사이버 킬 체인 프레임워크는 과거에 복잡한 사이버 위협을 식별하고 방어하는 데 중요한 역할을 했습니다. 하지만 현재 많은 사이버 보안 전문가들은 급변하는 위협 환경 속에서 사이버 공격으로부터 효과적인 보호를 제공하는 데 이 방법론이 충분하지 않다고 지적합니다.
그렇다면 사이버 킬 체인 프레임워크는 정확히 무엇이며, 어떻게 작동하고, 어떤 한계를 가지고 있을까요? 자세히 알아보겠습니다.
사이버 킬 체인 프레임워크란 무엇인가?
록히드 마틴에서 개발한 사이버 킬 체인 프레임워크는 군사 작전에서의 킬 체인 모델을 차용하여, 사이버 공격자의 활동을 식별하고 방어하는 데 초점을 맞추었습니다.
이 프레임워크는 사이버 공격이 진행되는 여러 단계를 명확히 제시하여 보안팀이 침입을 이해하고 대응하는 데 도움을 줍니다. 또한 사이버 보안 전문가들이 공격자를 식별, 감지 및 차단할 수 있는 단계별 지점을 설명합니다.
사이버 킬 체인은 지능형 지속 위협(APT)으로부터 보호하는 데 효과적입니다. APT 공격은 공격자가 피해자를 추적하고 사이버 공격을 계획하는 데 상당한 시간을 투자하는 것이 특징입니다. 이러한 공격은 종종 악성코드, 트로이 목마, 소셜 엔지니어링 공격 등이 복합적으로 사용됩니다.
사이버 킬 체인 모델은 정찰, 무기화, 전달, 침투, 설치, 명령 및 제어, 목표 달성이라는 7단계로 구성되어 있으며, 각 단계는 공격자의 여정 중 특정 단계를 나타냅니다.
사이버 킬 체인 프레임워크의 단계별 분석
사이버 킬 체인 보안 프레임워크는 보안팀이 공격자의 움직임을 예측하고 신속하게 차단하는 데 도움을 줍니다.
이미지 출처: 록히드 마틴
사이버 킬 체인의 7단계는 다음과 같습니다.
#1. 정찰
정찰 단계는 공격 대상인 피해자나 네트워크에 대한 정보를 수집하는 과정입니다.
정찰 단계는 크게 두 가지 유형으로 나눌 수 있습니다.
수동적 정찰
이 단계에서 해커는 공개적으로 이용 가능한 정보 출처에서 정보를 수집합니다. 여기에는 WHOIS 데이터베이스, 채용 정보, LinkedIn 프로필, 소셜 미디어 계정, 회사 웹사이트 등을 확인하는 것이 포함될 수 있습니다. 또한 ARIN, SHODAN 등과 같은 도구를 사용하여 취약점이나 잠재적인 침입 경로를 찾을 수도 있습니다.
수동적 정찰 단계에서는 조직과의 직접적인 상호 작용이 없으므로, 해커는 이 단계에서 최대한 많은 정보를 수집하는 데 집중합니다.
능동적 정찰
능동적 정찰 단계에서 공격자는 조직의 네트워크에 침투하는 데 도움이 될 수 있는 정보를 얻기 위해 조직에 직접적인 접촉을 시도합니다. 이들은 NMAP, 취약점 스캐너, 포트 스캐너, 배너 잡기와 같은 도구를 사용합니다.
정찰 단계는 모든 사이버 공격에서 핵심적인 역할을 합니다. 공격자가 표적 네트워크에 대해 더 많은 정보를 가지고 있을수록 공격 계획을 더 정교하게 세울 수 있습니다.
수동적 및 능동적 정찰 단계에서 공격자를 방어하기 위해 다음과 같은 조치를 취할 수 있습니다.
- 해커가 피싱 공격에 사용할 수 있는 공개 정보의 노출을 최소화합니다.
- 허용 가능한 소셜 미디어 사용에 대한 정책을 마련합니다.
