진행중인 공격 찾는 ‘위협 헌팅’…선제방어 강화

능동적인 위협 탐지로 제로 트러스트 이행…전반적인 위협 완화로 비즈니스 보호

[데이터넷] 지속적으로 발전하는 보안 위협에 대응하기 위해 점차 여러 보안 솔루션이 도입되고 있다. 이러한 보안 솔루션 도입으로 보안 담당자가 감당해야 하는 이 벤트의 양은 점점 늘어나고 있다. 실제로 SIEM 외에도 자동화를 위한 SOAR를 도입하고, 이벤트 판단을 위해 위협 인텔리전스(TI) 역시 도입되고 있다. 그리고 MDR(Managed Detection & Response)을 통해 기존의 보안 위협 대응 방법이 아닌 또 다른 방 법을 도입하는 조직도 점점 증가하는 추세다.

MDR은 기존 보안관제가 탐지 후 대응하는 방식과는 다르게 선제적으로 위협을 찾아내고 분석해 보다 빠르게 대응하는 것을 목표로 하고 있다. 위협을 찾기 위해서는 기존 보안 솔루션 외에도 EDR이나 NDR 등 추가 솔루션이 필요하다.

MDR서 위협 찾기 위한 중요 방법론

보안 위협을 모니터링하고 대응하는 모든 인원은 외부로부터 공격에 대해서 경계단이나 엔드포인트단에서 탐지하고 대응해왔다. 이러한 방법은 대부분 알려진 취약점 및 공격에 대한 방어에 초점이 맞춰져 있다.

하지만 최근 시스템에 접근하는 경로의 다양성, 클라우드 사용에 따른 인프라의 복잡성 증가, 공격 자체의 고도화 등으로 기존의 모니터링 방법에 한계가 발생하고 있는 것이 현실이다.

이제는 시스템 내에서 미처 탐지하지 못한 위협이 존재할 가능성을 고려해야 한다. MDR은 이런 관점에서 ‘내부 위협을 초기에 찾아내 대응한다면 피해를 최소 화할 수 있다’는 가정으로부터 시작됐다. 위협 헌팅은 MDR에서 위협을 찾기 위 한 가장 중요한 방법론이다.

● 위협 헌팅 종류

위협 헌팅은 능동적인 위협 헌팅과 수동적인 위협 헌팅으로 구분할 수 있다.

- 능동적인 위협 헌팅: 정규화된 데이터를 이용해 로그, 패킷 및 프로세스를 분석하는 프로세스. 정규화된 데이터를 사용하므로 IP, 사용자, 시스템 간 연관관계를 이용해 추적 가능

- 수동적인 위협 헌팅: 구조화되지 않은 피드를 사용해 정규 화되기 전에 로그·패킷을 분석하는 프로세스. 가설을 기반으로 피드에서 특정 IOC 추출 후, 추출된 IOC의 정확 성을 확인하기 위해 다른 TI 피드의 데이터를 사용해 IOC 검증

● 위협 헌팅 성숙도 모델

위협 헌팅 체계를 구축하고자 한다면, Sqrrl의 위협 헌팅 성숙도 모델을 참고하는게 좋다. 레벨 1부터 레벨 5까지 수집하는 데이터의 종류와 조직, 자동화 등에 따라 성숙도가 구분돼 있으며, 현재 조직의 레벨을 측정하고 목표로 하는 레벨에서 갖춰야 되는 항목들에 대해서 참고할 수 있다.

그렇다면 위협 헌팅이 침입 탐지, 모의 해킹, 침해사고 분석 과는 어떤 차이점이 있는지 살펴보자.

● 위협 헌팅 vs 보안관제(침입 탐지)

침입 탐지는 위협 헌팅과는 다르게 공격이 진행 중이거나 공 격 성공 후에 수행되는 절차다. 침입 탐지는 보안 솔루션에 의존하며 주로 네트워크 경계를 대상으로 보안 위협을 탐지하고 차단하는데 그 목적이 있다.

하지만 위협 헌팅은 이미 공격자가 내부에 침입했다는 가정 하에 데이터 수집, 분석 도구를 사용해 시스템 내부에 존재하는 침해지표를 찾고 위협을 제거하는 것이 목적이다. 자동화된 침입 탐지 도구를 사용해 일반적인 위협을 차단하고, 이를 우회하는 고도화된 위협에 대해 위협 헌팅을 수행하는 것이 효과적이다.

● 위협 헌팅 vs 모의 해킹

위협 헌팅과 모의 해킹 모두 시스템을 대상으로 수행된다는 공통점이 있지만 그 목적과 수행 방법 및 사용하는 툴에는 차이가 있다.

