5분 이내에 사이버 킬 체인과 사이버 보안에서의 역할 설명
사이버 킬 체인(Cyber Kill Chain, CKC)은 2011년 록히드 마틴(Lockheed Martin)에서 고안한 보안 모델로, 사이버 공격의 전개 과정을 단계별로 묘사하여 위협을 파악하고, 식별하며, 효과적으로 방어하는 데 도움을 줍니다.
참고로, 록히드 마틴은 항공 우주, 방위, 무기 및 보안 분야를 선도하는 세계적인 기업입니다.
CKC는 사이버 보안 전문가들이 사이버 공격으로부터 조직을 보호하고 대응 전략을 수립하는 데 널리 참고하는 중요한 보안 모델 중 하나입니다.
사이버 보안에서 사이버 킬 체인이 중요한 이유는 무엇일까요?
솔직히 말해서, 사이버 보안은 결코 단순한 문제가 아닙니다. 일반 사용자에게 인터넷을 안전하게 사용하는 방법을 알려줄 때는 간단하고 쉽게 들릴 수 있지만, 실제 사이버 공격에 직면했을 때 조직은 복잡하고 전문적인 지식을 갖추어야 합니다.
몇 가지 보안 팁만으로는 사이버 공격을 효과적으로 방어하기 어렵습니다. 따라서 사이버 공격을 체계적으로 이해하고 대응할 수 있는 프레임워크, 즉 모델이 필요합니다.
사이버 킬 체인은 사이버 공격의 진행 단계를 이해하는 데 유용한 전통적인 보안 모델입니다. 이 모델은 아래에서 상세히 다룰 7단계로 구성되어 있습니다.
사이버 보안에서 사이버 킬 체인의 역할
사이버 킬 체인은 사이버 공격의 흐름을 파악하는 데 도움을 줄 뿐만 아니라, 조직이 공격자를 조기에 탐지하고, 무단 접근을 차단하며, 진행 중인 공격을 완화하고, 네트워크 내부에서 공격을 중단시키는 방법을 이해하도록 돕습니다.
이를 통해 조직과 사이버 보안 전문가들은 효과적인 대응 전략을 수립할 수 있습니다.
하지만 사이버 킬 체인만으로는 네트워크 외부 또는 조직 내부에서 발생하는 다양한 위협을 모두 포괄할 수 없다는 점을 알아야 합니다. 이 모델은 그러한 모든 상황을 고려하지 않습니다.
사이버 킬 체인의 단계
이미지 출처: 록히드 마틴
CKC 프레임워크는 사이버 공격을 설명하는 7단계로 구성되어 있습니다. 이 단계들은 다음과 같습니다.
- 정찰
- 무기화
- 전달
- 침투
- 설치
- 명령 및 제어
- 목표 달성
#1. 정찰
정찰 단계는 사이버 킬 체인의 첫 단계로, 공격자가 정보를 수집하는 단계입니다.
공격자는 네트워크의 취약점과 침입 경로를 파악하기 위해 정보를 수집하고, 취약점을 스캔합니다. 이메일 주소, 물리적 주소, 소프트웨어 관련 정보 등 공격에 활용할 수 있는 다양한 데이터를 수집합니다. 이러한 정보는 공격 전략을 수립하는 데 중요한 역할을 합니다.
공격자가 수집하는 정보가 많을수록 공격의 위협은 커집니다. 이 정찰 단계는 온라인과 오프라인 모두에서 이루어질 수 있으며, 이 단계에서는 악의적인 행위자를 쉽게 감지하기 어렵습니다.
이 단계를 방어하기 위해 조직과 개인은 물리적 위치 접근을 제한하거나, 온라인에서 개인 정보 공유를 자제하는 등 개인 정보 보호에 주의를 기울여야 합니다. 예를 들어, 개인 정보 보호 도구를 사용하여 온라인 신원을 보호하는 것이 중요합니다.
#2. 무기화
무기화 단계에서 공격자는 사이버 공격에 사용할 악성코드나 도구를 만듭니다.
기존 도구를 수정하거나, 대상에 맞게 새로운 도구를 만들어 다음 단계인 전달을 준비합니다.
공격에 사용되는 무기는 공격자의 목표에 따라 다릅니다. 일부 공격자는 서비스 중단을, 다른 공격자는 데이터 탈취를, 또 다른 공격자는 민감한 데이터를 인질로 잡고 금전을 요구하는 것을 목표로 합니다.
무기는 공격 목표를 달성하기 위한 모든 것이 될 수 있습니다.
#3. 전달
전달 단계는 공격의 성공 여부가 결정되는 중요한 단계 중 하나입니다.