- 네트워크에 대한 중요한 정보가 공개적으로 유출되지 않도록 서버 오류 메시지를 수정합니다.
- 사용하지 않는 포트와 서비스를 비활성화합니다.
- 명령 방지 시스템(IPS) 기능을 갖춘 방화벽을 설치합니다.
정찰 단계의 주요 목적은 해커가 네트워크에 침입하는 데 악용할 수 있는 약점을 파악하는 것입니다.
따라서 허니팟과 허니넷을 설정하는 것은 네트워크의 취약점을 발견하고 방어 체계를 강화하는 데 매우 효과적인 방법입니다.
#2. 무기화
무기화 단계의 목표는 정찰 단계에서 파악된 시스템 또는 네트워크 취약점을 악용할 수 있는 공격 도구(공격 벡터)를 만드는 것입니다.
무기화 과정은 취약점에 맞는 적절한 원격 액세스 악성코드, 랜섬웨어 또는 기타 악성 코드를 선택하거나 생성하는 단계를 포함합니다.
공격자는 악성 코드를 무해해 보이는 파일 형식으로 포장합니다. 예를 들어, Word 문서나 PDF 파일을 이용할 수 있습니다. 목표는 대상을 속여 악성 코드를 실행하도록 유도하는 것입니다.
Metasploit, SQLMAP, Exploit-DB 및 소셜 엔지니어링 도구 키트는 무기화 단계에서 자주 사용되는 도구입니다.
무기화 단계는 해커가 시스템과 네트워크를 공격하는 데 어떤 공격 벡터를 사용할지 결정하는 단계입니다.
따라서 시스템과 네트워크에 공격 벡터가 침투하지 못하도록 방어 체계를 강화하는 것이 건전한 사이버 보안 전략입니다.
다음은 몇 가지 유용한 팁입니다.
- 회사의 패치 관리에 적극적으로 참여합니다. 이를 통해 소프트웨어 및 운영 체제에 취약점이 없어 공격 표면을 줄일 수 있습니다.
- 모든 엔드포인트에 성능 좋은 바이러스 백신 소프트웨어를 설치합니다.
- Office 매크로, JavaScript 및 불필요한 브라우저 플러그인을 비활성화합니다.
- 회사에서 이메일 보안 도구를 사용하고 브라우저 격리를 활용합니다.
- 네트워크 내 이상 징후를 식별하기 위해 감사 로그를 활용합니다.
또한 적절한 침입 탐지 및 방지 시스템을 갖추고 있어야 합니다. 회사에서 다단계 인증을 사용하고 있는지 확인하는 것도 중요합니다.
#3. 전달
이제 해커는 취약점을 악용하기 위한 적절한 공격 벡터를 선택했습니다. 이제 공격자가 네트워크에 침투를 시도할 때입니다.
전달 방법은 사용된 공격 벡터의 유형에 따라 달라질 수 있습니다.
일반적인 전달 방법의 예는 다음과 같습니다.
- 웹사이트 – 공격자는 잠재적 대상이 자주 방문하는 제3자 웹사이트를 감염시킬 수 있습니다.
- 이메일 – 공격자는 악성 소프트웨어가 포함된 감염된 이메일을 보낼 수 있습니다.
- USB – 사용자가 USB를 시스템에 연결하기를 바라며 감염된 USB를 공공장소에 남겨 둘 수 있습니다.
- 소셜 미디어 – 사이버 범죄자는 소셜 미디어를 사용하여 사용자가 감염된 링크를 클릭하도록 유도하는 피싱 공격을 실행할 수 있습니다.
일반적인 공격 경로 전달에 대한 가장 효과적인 방어 방법은 직원 교육에 집중하는 것입니다.
웹 필터링, DNS 필터링 솔루션 구현, 기기의 USB 포트 비활성화와 같은 보안 조치를 추가로 취할 수도 있습니다.
#4. 침투
사이버 킬 체인 프레임워크의 침투 단계에서 공격자는 무기를 활용하여 대상 시스템의 취약점을 악용합니다. 이는 무기가 전달된 후 실제 공격이 시작됨을 의미합니다.
