럼 보이도록 위장한다.
  3. 정찰. 정보를 수집하면서 작전이 수행되는 환경이나 표적을 파악한다.
  4. 조율 및 계획. 자산을 감독하고 구조화한다.
  5. 방어 테스트. 방어를 테스트해서 어떻게 되는지 관찰한다. 니모는 “솜씨가 좋은 적대 세력은 사전 A/B 테스트 없이 마구잡이로 내던지고 결과를 운에 맡기는 식으로 공격하지 않는다”라고 지적했다.
  6. 탐지 회피. 허친스는 비행기의 도색이나 번호를 바꾸는 것이 아니라, 레이더에 잡히지 않도록 낮게 비행하는 것에 비유했다. 가령 유니코드 문자를 사용하거나 도플갱어 웹사이트를 만드는 것이다.
  7. 무차별 교전. 이 단계는 벽을 향해 아무거나 집어 던져 무엇이 벽에 붙는지 살펴보는 것과 비슷하다. 니모는 “많은 스팸 캠페인이 이런 식으로 활동한다. 정교함은 떨어지나 이것저것 던져 놓고 누군가 주워 들기를 기대하는 것”이라고 말했다.
  8. 표적 교전. 실제 세계에서 적이 하나의 목표물에 초점을 맞추면서 개인을 표적화하는 방식과 비슷하다.
  9. 자산 침해. 실제 사이버 침입이 발생하는 단계다. 니모는 “여기서부터 심각해진다. 표적이 사용 중인 자산을 점유한다. 자산 침해는 누군가의 보물 상자를 여는 열쇠를 얻기 위해 수행하는 작전 활동”이라고 강조했다.
  10. 지속성 확보. 방어자와 처음 교전하는 단계다.

허친스는 이 10단계 킬 체인 모델이 모듈형임을 강조하며, “모든 작전이 모든 단계를 동일한 방식으로 사용하는 것은 아니다. 혼합된 단계를 사용하게 되는데, 그렇다 해도 문제는 없다. 목표는 킬 체인의 전체 단계를 파악하고 최대한 조기에 탐지해서 와해할 기회를 찾는 것이다. 초기 조치의 효과를 측정하기 위한 틀로 사용한 다음 커뮤니티에 공유하라”라고 조언했다.


메타의 킬 체인, 행동 촉구로 이어져야

넷스코프(Netskope)의 정보보안 부책임자이자 사이버보안 업계 전반적으로 킬 체인 모델을 사용해야 한다고 적극적으로 주장하는 제임스 로빈슨은 적어도 대략적인 개요 측면에서 새로운 메타 킬 체인 모델을 높게 평가했다. 로빈슨은 CSO에 “견고한 모델이다. 업계에 대한 행동 촉구라고 볼 수 있다”라고 말했다.

로빈슨의 결론은 조직의 방어자가 메타가 제안한 것과 같은 킬 체인 모델을 도입해야 한다는 것이다. “CSO에게 가장 중요한 것은 위협 모델링과 킬 체인에 투자를 지속하는 것이다. 작게 시작해서 조직 내 관행으로 만들어야 한다. 킬 체인, 존재하는 TTP 및 기타 모든 조각을 볼 수 있는 사고방식을 구축하기 시작해야 한다”라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.