사전 ‘사이버공격 헌팅’…소 잃기 전 외양간 수리?

[애플경제 이윤순 기자] 국내외에서 사이버공격과 해킹은 지난해만 무려 2배가 늘어난 것으로 밝혀졌다. 그런 가운데 최근엔 이에 대응하기 위한 ‘사이버 공격 사냥’(Cyber threat hunting) 기술도 발전하고 있다. 이는 취약점이 드러나기 전, 혹은 취약점을 해커들이 악용하기 전에 미리 네트워크나 시스템 내에서 잠재적인 위협이나 악의적인 활동을 검색하고 탐지하는 사전 방어 기술이다.

국내 사이버보안업체인 I사의 한 관계자는 “특히 기존 사이버 보안 솔루션에서 알려지지 않았거나 미처 포착하지 못한 사내 네트워크의 ‘구멍’을 사전에 찾아내는 역할도 한다”면서 “알 수 없는 코드가 실행되거나, 무단으로 레지스트리가 변경되는 등 이미 공격이 시작된 징후를 시그니처 데이터베이스에서 포착하는 기존 대응방식과는 전혀 다르다”고 전했다.

그는 “해외에선 이미 활발하게 적용되어 왔으며, 최근엔 국내 보안업계나 기업 보안부서에서도 이를 적극 도입하고 있는 추세”라고 했다.

명백한 침해 전, 징후 식별․제거

다시 말해 이는 네트워크에서 사이버 보안 위협이 명백한 침해가 있기 전에 그 징후를 식별하고 제거하는 사전 예방적인 보안 전략이다. 이를 위해 고급 탐지 도구와 기술을 사용, 기존 방식으론 발견되지 않았거나, 도구로 탐지하기엔 매우 미묘한 손상 지표(IoC)를 검색한다.

이는 주로 내부 직원이나, 계약자, 공급업체 등 위협을 검색하고, 네트워크 취약점을 사전에 식별하고 패치한다. 또 세간의 이목을 끄는 지능형 지속 위협(APT)처럼 널리 알려진 위협을 식별해낸다. 이와 함께 사이버 위협을 무력화하기 위한 사고 대응 계획을 수립하고 실행한다.

또 다른 보안업체 L사의 한 관계자는 “기존의 대응적 사이버 보안 전략은 일단 ‘모든 것이 안전하다’는 가정 하에 자동화된 위협 탐지 도구가 식별해낼 경계 지점을 설정하는 데 중점을 둔다”면서 “공격자가 소셜 엔지니어링을 통해 승인된 사용자 자격 증명을 훔쳐 눈치채지 못하게 하면서 이 ‘경계’를 통과할 경우가 문제”라고 했다. 즉, 공격자가 몇 달 동안이나 네트워크를 돌아다니며 데이터를 유출해도 미처 모를 수가 있다는 얘기다.

특히 “일반적인 바이러스 백신 소프트웨어나 방화벽과 같은 대응적 위협 탐지 도구는 이를 탐지하지 못하는 경우가 많다”고 했다.

사전 예방적 헌팅은 일단 애플리케이션이나, 시스템, 장치, 사용자가 생성한 모든 데이터를 주의 깊게 분석한다. 그 결과 이상 현상을 찾아내고, 공격 지속 시간과 이로 인한 피해를 최소화한다. 이를 위해 사이버공격 사냥 기술은 대체로 보안 모니터링, 탐지 및 대응을 중앙 집중식 플랫폼으로 통합함으로써 가시성을 높이고 효율성을 향상높이기도 한다.

사전 위협 탐지 위한 도구 다양

이같은 사이버 공격 사냥을 통한 사전 위협 탐지를 위한 도구도 다양하다.

우선 ‘보안 모니터링’ 도구로 바이러스 백신 스캐너, 엔드포인트 보안 소프트웨어, 방화벽 등이 있다. 이들은 네트워크 사용자, 장치, 트래픽을 모니터링, 손상이나 위반 징후를 감지한다.

‘보안 분석 솔루션’도 적극 활용된다. 이는 기계 학습과 인공 지능(AI)을 사용, 네트워크의 모니터링 도구, 장치, 애플리케이션에서 수집된 데이터를 분석한다. 이들은 기존 보안 모니터링 솔루션보다는 회사의 보안 상태, 즉 전반적인 사이버 보안 상태에 대해 더욱 정확한 그림을 제공한다. 또한 AI도 유용하게 쓰인다. 이는 시그니처 기반 탐지 도구보다 네트워크에서 비정상적인 활동을 더 잘 찾아내고 새로운 위협을 식별하는 기능이 뛰어나다.

‘통합 보안정보 및 이벤트 관리(SIEM)’ 기법도 자주 쓰인다. 이는 보안 데이터를 실시간으로 수집, 모니터링, 분석하고, 공격 징후를 탐지, 조사, 대응하도록 한다. ‘SIEM’은 또 방화벽이나 ‘엔드포인트 보안 솔루션’ 등 다른 보안 시스템과 통합된다. 이를 통해 모니터링 데이터를 한곳에 집계함으로써 헌팅과 치료 작업을 간단하게 해낼 수 있다.

‘확장된 탐지 및 대응(XDR)’ 솔루션도 유용한 도구다. 즉, XDR은 IAM(ID 및 액세스 관리), 이메일 보안, 패치 관리, 클라우드 애플리케이션 보안 등과 같은 다른 위협 탐지 도구를 통합한다. 그래서 기존 엔드포인트 탐지와 응답(EDR) 솔루션의 기능을 확장해준다. XDR은 또한 향상된 보안 데이터 분석기능과 자동화된 보안 성능을 보장해준다.

‘관리형 탐지 및 대응(MDR) 시스템’도 많이 활용되고 있다. MDR은 자동 위협 탐지 소프트웨어와, 사람이 관리하는 사전 공격 탐지 기능을 결합한 것이다. 즉 전형적인 관리형 시스템이다.

보안 오케스트레이션, 자동화 및 대응을 위한 ‘SOAR’ 시스템도 헌팅에 즐겨 쓰인다. SOAR 솔루션은 보안 모니터링, 탐지, 대응기능을 통합하고, 각각 관련된 작업들을 자동화한 것이다. 이는 단일 플랫폼에서 보안 관리 프로세스와 자동화 워크플로를 조율함으로써 효율적이고 포괄적인 위협 탐지와 함께 문제를 해결할 수 있게 한다.

‘침투 테스트’, 일명 ‘펜 테스트’도 있다. 이는 일종의 시뮬레이션된 사이버 공격에 의한 것이다. 즉, 보안 전문가는 특수 소프트웨어와 도구를 사용, 조직의 네트워크, 애플리케이션, 보안 아키텍처, 사용자를 조사해 사이버 범죄자가 악용할 수 있는 취약점을 식별한다.

‘펜 테스트’ 또 패치되지 않은 소프트웨어나 부주의한 비밀번호 허술한 정보보호 관행과 같은 약점을 사전에 찾아낸다.