더 자세히 살펴보면 다음과 같습니다.
- 공격자는 소프트웨어, 시스템 또는 네트워크에서 취약점을 찾습니다.
- 이러한 취약점을 악용하기 위한 악성 도구나 코드를 삽입합니다.
- 취약점을 활용하여 무단 액세스 또는 권한을 획득하는 익스플로잇 코드가 활성화됩니다.
- 공격자는 시스템을 더욱 악용하기 위해 경계에 침투하여 악성 도구를 설치하거나, 스크립트를 실행하거나, 보안 인증서를 수정할 수 있습니다.
이 단계는 단순한 위협이 실제 보안 사고로 바뀌는 중요한 시점입니다. 침투 단계의 목표는 시스템이나 네트워크에 대한 접근 권한을 얻는 것입니다.
실제 공격은 SQL 인젝션, 버퍼 오버플로, 악성코드, JavaScript 하이재킹 등의 형태로 나타날 수 있습니다.
공격자는 네트워크 내에서 측면 이동을 시도하고, 이동하면서 추가적인 침입점을 파악할 수 있습니다.
이 단계에서는 해커가 네트워크 내부에서 취약점을 악용하고 있습니다. 시스템과 네트워크를 보호하기 위한 가용 자원이 제한적입니다.
악용을 방지하기 위해 데이터 실행 방지(DEP), 바이러스 백신 기능(활용 가능한 경우) 및 악용 방지 기능을 사용할 수 있습니다.
일부 EDR 도구 또한 사이버 공격을 신속하게 감지하고 대응하는 데 도움을 줄 수 있습니다.
#5. 설치
권한 상승 단계라고도 하는 설치 단계는 악성 코드를 설치하고 기타 악성 도구를 배포하여 공격자가 손상된 시스템을 패치하고 재부팅한 후에도 시스템 및 네트워크에 지속적으로 액세스할 수 있도록 하는 것입니다.
설치 단계와 관련된 표준 기술은 다음과 같습니다.
- DLL 하이재킹
- 원격 액세스 트로이 목마(RAT) 설치
- 악성 프로그램이 자동으로 시작될 수 있도록 레지스트리를 변경
또한 공격자는 보안 전문가가 원래 침입점을 차단한 경우에도 시스템이나 네트워크에 지속적으로 액세스할 수 있는 백도어를 생성하려고 시도할 수 있습니다.
사이버 범죄자가 이 단계에 성공적으로 도달했다면 방어 체계는 제한됩니다. 시스템 또는 네트워크가 감염된 것입니다.
이제 사용자 행동 분석(UBA) 도구 또는 EDR 도구와 같은 감염 후 도구를 사용하여 레지스트리 및 시스템 파일 관련 비정상적인 활동이 있는지 확인할 수 있습니다. 또한 사고 대응 계획을 배포할 준비를 해야 합니다.
#6. 명령 및 제어
명령 및 제어 단계에서 공격자는 손상된 시스템과의 연결을 설정합니다. 이 연결을 통해 대상을 원격으로 제어할 수 있습니다. 이제 공격자는 명령을 보내고, 데이터를 받고, 추가 악성 코드를 업로드할 수도 있습니다.
이 단계에서 자주 사용되는 두 가지 전술은 난독화와 서비스 거부(DoS)입니다.
- 난독화는 공격자가 자신의 존재를 숨기는 데 도움이 됩니다. 또한 탐지를 피하기 위해 파일을 삭제하거나 코드를 변경할 수도 있습니다. 기본적으로 흔적을 지우는 것입니다.
- 서비스 거부는 보안팀의 주의를 분산시킵니다. 다른 시스템에 문제를 일으키면 보안팀의 주요 목표로부터 주의를 돌릴 수 있습니다. 여기에는 네트워크 중단 또는 시스템 종료가 포함될 수 있습니다.
이 단계에서는 시스템이 완전히 손상된 상태입니다. 해커가 제어할 수 있는 범위를 제한하고 비정상적인 활동을 탐지하는 데 집중해야 합니다.