전달에 성공하면 악성코드가 시스템에 침투하여 공격을 시작하지만, 실패하면 공격 시도는 무산됩니다.
공격자는 악성 이메일 첨부 파일, 피싱 이메일, 사용자 권한을 유도하는 텍스트 메시지 등 다양한 수단을 사용하여 악성코드를 전달합니다. 이때 공격자는 정찰 단계에서 얻은 정보를 활용하여 대상이 메시지나 링크를 믿고 클릭하도록 유도합니다.
만약 조직과 직원이 피싱 공격과 같은 사이버 공격에 대한 인식을 높인다면, 전달 단계에서의 성공률을 낮출 수 있습니다.
#4. 침투
침투 단계에서 공격자는 시스템의 취약점을 악용하여 시스템에 침입합니다.
악성코드가 시스템에 성공적으로 전달되면, 알려진 취약점을 통해 실행되며 공격자는 시스템에 대한 더 많은 정보를 얻고 다른 취약점을 찾을 수 있습니다.
네트워크에 연결된 모든 취약한 시스템은 공격 대상이 될 수 있습니다.
#5. 설치
공격자가 시스템의 취약점을 모두 파악하면 악성코드 설치를 시작하고, 기존에 알려지지 않았던 다른 취약점을 악용하기 위해 또 다른 악성코드를 설치합니다.
이 단계에서 공격자는 침투된 네트워크 내부로 깊숙이 침투하게 됩니다.
#6. 명령 및 제어
침투가 완료되면 공격자는 침입한 시스템이나 네트워크를 제어하기 시작합니다.
원격으로 정보를 추적 및 모니터링하거나, 시스템과 서비스를 방해하기 위해 다양한 공격을 시도할 수 있습니다. DDoS 공격을 하거나 백도어를 설치하여 시스템에 자유롭게 출입할 수 있도록 만들 수도 있습니다.
#7. 목표 달성
마지막으로 공격자는 목표를 달성하기 위한 최종 행동을 취합니다.
데이터를 암호화하여 몸값을 요구하거나, 악성코드를 확산시키고, 서비스를 중단시키거나, 데이터를 탈취, 유출 또는 수정할 수 있습니다. 가능성은 매우 다양합니다.
사이버 킬 체인이 공격으로부터 보호하는 데 어떻게 도움이 될까요?
공격자가 네트워크 및 시스템에 침입하는 과정을 이해하면, 조직과 개인은 사이버 공격을 더 효과적으로 방어할 수 있습니다.
예를 들어, 사이버 킬 체인을 통해 네트워크의 취약점이 공격자의 빠른 침투를 돕는다는 것을 알게 되면, 조직은 엔드포인트 탐지 및 대응 도구를 도입하여 사이버 보안 전략에 조기 탐지 기술을 추가할 수 있습니다.
또한 방화벽을 사용하여 클라우드 인프라를 보호하고, 클라우드 기반 DDoS 보호 서비스를 활용하여 보안을 강화할 수 있습니다. VPN도 기업 보안에 유용하게 사용될 수 있습니다.
조직은 사이버 공격의 각 단계에 맞는 솔루션을 선택하여 사이버 킬 체인 모델을 효과적으로 활용할 수 있습니다.
사이버 킬 체인만으로 충분할까요?
네, 그리고 아니오입니다.
앞서 언급했듯이, 사이버 킬 체인은 사이버 공격의 기본적인 부분만 다루고 있습니다. 하지만 조직이 이 모든 것을 방어할 수 있다면 이미 큰 성과입니다.
일부 사이버 보안 전문가들은 이 모델을 8단계로 확장했습니다.
8단계는 수익 창출과 관련된 단계입니다.
이 단계는 공격자가 성공적인 공격을 통해 수익을 얻는 방법을 설명합니다. 몸값 요구에서 암호화폐 사용까지, 조직은 이러한 상황에도 대비해야 합니다.
전반적으로 이 모델은 디지털 세계의 혁신에 따라 다소 구식이라고 여겨질 수 있습니다. 기본 원리는 동일하지만 사이버 공격은 더욱 복잡해졌습니다. 예를 들어, CKC 프레임워크는 악성코드 공격에 초점을 맞추고 있어 모든 유형의 공격을 다루지는 않습니다.
또한 악의적인 내부자에 의한 위협도 다루지 않습니다.
사이버 공격이 클라우드 및 인공지능과 결합되어 더욱 복잡해지고 있는 점을 고려할 때, MITRE ATT&CK 및 Unified Kill Chain과 같은 다른 모델도 함께 참조하는 것이 좋습니다.