사이버 보안 영역에서 널리 알려진 격언 중 하나는, 충분한 시간이 주어진다면 어떤 시스템이든 침해될 수 있다는 사실입니다. 이러한 주장은 다소 섬뜩하게 들릴 수 있지만, 실질적으로 사이버 보안의 핵심을 정확히 짚고 있습니다.
가장 강력한 보안 조치조차도 완벽할 수는 없습니다. 위협은 끊임없이 진화하고 있으며, 새로운 공격 방법들이 계속해서 등장하고 있습니다. 따라서 시스템에 대한 공격이 발생할 가능성을 인정하고 대비하는 것이 안전한 접근 방식입니다.
결론적으로, 조직은 시스템 보안을 강화하기 위해 공격이 발생하기 전부터 위협을 식별하는 데 투자를 아끼지 않아야 합니다. 위협을 조기에 감지함으로써, 피해를 최소화하고 공격의 확산을 막기 위한 즉각적인 대응책을 마련할 수 있으며, 본격적인 공격이 시작되기 전에 사이버 공격자의 침입을 차단할 수 있습니다.
단순히 공격을 저지하는 것 외에도, 위협을 조기에 탐지하는 것은 악성 행위자들이 데이터 유출 시도, 미래 공격에 악용될 수 있는 정보 수집, 또는 시스템에 취약점을 남기는 행위를 사전에 차단하는 데에도 기여합니다.
악의적인 행위자들이 시스템의 취약점을 이용하기 전에 위협 요소를 파악하는 효과적인 방법 중 하나는 바로 ‘위협 사냥’을 활용하는 것입니다.
위협 사냥이란 무엇인가
일반적으로, 데이터 유출, 악성코드 공격, 또는 서비스 거부 공격과 같은 사이버 공격이 발생하는 경우, 공격자들이 한동안 시스템 내부에 은닉해 있었던 경우가 많습니다. 이 잠복 기간은 짧게는 며칠에서 길게는 몇 주 또는 심지어 몇 달까지 이어질 수 있습니다.
공격자가 네트워크 내에서 오랫동안 감지되지 않고 활동할수록, 조직에 더 큰 피해를 입힐 가능성이 커집니다. 따라서 실제로 공격을 시작하기 전에 네트워크에 잠복해 있는 공격자를 식별하고 제거하는 것이 중요합니다. 바로 이 지점에서 ‘위협 사냥’의 역할이 두드러집니다.
위협 사냥이란, 보안 전문가들이 네트워크 전반에 걸쳐 세밀한 조사를 진행하여, 기존 보안 시스템을 우회했을 가능성이 있는 잠재적인 위협이나 취약점을 찾아내고 제거하는 선제적인 사이버 보안 활동을 의미합니다.
자동화된 위협 감지와 같은 수동적인 사이버 보안 방법과는 달리, 위협 사냥은 네트워크 엔드포인트와 네트워크에 저장된 데이터를 심층적으로 분석하여, 악의적이거나 의심스러운 활동을 탐색하는 적극적인 프로세스입니다. 이는 네트워크 내부에 잠재된 위협을 식별하는 데 목적을 두고 있습니다.
위협 사냥의 목표는, 네트워크 방어를 회피하고 아직 해결되지 않은 새로운 위협이나 미지의 위협을 탐지하는 데 있습니다. 단순히 알려진 위협을 찾는 것을 넘어섭니다.
효과적인 위협 사냥을 실행함으로써 조직은 공격이 현실화되기 전에 악성 행위자를 식별하고 차단하여 피해를 줄이고 시스템을 효과적으로 보호할 수 있습니다.
위협 사냥은 어떻게 이루어지는가
성공적이고 효과적인 위협 사냥은 사이버 보안 전문가들이 보유한 통찰력, 전략적 사고, 윤리적인 판단, 비판적 사고 능력, 그리고 문제 해결 능력에 크게 의존합니다. 이러한 고유한 인간적 능력은 자동화된 보안 시스템이 수행할 수 없는 부분을 보완합니다.
위협 사냥을 시작하기 위해, 보안 전문가는 우선 위협 사냥을 수행할 네트워크와 시스템의 범위를 정확하게 정의하고 파악해야 합니다. 그다음, 로그 파일이나 트래픽 데이터와 같은 모든 관련 데이터를 수집하고 분석합니다.
