10.20
주요뉴스
뉴스홈 > 보안/해킹
고도화된 사이버 공격 대응 위해 새로운 보안 모델 모색해야사이버 킬체인, 위협 헌팅 등 다양한 보안 모델 대두
   
▲ 록히드마틴이 제시한 ‘사이버 킬체인’7단계(출처: 록히드마틴)

[아이티데일리] 최근 APT, 랜섬웨어, 피싱 이메일 등 사이버 위협이 고도화됨에 따라 기존의 경계 보안 모델의 한계가 나타나고 있다. 특히 네트워크, 시스템의 취약점을 찾아 공격하는 ‘제로데이 공격’이 주요 공격 방식으로 자리 잡으면서, 이에 대응하기 위한 다양한 보안 모델이 논의되고 있다.

기업들은 ‘사이버 킬체인’을 비롯해 ▲사이버 위협 헌팅(Cyber Threat Hunting) ▲EDR 솔루션을 포함한 탐지 및 대응(Detection & Response) ▲마이터 어택(MITER ATT&CK) ▲사이버 디셉션(Cyber Deception) 등 다양한 보안 모델 및 기술에 주목하고 있으며, 클라우드 환경에서의 보안 모델에도 관심을 보이고 있다.

‘사이버 킬체인’은 특정 표적을 대상으로 장기간 지속적으로 진행되는 APT 공격의 피해를 최소화하는 데 목적을 두고 있는 보안 모델이다. 적군의 미사일이 발사되기 전에 이를 탐지해 선제 타격하는 공격형 방위시스템인 ‘킬체인’을 사이버 보안 분야에 적용한 것으로, 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 토대로 공격자의 입장에서 공격 단계를 파악하고 각 단계별 적절한 보안 기술과 조치를 취함으로써 위협 요인들을 무력화 또는 지연시키는 다단계 방어 전략이다.

기존 경계 보안 모델이 갖고 있는 ‘차단’이라는 예방적인 패러다임에서 벗어나, ‘이미 위협은 조직 내부로 침투해 있다’는 점을 전제로 침투한 위협에 빠르게 대응하는 방안도 논의되기 시작했다. 특히 대부분의 사이버 공격이 엔드포인트에서 시작한다는 점에 주목해, 엔드포인트에서 다양한 정보를 수잡해 가시성을 확보하고 분석해 위협을 탐지·대응한다는 EDR(Endpoint Detection & Response)이 주목받고 있다.

가트너는 EDR이 엔드포인트에서 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자등 다양한 정보를 수집해 가시성을 확보한 후, 수집된 정보를 기반으로 행위분석, 머신러닝, 침해지표(IOC: Indicator Of Compromise) 탐지 등의 기술로 위협을 탐지하고 위협이 발견된 엔드포인트를 격리하고 위협을 제거할 수 있는 대응 역량도 필요하다고 규정하고 있다.

최근 EDR과 유사한 보안 솔루션은 모든 사이버 위협을 사전에 방어할 수 없다는 것을 가정하고, 위협이 이미 조직 내부에 존재한다는 관점에서 접근하고 있다. 이런 측면에서 ‘사이버 위협을 어떻게 하면 빠르게 탐지하고 대응할 수 있는가’에 초점을 맞춘 보안 모델이 ‘위협 헌팅(Threat Hunting)’이다.

‘위협 헌팅’은 조직내 어떤 위협이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내 대응한다. 우선적으로 보안 담당자는 조직 내 시스템이 해킹당한 것을 가정해 침투경로에 대한 가설을 세운다. 이후 시스템 환경이나 프로세스를 조사해 위협을 유추한다. 이 유추 과정에서 악성코드를 발견하면 즉시 대응하고 추가 피해 여부를 조사하게 되며, 이후 정보 습득 단계에서는 어떤 사이버 위협이었는지를 기록해, 향후 위협 인텔리전스로 활용한다.

위협 헌팅을 구현하기 위한 기술로 주목받고 있는 것이 ‘사이버 디셉션’ 기술이다. 사이버 디셉션 기술은 수 분 내 실제 자산과 유사한 가짜 자산으로 구성된 네트워크를 구성하고 공격자를 유도한다. 디셉션 기술의 특징은 네트워크 위협 탐지나 EDR 등에서 발생되는 많은 로그 데이터로 인한 오탐에 대한 문제가 없다는 것이다. 규모가 큰 조직의 경우 때로는 수억 건에 다다르는 로그 데이터로 실제 악성코드 로그가 있다고 해도 보안 담당자가 발견하기 어렵다. 하지만 디셉션 기술은 오탐이 있을 수 없다. 공격자가 가짜 자산에 접근(정찰, 연결시도, 연결, 연결후 활동, 악성코드 설치)하는 모든 과정만을 탐지하기 때문이다.

이처럼 고도화되는 사이버 위협에 대응하기 위해 다양한 보안 모델이 나오고 있다. 기존 경계 보안 체계로는 고도화된 사이버 위협을 막을 수 없기 때문이다. 공격자가 이미 조직 내 침투해 있다는 것을 가정하고, 빠르게 공격자를 탐지 및 대응하는 것이 최근 트렌드라고 할 수 있다.

<이하 자세한 내용은 컴퓨터월드 2019년 9월호 기사(☞바로가기) 참조>

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오