기존 탐지법 초월한 ‘SIEM, 클러스터링, 스택킹, 카운팅, 그룹화’ 등
스플렁크 등 ‘SIEM 도구’, ‘CrowdStrike Falcon’ 등 XDR, ‘델’ 등 MDR, SOAR
[애플경제 이윤순 기자] 최근 실리콘 밸리 등에선 사이버공격에 좀더 적극적이고 체계적으로 대응하는 ‘위협 사냥’(threat hunting) 전술이 주목받고 있다. 이는 악의적인 행위자의 잠재적인 위협을 식별하고 완화하는 효과적인 기술의 일환이다.
노코드 악성 코드나 AI 생성 피싱 캠페인 등에 대해 기존의 탐지 방법으로는 네트워크, 데이터 및 사용자를 적절하게 보호하지 못한다. 이에 사전 예방적인 방식으로 ‘위협 사냥’이 필요하다는 주문이다.
4가지 ‘위협 사냥’ 기술․방법
사이버리즌, 테크리퍼블릭 등에 의하면 대체로 4가지 가량의 ‘위협 사냥’ 기술과 방법이 통용되고 있다.
‘위협 사냥꾼’은 사이버 위협을 식별하기 위해 우선 ‘인간 검색’을 우선시 한다. 즉, 인간 보안 분석가가 모니터링 데이터를 수동으로 쿼리하여 잠재적인 위협을 검색하게 한다. 위협 사냥꾼은 이를 통해 SIEM(보안 정보 및 이벤트 관리)과 같은 도구를 사용, 모니터링 데이터를 집계한 다음 특정 정보에 대한 쿼리를 실행한다.
이때 “너무 광범위하거나 엄격하지 않은 올바른 쿼리를 공식화하는 것은 어려울 수 있다”면서 “관련 정보를 찾기 위해 모든 결과를 뒤지는 것은 지루하고 시간이 많이 걸린다”고 그 필요성을 주문했다.
다음은 ‘클러스터링’이다. 즉, 자동화된 도구를 탐지와 분석에 도움이 되도록 특정 특성을 기반으로 모니터링 데이터를 클러스터로 정렬시킨다. 특정 특성을 공유하는 데이터는 함께 클러스터링되므로 인간과 기계 검색자가 취약성이나 손상을 나타낼 수 있는 ‘이상값’을 쉽게 식별할 수 있게 되는 것이다.
‘그룹화’도 중요한 기법이다. 즉, 위협 사냥꾼은 특정 시간에 발생하는 특정 유형의 보안 이벤트와 같은 검색 매개변수를 정의하고, 자동화된 도구가 해당 기준을 충족하는 모니터링 데이터를 찾아서 함께 그룹화하도록 한다. 그룹화는 위협 사냥꾼이 네트워크에서 공격자의 움직임을 추적하고, 공격자가 사용하는 도구와 기술을 확인하고, 제거 시도가 성공했는지 확인하는 데 도움이 된다.
스태킹(Stacking)과 카운팅도 필요하다. 탐지 분석을 하기 위해 집계된 데이터 세트에서 통계적 이상값을 찾는 것이다. 이러한 데이터 이상치는 때로 규정 위반 시도나, 우회적인 엑세스 성공을 보여주기도 한다. 이때 “매우 큰 데이터 세트를 수동으로 쌓는 것은 인적 오류가 발생하기 쉬우므로 자동화된 프로그램을 사용, 이상값에 대한 데이터를 처리, 정렬 및 분석하게 한다”는 것이다.
‘위협 사냥’ 솔루션과 도구
이같은 ‘위협 사냥’을 위해 다양한 위협 사냥 도구와 솔루션을 사용할 필요가 있다. 이를 통해 데이터를 수집 및 분석하고, 취약점과 비정상적인 활동을 식별하고, 네트워크에서 위협을 제거하는 것이다.
우선은 ‘SIEM 도구다’ 이는 보안 데이터를 집계하고 분석해서 위협 사냥꾼이 이벤트를 감지, 조사 및 대응할 수 있도록 해준다. 스플렁크가 대표적이다.
확장된 탐지 및 대응(XDR) 도구도 있다. 이는 엔드포인트 탐지 및 대응(EDR) 기능을 ID 및 액세스 관리(IAM), 보안 데이터 분석 및 자동화된 보안 대응과 같은 고급 위협 탐지 도구와 결합시킨다. 예를 들어 ‘CrowdStrike Falcon’이 대표적이다.
‘델’과 같은 MDR(관리형 탐지 및 대응)도 있다. 이는 위협 탐지 소프트웨어와 사람이 함께 사전 위협 탐지를 할 수 있게 하는 관리형 도구다.
SOAR(보안 오케스트레이션, 자동화 및 대응) 플랫폼도 요긴하다. 이는 보안 모니터링, 위협 탐지 및 대응에 사용되는 도구를 통합하고 자동화하므로 위협 사냥꾼은 단일 위치에서 이러한 모든 워크플로를 오케스트레이션할 수 있다. 구글의 크로니클이 대표적이다.
이처럼 ‘위협 사냥’에는 네트워크의 취약성과 악의적인 행위자를 사전에 식별하는 데 사용되는 광범위한 기술, 방법론 및 도구가 포함된다. 사이버리즌은 “위협 사냥 기술과 솔루션을 구현하면 위반을 방지하고, 성공적인 공격 기간과 이로 인해 발생하는 피해를 제한하며, 규정 준수 및 위험 관리를 단순화하는 데 도움이 될 수 있다”고 주문했다.
대부분의 기업이나 조직은 이미 엔드포인트 보호 및 방화벽과 같은 자동화된 위협 탐지 솔루션에 많은 투자를 해왔다. 그러나 사이버 위협이 이미 네트워크에 있는 경우 이를 식별하고 제거하는 데 여전히 어려움을 겪고 있다.
이런 경우에 대비, 사전 예방적인 사이버 ‘위협 사냥’이 필요하다는 지적이다. ‘위협 사냥’은 지능형 위협을 사전 탐지하고, 탐지 격차를 해소하며, 공격 시간을 최소화한다. 또 취약점에 대한 통찰력을 확보하도록 하고, 규정 준수 및 위험 관리를 충족시킨다.