네트워크 분할, 침입 탐지 시스템(IDS), 보안 정보 및 이벤트 관리(SIEM)는 피해를 제한하는 데 도움이 될 수 있습니다.
#7. 목표 달성을 위한 행동
사이버 킬 체인의 7단계는 ‘목표 달성을 위한 행동’ 단계에서 절정에 이릅니다. 이 단계에서 공격자는 주요 목표를 수행합니다. 이 단계는 이전 성공에 따라 몇 주 또는 몇 달 동안 지속될 수 있습니다.
일반적인 최종 목표에는 데이터 도난, 민감한 데이터 암호화, 공급망 공격 등이 있지만 이에 국한되지는 않습니다.
데이터 보안 솔루션, 엔드포인트 보안 솔루션, 제로 트러스트 보안을 구현하면 피해를 줄이고 해커가 목표를 달성하는 것을 방지할 수 있습니다.
사이버 킬 체인이 오늘날의 보안 과제에 적합할까?
사이버 킬 체인 모델은 다양한 사이버 공격을 이해하고 대응하는 데 도움을 줍니다. 하지만 선형 구조는 오늘날의 복잡한 다중 벡터 공격에 비해 부족할 수 있습니다.
기존 사이버 킬 체인 프레임워크의 단점은 다음과 같습니다.
#1. 내부자 위협 간과
내부자 위협은 시스템 및 네트워크에 합법적인 접근 권한을 가진 직원이나 계약자 등 조직 내부의 개인으로부터 발생합니다. 이들은 의도적으로 또는 실수로 접근 권한을 남용하여 데이터 유출이나 다른 보안 사고를 초래할 수 있습니다.
실제로 기업의 74%가 내부자 위협이 더욱 빈번해지고 있다고 생각합니다.
기존 사이버 킬 체인 모델은 외부 공격자의 활동을 추적하도록 설계되었기 때문에 이러한 내부 위협을 고려하지 않습니다.
내부자 위협 시나리오에서 공격자는 이미 시스템과 네트워크에 대한 접근 권한을 가지고 있으므로 정찰, 무기화, 전달 등 사이버 킬 체인에 설명된 여러 단계를 거칠 필요가 없습니다.
프레임워크에 대한 이러한 중대한 간과로 인해 내부 위협을 탐지하거나 완화하기 어렵게 됩니다. 조직 내 개인의 행동이나 접근 패턴을 모니터링 및 분석하는 메커니즘이 부족하다는 것이 사이버 킬 체인 프레임워크의 실질적인 한계입니다.
#2. 제한적인 공격 탐지 능력
사이버 킬 체인은 다양한 사이버 공격을 식별하는 데 있어 상대적으로 범위가 좁습니다. 이 프레임워크는 주로 악성코드 활동과 악성 페이로드 탐지에 중점을 두고 있으므로 다른 형태의 공격을 처리하는 데 상당한 격차가 있습니다.
대표적인 예로는 SQL 인젝션, 크로스 사이트 스크립팅(XSS), 다양한 유형의 서비스 거부(DoS) 공격, 제로데이 공격과 같은 웹 기반 공격이 있습니다. 이러한 유형의 공격은 킬 체인이 감지하도록 설계된 일반적인 패턴을 따르지 않으므로 쉽게 우회할 수 있습니다.
또한 프레임워크는 손상된 자격 증명을 악용하는 권한 없는 개인에 의한 공격에 대해 충분히 설명하지 못합니다.
이러한 시나리오에서는 이러한 공격이 상당한 피해를 입힐 수 있지만 사이버 킬 체인의 제한적인 탐지 능력으로 인해 간과될 수 있으므로 중요한 결함이 발생합니다.
#3. 유연성 부족
주로 악성코드 및 페이로드 기반 공격에 초점을 맞춘 사이버 킬 체인 프레임워크에는 유연성이 부족합니다.
사이버 킬 체인 프레임워크의 선형 모델은 최신 위협의 역동적인 특성과 일치하지 않아 효율성이 떨어집니다.
