사전 ‘해킹 사냥’으로 사이버공격에 반격

[애플경제 이윤순 기자] 사이버공격과 해킹 등을 방지하기 위해선 특히 ‘사후 약방문’이 아닌, ‘유비무환’의 대비책이 중요하다. 이런 취지에서 특히 ‘사이버 위협 사냥’(Threat Hunting) 개념이 날로 중시되고 있다. 해외에선 이미 보편화된 개념으로 실제 보안 현장에서 널리 구현되고 있으며, 국내에서도 점차 이에 관한 인식이 확산되고 있다.

‘소 잃기 전에 튼튼한 외양간’

이는 말 그대로 ‘소 잃기 전에 튼튼한 외양간을 짓는’ 격이다. 즉 네트워크에서 감지되지 않은 위협을 찾아내고, 식별하고, 제거하는 사전 대응전략이다. 이를 위해선 사전에 징후를 감지할 수 있는 ‘침해 지표’(알 수 없는 코드 실행 또는 무단 레지스트리 변경 등)나 ‘공격 지표’ 분석, 그리고 새로운 사이버 보안 위협과 관련된 ‘가상의 사냥 기법’을 개발하는 것 등이 있다. 전문가들의 의견을 종합해보면 또한 사내나 조직 내부의 위험 평가 데이터, 또는 고객 요구 사항을 활용하는 등의 방법도 동원한다.

이를 구현하기 위한 방법론은 다양하다. 보안업체나 전문가들마다 각기 다른 ‘비법’을 제시하기도 한다. 일단 그들 중 공통적인 사항을 발췌, 요약해보면, 거의 모든 ‘사전 헌팅’이 취하는 기본적인 전술 몇 가지를 간추릴 수 있다.

가설 설정과 트리거 기법

우선 가설 설정 또는 트리거(Trigger) 기업이다. 새로운 보안 추세나, 환경 데이터, 자신의 지식 또는 경험을 바탕으로 탐지되지 않은 위협을 사전에 검색하기 위해 일단 ‘가설’을 수립한다. 이는 때론 공격 지표 또는 침해 지표가 상승하는 형태로 ‘공격’을 유발하는 빌미가 될 수도 있다. 다시 말해 해커들을 겨냥한 ‘덫’을 놓고 먼저 ‘도발’을 하는 셈이다. 그래서 해커들이 노릴 만한 영역이나 방향으로 유도하는 것이다.

사전 대응과 방어를 위해선 전문지식도 총동원돼야 한다. 탐지·대응 솔루션을 확장하거나, 통합 보안 정보와 이벤트 관리 도구 등 보안 도구도 중요하다. 또한 보유한 모든 보안 전문 지식을 가동, 시스템의 취약성과 악성 영역을 추적하는 것이다.

이런 과정을 통해 실제로 공격 징후가 발견되면, 해커들의 공격 수법과 동일한 수준의 고급 기술로 이를 반격한다. 이때 자동화된 대응 시스템도 가동할 수 있고, 보안 태세를 한층 강화할 수도 있다.

다양한 보안 모니터링 도구 동원

대체로 이런 ‘유비무환’의 도구로 많이 활용되는 방안들이 있다. 대표적으로 ‘보안 모니터링 도구’들이다. 바이러스 백신 스캐너, 엔드포인트 보안 소프트웨어, 방화벽 등이 이에 해당된다. 이를 통해 네트워크 사용자, 장치, 트래픽을 모니터링함으로써 침해 또는 침해의 징후를 감지한다. 보안 모니터링 도구는 사전 또는 사후 사이버 보안 전략을 위해 요긴하게 활용될 수 있다.

입력 및 출력 머신 러닝과 인공 지능(AI)을 사용, 네트워크 모니터링 도구, 장치, 애플리케이션에서 수집한 데이터를 분석할 필요가 있다. 이를 통해 기존 보안 모니터링 솔루션보다 더욱 정확하게 자체 보안 수준을 비롯한 전반적인 보안 상태를 파악할 수 있다. 또한 AI를 활용하면 기존의 시그니처 기반 탐지 도구보다 한층 비정상적 활동을 발견하고 식별하는 데 뛰어나다.

