December 14,2018

새로운 사이버 보안 트렌드 ‘위협 사냥’

은닉 악성코드 찾는 것이 관건

FacebookTwitter

보안 산업은 창과 방패의 싸움으로 하루도 조용할 날이 없다. 시스템을 침투하려는 해커 그룹과 이를 보호하려는 보안 담당자 사이에서 보이지 않는 전쟁이 계속 일어나고 있다.

특히 ‘범죄형 서비스 (CaaS: Crime as a Service)’가 등장한 이후로 해킹 기술이 빠르게 발전하고 있다는 사실은 사이버 안보에 큰 위협 요인으로 작용하고 있다.

범죄형 서비스에서 사용중인 랜섬웨어 ⓒ Pixabay

범죄형 서비스에서 사용중인 랜섬웨어 ⓒ Pixabay

해커와 보안 담당자 사이의 창과 방패같은 싸움을 보여주는 대표적인 예가 랜섬웨어의 일종인 ‘갠드크랩(GandCrab)’이다.

갠드크랩이 놀라운 것은 나온지 불과 6개월 만에 버전 5.1까지 업그레이드 됐다는 점이다. 이는 사이버 보안 시스템을 뚫기 위해 끊임없이 진화하는 해킹 기술의 발전을 단적으로 드러내는 것이다. 물론 보안 시스템도 이를 막기 위해 계속 발전해왔다.

그런데 최근 인공지능(AI)이 등장하며 사이버 안보에 심각한 위협이 되고 있다.

지난 2월 옥스퍼드대학교, 케임브리지 대학교, 아메리카 대학교, 예일 대학교, 스탠퍼드 대학교 등의 학자 26명이 공동으로 ‘AI의 악용: 전망, 방지 및 대응(The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation)’이라는 제목의 보고서를 발간했다. 이들은 해당 보고서의 주요 항목 중 하나로 사이버 공격에서의 AI 악용을 지목했다.

이외 여러 기관에서 해커가 AI를 악용할 것에 대한 우려를 전망하고 있다. 2017년 보안 최대 컨퍼런스 ‘블랙햇 (BlackHat)’에서 보안 전문가 대상으로 설문조사 한 결과, 응답자의 62%가 “1년 내로 해킹에 AI가 악용될 것”으로 답했다.

골든타임을 놓치는 사이버 보안 체계

이렇게 사이버 공격이 계속 진화하고 있다는 것은 현재 구축한 사이버 보안 체계가 100% 안전하지 않다는 것을 의미한다.

이는 곧 현재 운영되고 있는 시스템 내에 악성코드 등이 이미 잠입해 있을 수 있다는 뜻이기도 하다. 다만 담당자가 이를 모를 뿐이다.

특정 기관을 대상으로 하는 사이버 공격의 경우, 직접적으로 한 번에 시스템을 공격하는 일은 거의 없다. 해커는 오랜 조사, 잠복 기간을 거치면서 목표 시스템에 도달한 후, 공격을 한다. 따라서 시스템 내에 악성코드가 잠복해있을 수 있다는 것은 전혀 근거 없는 우려가 아닌 셈이다.

컨설팅 업체 ‘어네스트영(EY; Ernest&Young)’에서는 이러한 사이버 공격 체계를 잘 정리하여 놓았다.

EY에 따르면 사이버 공격 과정은 크게 6단계로 분류된다. ‘정보 수집 (Intelligence Gathering)’, ‘초기 침투 (Initial Exploitation)’, ‘원격 조정 (C2: Command and Control)’, ‘감염 확산 (Privilege Escalation)’, ‘기관 내 정보 탈취 (Data Extraction)’ 그리고 ‘공격 (Attack)’이 그것이다.

첫째, 정보 수집 단계에서 해커는 목표 기관의 정보를 수집한다. 이들은 컨퍼런스, 홈페이지의 조직 정보 등 공개된 자료를 바탕으로 기관 인원의 이메일 등 정보 등 침투에 필요한 재료를 모은다.

둘째, 초기 침투는 기관에 잠입하기 위한 거점을 확보하는 단계이다. 정보 수집 단계에서 얻은 직원 이메일을 대상으로 악성 메일을 보내어 감염시킬 수 있다.

해커가 침투에 성공하면 원격 조정, 감염 확산 그리고 기관 내 정보 탈취 과정이 순환하면서 진행된다.

원격 조정은 악성코드가 감염을 완료했다는 메시지를 해커에게 보내고, 이를 받은 해커가 추가 지시를 악성코드에 내리는 과정이다. 이때 해커는 보통 추가 감염을 지시하는데, 이는 감염된 직원의 신뢰를 기반으로 다른 직원의 계정까지 추가로 감염시키는 것이다.