내부 보안 전문가들은 일반적으로 네트워크와 시스템에 대한 깊은 이해를 갖추고 있기 때문에, 이러한 초기 단계에서 매우 중요한 역할을 수행합니다.
수집된 보안 데이터는 다양한 분석 기법을 활용하여, 이상 징후, 숨겨진 악성코드, 사이버 공격자의 활동, 의심스럽거나 위험한 행동, 보안 시스템에 의해 해결된 것으로 표시되었지만 실제로는 해결되지 않은 위협들을 식별하는 데 사용됩니다.
위협이 감지되면, 추가적인 조사와 해결 과정을 거쳐 악성 행위자의 공격 시도를 차단합니다. 만약 악성 행위자가 발견되면, 시스템에서 제거되며, 시스템의 추가 보안과 손상을 방지하기 위한 조치가 뒤따라 이루어집니다.
위협 사냥은 조직에 보안 시스템에 대한 이해를 높이고, 시스템을 개선하여 보안을 강화하고 향후 발생할 수 있는 공격을 예방할 수 있는 기회를 제공합니다.
위협 사냥의 중요성
위협 사냥이 제공하는 주요 이점은 다음과 같습니다.
실제 사이버 공격으로 인한 피해 감소
위협 사냥은 사이버 공격자들이 중요한 데이터를 수집하여 더 큰 공격을 감행하기 전에, 시스템에 침입한 공격자를 탐지하고 차단하는 데 효과적입니다.
공격자를 조기에 저지함으로써, 데이터 유출로 인해 발생할 수 있는 피해를 최소화할 수 있습니다. 위협 사냥의 사전 예방적 특성을 통해, 조직은 공격에 더욱 신속하게 대응할 수 있으며, 사이버 공격의 위험과 영향을 크게 줄일 수 있습니다.
오탐 감소
일련의 규칙을 기반으로 하여 위협을 탐지하고 식별하도록 설계된 자동화된 사이버 보안 도구는 때때로 실제 위협이 존재하지 않는데도 경고를 발생시키는 경우가 있습니다. 이러한 오탐은 존재하지 않는 위협에 대한 불필요한 대응으로 이어질 수 있습니다.
하지만 사람이 직접 주도하는 위협 사냥은 보안 전문가가 심층 분석을 실시하고, 탐지된 위협의 본질을 정확히 파악하여 오탐을 효과적으로 제거할 수 있도록 해줍니다. 이러한 과정을 통해 불필요한 오탐을 줄일 수 있습니다.
보안 전문가의 시스템 이해도 향상
보안 시스템을 설치한 후 조직이 직면하는 주요 과제 중 하나는 시스템의 실제적인 효과를 검증하는 것입니다. 위협 사냥은 보안 전문가들이 기존 보안 조치를 회피할 수 있는 위협을 찾아내고 제거하기 위한 심층 조사와 분석을 수행할 수 있도록 지원함으로써 이 질문에 답을 제공합니다.
또한, 내부 보안 전문가가 시스템의 작동 방식과 보안을 개선할 수 있는 방법에 대한 더 깊은 이해를 얻을 수 있다는 추가적인 이점도 있습니다.
보안 팀의 역량 강화
위협 사냥은 최신 기술을 활용하여 위협과 취약점을 식별하고, 악용되기 전에 이러한 위협을 완화하는 데 중점을 둡니다.
이를 통해 조직의 보안 팀은 최신 위협 환경에 대한 정보를 지속적으로 업데이트하고, 아직 알려지지 않은 취약점을 적극적으로 찾아낼 수 있습니다.
이러한 선제적인 활동은 보안 팀이 새로운 위협에 더 잘 대비할 수 있도록 해주며, 사이버 공격으로 인한 예상치 못한 피해를 줄이는 데 기여합니다.
사고 조사 시간 단축
정기적인 위협 사냥은 공격 발생 시 조사 과정을 가속화하는 데 활용할 수 있는 정보 데이터베이스를 구축하는 데 도움이 됩니다.
위협 사냥에는 시스템 및 발견된 취약점에 대한 심층적인 연구와 분석이 포함됩니다. 결과적으로 시스템과 보안에 대한 지식이 축적됩니다.
따라서 공격이 발생할 경우, 이전의 위협 사냥 활동에서 수집된 데이터를 활용하여 조사 과정을 훨씬 빠르게 수행할 수 있으며, 조직은 공격에 더욱 신속하고 효과적으로 대응할 수 있게 됩니다.