통합 보안 정보 및 이벤트 관리(SIEM) 솔루션도 필수다. 위협 탐지, 조사 및 대응을 지원하기 위해 실시간으로 보안 데이터를 수집, 모니터링하고 분석하는 것이다. SIEM 도구는 방화벽, 엔드포인트 보안 솔루션 등과 통합, 모니터링 데이터를 한곳에 집계한다.

확장된 탐지 및 대응(XDR) 솔루션도 필요하다. XDR은 ID 및 액세스 관리(IAM), 이메일 보안, 패치 관리, 클라우드 애플리케이션 보안 등 위협 탐지 도구를 통합, 기존 엔드포인트를 탐지하고 대응(EDR) 솔루션의 기능을 확장한다. 또한 보안 데이터 분석기능을 높이고, 보안 기능을 자동화한다.

관리형 탐지 및 대응(MDR) 시스템도 중요한 역할을 한다. 이는 ‘자동 위협 탐지 소프트웨어’와 인간이 함께 하는 시스템이다. 이를 위해 EDR 도구, 위협 인텔리전스, 고급 분석, 그리고 사용자의 지식과 경험을 활용해 위협요인을 찾고, 분류, 대응할 수 있게 한다.

보안 오케스트레이션, 자동화 및 대응(SOAR) 시스템도 효율적인 사이버보안 무기다. 보안 모니터링, 탐지·대응기능을 통합하고, 필요한 경우 자동화를 곁들인다. 특히 보안팀이 단일 플랫폼에서 보안 관리 프로세스와 자동화 워크플로를 조정함으로 효율적이고 포괄적으로 사이버위협에 사전 대응할 수 있다.

일종의 시뮬레이션 사이버 공격인 ‘침투 테스트’(일명 펜 테스트) 기법도 있다. 필요하면 보안 분석가와 전문가들이 화이트 해커 역할을 할 수도 있다. 즉, 특수 소프트웨어와 도구를 사용, 회사 네트워크나, 애플리케이션, 보안 아키텍처, 직원들 중 사용자를 추적, 사이버 범죄에 악용될 수 있는 취약성을 식별해내는 것이다. 즉, “사전에 미리 보안 허점을 찾아내는 것”이다.

구조화·비구조화 등 시뮬레이션 기법

한편 이같은 사전 대응 도구들과 함께 몇 가지 시뮬레이션 기법도 있다. 그중 ‘구조화된 전술’의 경우 해커가 이미 네트워크에 침투했다고 가정한 상황에서 공격자가 사용할 수 있는 공격 지표와 최근 공격 전술, 기술 및 절차 등을 분석하는 것이다. 이를 통해 사이버공격의 프로세스와 공격 수법에 대한 가설을 만든다.

‘비구조적’ 방법도 있다. 이는 구조적 방법과 달리, 탐색과 함께 보다 개방적인 접근 방식을 취한다. 앞서 해커의 도발을 유도하는 것과 비슷한 방식으로 시스템에서 손상 또는 트리거의 지표를 찾는 것이다. 즉, 이를 통해 “비정상적인 사용자 동작, 특이한 네트워크 트래픽, 의심스러운 로그인 활동, 이상한 DNS 요청” 등의 행태를 찾아낸다.

이른바 ‘상황적 위협 헌팅’도 있다. 이는 잠재적 위협을 찾기 위해 조직 내의 특정 리소스, 직원들의 업무 관행, 이벤트 등에 초점을 둔 것이다. 대체로 내부 위험 평가를 기반으로 하며, 특정 시점에서 공격을 받을 가능성이 더 높은 고위험 품목이나 사람에게 주목하는 것이다. 때로는 적대자, 악의적 행위자, 첨단 수법의 공격 위협을 찾기 위해 이런 방법을 동원하기도 한다.