정보 탈취 과정은 목표 시스템에 도달하기 위해서 감염된 직원의 컴퓨터를 감시, 이를 통해 정보를 탈취하는 과정이다. 이 과정을 바탕으로 해커는 목표 시스템의 계정 정보를 알아낼 수 있다.

골든타임을 놓치고 있는 현재 보안 체계 ⓒ Max Pixel

골든타임을 놓치고 있는 현재 보안 체계 ⓒ Max Pixel

이렇게 해커들은 치밀하고 정교하게 사이버 공격을 실시한다. 그럼 이에 대응하는 사이버 보안 체계는 어떻게 구성돼 있을까?

견고한 사이버 보안 체계를 갖춘 곳은 ‘사전대응’, ‘탐지‘ 그리고 ’사후대응‘의 선순환 체계를 갖춘 곳이 많다.

여기서 탐지는 말 그대로 악성 공격을 탐지하는 과정이다. 담당자는 이를 통해 해커의 초기 침투에 대응할 수 있다.

사후 대응은 공격 단계에서 발생하는 피해를 최소화하는 과정을 말한다.

사후 대응을 통해 담당자가 획득한 공격 정보는 그대로 사전대응에 활용된다. 이러한 과정을 통해 사이버 공격을 예측하고 대비할 수 있다.

최근에는 범죄 사이트를 검열할 수 있는 보안 시스템도 등장하고 있다. 이러한 보안 시스템은 초기 침투뿐만 아니라 정보 수집 단계에도 대응할 수 있게 한다,

보안 체계를 잘 살펴보면, 해킹 공격에 완벽히 대응할 수 있는 것처럼 보인다. 그런데 정말로 완벽 대응이 가능한 것일까? 그렇지 않다.

이러한 보안 체계는 아주 중요한 고려사항을 놓치고 있다. 그건 바로 악성코드가 잠입할 수 있다는 점이다.

앞부분에서 말했듯이, 해킹 기술은 계속 진화하고 있다. 따라서 보안 시스템이 100% 방어하기는 불가능하다. 뚫릴 수 있는 점까지 고려한 보안 체계를 갖춰야 한다는 뜻이다.

물론 사후 대응이 이러한 역할을 하는 듯 보이기는 한다. 그러나 사후 대응에는 ‘소 잃고 외양간 고친다’는 속담이 잘 어울린다. 아예 침투 단계 이후와 공격 단계 이전에 대한 보안 체계는 없는 것일까?

어찌 보면 공격 피해를 막을 수 있는 가장 중요한 골든타임과 같은 단계인데 말이다.

위협 사냥으로 골든타임 확보

이에 최근 주목받고 있는 새로운 보안 개념이 ‘위협 사냥 (Threat Hunting)’이다.

위협 사냥은 보안 시스템이 언제든지 뚫릴 수 있다는 가정에서 출발, 내부에 잠복하고 있는 위협을 말 그대로 사냥해서 없애는 방식이다.

숨어있는 위협 요인을 찾는 ‘위협 사냥’  ⓒ Flickr

숨어있는 위협 요인을 찾는 ‘위협 사냥’ ⓒ Flickr

예를 들어 보안 담당자는 회사 임원이 출장을 할 경우, 이로 인해 보안 구멍이 생겨날 수 있다는 가정을 세운다. 그리고 해당 임원을 상세히 조사하면서 주변의 보안 위협 증후 여부를 살필 수 있다.

그렇다면 구체적으로 위협 사냥은 어떤 방식으로 진행되는 것일까? 보안 전문 기업 ‘스쿼럴 (Sqrrl)’에 따르면, 위협 사냥은 ‘가설’, ‘수사’, ‘발견’ 그리고 ‘정보 습득’의 과정을 거치면서 진행된다.

가설 단계는 해킹당한 것을 가정해 침투 경로에 대한 가설을 세우는 것이다.

그런데 막상 가설을 세우려면 추상적일 경우가 많다. 때문에 보안 담당자는 지능형 위협(Threat Intelligence) 시스템을 활용하는 경우가 많다. 참고로 해당 시스템은 위협 정보를 운영자에게 알려주는 역할을 한다.

담당자는 이후 가설을 토대로 악성 공격이 내부에 있는지를 ‘수사’한다. 그리고 악성코드를 ‘발견’하면 즉시 대응하고 추가 피해 여부를 조사한다.

이후 정보 습득 단계에서는 어떤 위협이 있었는지를 상세히 기록해, 이후 위협 사냥에 도움이 될 수 있게 한다.

이처럼 위협 사냥은 공격이 발생하기 전에 위협을 차단하는 적극적 보안 개념이다. 국내에서는 올해 상반기부터 주목을 받기 시작했는데, AI 악용으로 인한 해킹 공격에 효율적인 대응 방안이 될 것으로 보인다.

의견달기(0)