정기적인 위협 사냥은 조직에 다양한 이점을 제공합니다.
위협 사냥과 위협 인텔리전스
위협 인텔리전스와 위협 사냥은 모두 조직의 사이버 보안을 강화하기 위해 관련되어 있고 종종 함께 사용되지만, 서로 다른 개념입니다.
위협 인텔리전스에는 새로운 사이버 위협과 기존 위협에 대한 데이터를 수집하고 분석하여 사이버 위협의 특성, 공격자의 전략, 사용된 기술, 동기, 대상 등을 파악하는 과정이 포함됩니다.
수집된 정보는 조직과 공유되어, 사이버 공격을 감지하고, 예방하며, 완화하는 데 사용됩니다.
반면, 위협 사냥은 시스템 내부에 잠재되어 있을 수 있는 위협과 취약점을 찾아내고, 악성 행위자가 이를 악용하기 전에 해결하기 위한 선제적 프로세스입니다. 이 프로세스는 보안 전문가에 의해 주도됩니다. 위협 인텔리전스 정보는 위협 사냥을 수행하는 전문가들에 의해 활용됩니다.
위협 사냥의 유형
위협 사냥에는 세 가지 주요 유형이 있습니다. 아래는 그 유형입니다.
#1. 구조화된 사냥
이는 공격 지표(IoA)를 기반으로 한 위협 사냥 방법입니다. 공격 지표는 시스템이 권한이 없는 행위자에 의해 액세스되고 있다는 증거를 의미하며, 일반적으로 데이터 유출 사건이 발생하기 전에 나타납니다.
따라서 구조화된 사냥은 공격자가 사용하는 전술, 기술, 절차(TTP)를 파악하고, 그들이 목표로 하는 대상을 식별하여, 실제 피해가 발생하기 전에 대응하는 데 중점을 둡니다.
#2. 비구조화된 사냥
비구조화된 사냥은 손상 지표(IoC)를 기반으로 수행되는 위협 사냥 유형입니다. 손상 지표는 보안 침해가 발생했고 권한이 없는 행위자가 과거에 시스템에 접근했었다는 증거를 나타냅니다. 이 유형의 위협 추적에서 보안 전문가는 손상 지표가 확인되기 전과 후의 네트워크 전체에서 패턴을 찾습니다.
#3. 상황 또는 엔티티 기반 사냥
이는 조직 시스템의 위험 평가 및 발견된 취약점을 기반으로 수행되는 위협 사냥 방법입니다. 보안 전문가는 외부에서 이용 가능한 최신 공격 데이터를 활용하여 시스템 내에서 유사한 패턴과 공격 행위를 탐색합니다.
위협 사냥의 핵심 요소
효과적인 위협 사냥에는 시스템 내에서 잠재적인 위협을 나타낼 수 있는 의심스러운 행동이나 패턴을 식별하기 위한 심층적인 데이터 수집 및 분석이 필수적입니다.
만약 이러한 활동이 시스템에서 감지되면, 고급 보안 조사 도구를 사용하여 전체적인 상황을 완전히 조사하고 이해해야 합니다.
또한, 조사를 통해 밝혀진 취약점을 해결하고, 공격자가 악용하기 전에 위협 요소를 제거하기 위한 실질적인 전략을 마련해야 합니다.
프로세스의 마지막 핵심 요소는 위협 사냥 결과에 대한 보고서를 작성하고, 조직의 시스템을 보다 효과적으로 보호하기 위한 권장 사항을 제시하는 것입니다.
위협 사냥의 단계
이미지 출처: 마이크로소프트
효과적인 위협 사냥에는 다음의 단계들이 포함됩니다.
#1. 가설 수립
위협 사냥의 주요 목표는 공격에 의해 악용될 수 있는 미지의 위협이나 취약점을 발견하는 것입니다. 위협 사냥은 미지의 영역을 탐색하는 것을 목표로 하기 때문에, 첫 번째 단계는 조직 시스템의 보안 상태와 취약점에 대한 지식을 바탕으로 가설을 설정하는 것입니다.
이 가설은 위협 사냥의 방향을 설정하고, 전체 활동을 위한 전략적 토대를 마련합니다.