또한 새로운 공격 기술에 적응하는 데 어려움을 겪고 중요한 침입 후 활동을 간과할 수 있으므로, 보다 적응력이 뛰어난 사이버 보안 접근 방식이 필요합니다.
#4. 경계 보안에만 집중
사이버 킬 체인 모델은 조직이 기존 온프레미스 네트워크에서 클라우드 기반 솔루션으로 전환함에 따라 문제가 되는 경계 보안과 악성코드 방지에 초점을 둔다는 이유로 종종 비판을 받습니다.
또한 원격 근무, 개인 장치, IoT 기술 및 로봇 프로세스 자동화(RPA)와 같은 고급 애플리케이션의 증가로 인해 많은 기업의 공격 표면이 확대되었습니다.
이러한 확장은 사이버 범죄자가 악용할 수 있는 접근 지점이 더 많아졌다는 것을 의미하며, 이는 기업이 모든 엔드포인트를 보호하기 어렵게 만들고 오늘날 진화하는 위협 환경에서 모델의 한계를 보여줍니다.
더 읽어보기: 사이버 보안 메시가 새로운 보호 시대에 어떻게 도움이 될까요.
사이버 킬 체인 모델의 대안
다음은 회사에 가장 적합한 사이버 보안 프레임워크 중 하나를 선택하기 위해 고려해 볼 수 있는 사이버 킬 체인 모델의 몇 가지 대안입니다.
#1. MITRE ATT&CK 프레임워크
MITRE ATT&CK 프레임워크는 공격자가 사용하는 전술, 기술 및 절차를 자세히 설명합니다. 사이버 위협을 이해하기 위한 플레이북이라고 생각하면 됩니다. 사이버 킬 체인은 공격 단계에만 초점을 맞추지만, ATT&CK는 더 자세한 정보를 제공합니다. 공격자가 침입한 후에 무엇을 하는지 보여주므로 더욱 포괄적입니다.
보안 전문가들은 깊이 있는 분석 때문에 MITRE ATT&CK를 선호하는 경우가 많습니다. 이는 공격과 방어 모두에 유용하게 활용될 수 있습니다.
#2. NIST 사이버 보안 프레임워크
NIST 사이버 보안 프레임워크는 조직이 사이버 보안 위험을 관리하고 완화하기 위한 지침을 제공합니다. 이 프레임워크는 능동적인 접근 방식을 강조합니다. 반면에 사이버 킬 체인은 침입 중에 공격자의 행동을 이해하는 데 중점을 둡니다.
프레임워크는 식별, 보호, 탐지, 대응 및 복구라는 5가지 핵심 기능을 설명합니다. 이러한 단계는 조직이 사이버 보안 위험을 이해하고 관리하는 데 도움이 됩니다.
NIST 프레임워크의 더 넓은 범위는 전반적인 사이버 보안 태세를 강화하는 데 도움이 되는 반면, 사이버 킬 체인은 주로 공격 시퀀스를 분석하고 중단하는 데 도움을 줍니다.
보안을 전체적으로 다루기 때문에 NIST 프레임워크는 탄력성과 지속적인 개선을 촉진하는 데 더 효과적인 것으로 입증되었습니다.
결론
사이버 킬 체인은 출시 당시 위협을 식별하고 완화하기 위한 훌륭한 사이버 보안 프레임워크였습니다. 그러나 현재 클라우드, IoT 및 기타 협업 기술의 사용으로 인해 사이버 공격이 더욱 까다로워졌습니다. 설상가상으로 해커들은 SQL 삽입과 같은 웹 기반 공격을 점점 더 많이 시도하고 있습니다.
따라서 MITRE ATT&CK 또는 NIST와 같은 최신 보안 프레임워크가 오늘날 끊임없이 변화하는 위협 환경에서 더 나은 보호 기능을 제공할 것입니다.
또한 네트워크 보안을 평가하기 위해 사이버 공격 시뮬레이션 도구를 정기적으로 사용해야 합니다.