모의 해킹은 공격을 탐지하는 침입 탐지나 침해지표를 찾는 위협 헌팅과는 다르게 시스템에 취약한 부분이 있는지 점검에 중점을 두는 기법이다. 수행 시기 역시 모의 해킹은 시스템에 대한 공격 전에 수행되며, 사용이 승인된 공격 도구를 사용한 공격을 통해 시스템의 보안성을 평가해 실제 공격이 성공했을 때 발생할 위험을 예방하고 수준을 낮추는 것에 목적이 있다.

위협 헌팅은 데이터 수집, 분석 도구를 사용하며 시스템에 대한 공격의 진행을 가정한 상태에서 수행된다. 그리고 내부에 존재하는 위협을 제거해 피해를 최소화시키는 것이 목적이다.

위협 헌팅을 통해 내부에 존재하는 위협을 식별했다면 이후 모의 해킹을 통해 가능한 내부 침투 경로를 확인해서 위협 수준을 낮추는 절차를 진행할 시 보안성을 더욱 강화할 수 있다.

● 위협 헌팅 vs 침해사고 분석

침해 사고 분석은 위협 헌팅과 가장 유사하게 내부 시스템 데이터를 수집하고 분석한다. 하지만 목적과 시기, 수집 데이터의 범위가 다르다.

침해사고 분석은 공격 이후에 시스템의 피해 사실을 인지해야만 수행할 수 있다. 중요한 목적은 공격의 증거 확보와 원인 분석에 있기 때문에 주요 분석 지점과 대상에 차이가 발생한다.

그에 비해 위협 헌팅은 공격 진행 중이거나 이미 공격에 성공했지만 피해가 발생하지 않아 인지하지 못하고 있다는 상황을 가정한 상태에서 수행되며, 목적도 내부에 존재하는 위협 제거를 통해 피해를 최소화하는 것이다. 그 시기 또한 일회성으로 진행되는 침해사고 분석과는 다르게 전체 시스템의 위협을 낮추기 위해서 주기적으로 진행돼야 한다.

침해사고 분석 시 확인한 침해지표 및 취약점을 이후 위협 헌팅 진행 시 참고한다면 효과적인 위협 헌팅 프로세스를 개발할 수 있다.

이처럼 위협 헌팅, 모의 해킹, 침입 탐지, 사고 분석은 서로 상호 보완 관계이므로 조직의 보안 시스템을 운영하면서 적절 하게 수행돼야 한다. 시스템 초기단계에 모의 해킹을 통해 침투 가능한 경로를 미리 파악하면 시스템 보안 수준을 향상시킬 수 있고, 침입 탐지 솔루션을 구축해 대다수 패턴화된 공격을 자동 차단할 수 있다.

하지만 기존 보안 시스템을 우회해 시스템 내부에 존재하는 위협을 탐지하고 제거하기 위해서는 주기적인 위협 헌팅이 반 드시 필요하다.

지속 고도화 통해 시스템 위협 낮춰

위협 헌팅은 기본적으로 가설수립→조사/검증→분석/대응의 순서로 진행된다. 사전에 수집 대상과 위협 인텔리전스 등에 대해서는 사전에 정의하고 수집하고 있어야 한다.

위협 헌팅을 시작하기 위한 첫 번째 단계는 가설 수립이다. 가설은 공격 지표(IoA)와 TTP를 기반으로 몇 가지 가설을 수 립할 수 있다. 가설을 수립할 때는 기업의 내부 인프라를 고려해 IoA와 TTP를 선택해야 하며, 최근 공격 동향을 참조할 필요가 있다.

조사/검증 단계에서는 가설 기반으로 수집된 정보에 대해 분석기법과 시각화 도구 등을 통해서 가시성을 높여줄 필요가 있다. 또 기존 IoC와 위협 인텔리전스 정보의 연계를 통해 분석을 시작할 트리거 포인트를 만드는 것도 좋은 방법이다.

분석/대응 단계에서는 트리거 포인트를 시작으로 분석된 데이터에 대해 내부 확산 여부를 파악하고 필요하다면 침해사고 분석 단계로 넘어갈 필요가 있다. 분석 내용 및 공격자 정보를 공유하고 즉각적인 대응을 수행해 내부 전파를 차단하 고, 시스템 복구를 위한 준비 태세를 만들어야 한다.

최종적으로 분석 결과에 따라 IoC와 TTP를 도출해 다시 가 설 수립에 사용할 수 있게 업데이트하게 되면 위협 헌팅을 고도화하면서 전체적인 시스템의 위협을 낮추는 구조가 될 수 있다.

데이터넷 다른기사 보기