#2. 데이터 수집 및 분석
가설이 설정되면, 다음 단계는 네트워크 로그에서 데이터와 위협 인텔리전스 정보를 수집하여, 가설을 검증하거나 반증하는 것입니다. 데이터 수집 및 분석을 위해서는 특수 도구를 사용할 수 있습니다.
#3. 트리거 식별
트리거는 추가적인 심층 조사가 필요한 의심스러운 사건을 의미합니다. 데이터 수집 및 분석 과정에서 얻은 정보는 네트워크 내에 권한 없는 행위자가 존재한다는 초기 가설을 입증할 수 있습니다.
수집된 데이터를 분석하는 동안, 시스템 내에서 의심스러운 활동이 발견될 수 있습니다. 이러한 의심스러운 활동들은 추가적인 조사가 필요한 트리거로 간주됩니다.
#4. 조사
시스템 내에서 트리거가 식별되면, 해당 위협의 전반적인 특성, 사건 발생 과정, 공격자의 동기, 잠재적인 공격 영향 등을 파악하기 위한 조사가 이루어집니다. 이 조사 단계의 결과는 발견된 위협을 해결하기 위한 구체적인 조치를 결정하는 데 중요한 역할을 합니다.
#5. 해결
위협에 대한 조사가 완료되고 위협의 성격이 완전히 파악되면, 해당 위험을 해결하고 향후 공격을 예방하며, 공격자가 악용할 수 있는 새롭게 발견된 취약점이나 기술에 대처하기 위한 전략이 시행됩니다. 여기에는 기존 시스템 보안을 강화하는 조치도 포함될 수 있습니다.
모든 단계가 완료되면, 추가적인 취약점을 식별하고 시스템의 보안을 더욱 강화하기 위해 해당 프로세스가 반복적으로 진행됩니다.
위협 사냥의 과제
위협 사냥 과정에서 발생하는 주요 과제들은 다음과 같습니다.
숙련된 인력 부족
위협 사냥은 사람이 주도하는 보안 활동이므로, 그 효과는 위협 사냥을 수행하는 담당자의 기술과 경험에 크게 좌우됩니다.
풍부한 경험과 숙련된 기술을 갖춘 위협 사냥꾼은 기존 보안 시스템이나 다른 보안 담당자들이 놓치는 취약점이나 위협을 식별할 수 있습니다. 그러나 숙련된 위협 사냥꾼을 확보하고 유지하는 것은 조직에 큰 비용 부담을 줄 수 있으며 매우 어려운 일입니다.
미지의 위협 식별의 어려움
위협 사냥은 기존 보안 시스템을 회피한 위협을 식별해야 하기 때문에 매우 어려운 작업입니다. 따라서 이러한 위협들은 쉽게 식별할 수 있는 알려진 서명이나 패턴을 가지고 있지 않아 전반적인 프로세스를 매우 복잡하게 만듭니다.
광범위한 데이터 수집
위협 사냥은 가설을 검증하고, 트리거를 조사하는 데 필요한 시스템 및 위협 관련 데이터를 대량으로 수집해야 합니다.
이러한 데이터 수집 과정은 고급 타사 도구를 필요로 할 수 있으며, 데이터 개인 정보 보호 규정을 준수하지 못할 위험도 수반됩니다. 또한, 전문가들은 엄청난 양의 데이터를 다뤄야 하므로, 작업에 어려움이 있을 수 있습니다.
최신 위협 인텔리전스 유지
성공적이고 효과적인 위협 사냥을 위해서는 위협 사냥을 수행하는 전문가들이 공격자들이 사용하는 최신 전술, 기술, 절차에 대한 최신 위협 인텔리전스 정보와 지식을 갖추고 있어야 합니다.
공격에 사용되는 최신 전술, 기술 및 절차에 대한 정보 접근이 제한되면, 전체 위협 추적 프로세스가 방해를 받고 그 효과가 감소할 수 있습니다.
결론
위협 사냥은 조직이 시스템 보안을 강화하기 위해 도입을 고려해야 할 사전 예방적인 프로세스입니다.
공격자들은 시스템의 취약점을 찾아 악용하기 위해 지속적으로 노력하기 때문에, 조직이 취약점과 새로운 위협 요소를 적극적으로 식별하고, 공격자들이 이를 악용하여 조직에 피해를 입히기 전에 대비하는 것이 매우 중요합니다.
IT 보안 전문가를 위한 몇 가지 무료 포렌식 조사 도구를 살펴보는 것도 도움이 될 수 있습니다.