사이버 위협 추적, 공격자의 단서를 포착하다

 

사이버 위협 추적, 공격자의 단서를 포착하라

 

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=29904

사이버 위협 추적, 공격자의 단서를 포착하라

 

해킹방지워크샵 2020 (concert.or.kr/suf2020/main/index.php)에서 발표한 내용으로 글을 작성했습니다.

제목은 멋지게 뽑아줬네요. 저는 '사이버 위협 정보를 활용한 연관 보안위협 찾기'라는 밋밋한(?) 제목으로 작성했습니다.

 

이제는 보안팀에 분석가가 필요하다는 내용을 강조했는데 우리나라 현실상 대기업 아니면 보안팀에 분석가까지(!) 존재하기는 힘듭니다. 분석가가 있으면 이런 점이 좋다는 내용을 포함했지만 편집 과정에서 삭제되어 블로그에 정리해 봅니다.

 

----------------------------------------------------------------------------------------------------------------------------------------

 

기업이나 조직의 보안팀에서 사이버 위협 정보를 이용해 대응하고 나아가 적극적으로 위협을 찾기 위해서 어떻게 해야 할까?

보안팀은 내부 장비 현황 파악, EDR 등을 통한 내부 시스템 모니터링, 장기간 로그 수집, 내부에서 발견된 악성코드 보관 등을 준비하면 침해사고가 발생했을 때 분석에 도움이 된다. 이상 시스템에서 의심 파일을 찾을 수 있다면 보안업체에서 제공하는 정보 수집 도구를 보내고 결과를 받아 수상한 파일을 찾아 전송하는 커뮤니케이션 시간을 단축할 수 있다. 

공격자는 사용하는 보안 제품을 파악해 우회를 시도하며 공격을 진행한다. 보안 제품에서 일부 공격을 방어할 수 있지만 보안 제품만으로 모든 공격을 완벽하게 방어할 수 없다. 내부에서 발생하는 공격 시도와 침해 사고를 조사하고 관련 악성코드를 분석할 수 있는 분석가가 필요하다. 보안 업체의 도움을 받을 수 있지만 내부 시스템을 볼 수 있는 권한이 제한적이기 때문에 일정 규모 이상 되고 지속적인 공격을 받는 곳이라면 자체 분석가가 필요하다.

분석가는 각종 기사, 보안 업체와 보안 기관에서 공개하는 위협 분석 정보, 사이버 위협 인텔리 전스(TI) 서비스를 등을 통해 다양한 위협 정보를 수집하고 자사에서 발생하는 침해사고와 악성코드를 비교해 대응 방안을 마련해야 한다. 보안팀의 분석가가 모든 위협 정보를 파악하는 건 불가능에 가깝다. 따라서 자신의 업종이나 조직을 주로 공격하는 위협 그룹에 대해서는 공격 방식 등의 관련 정보를 비교적 상세하게 파악하고 있어야 한다. 보안팀에 사이버 위협 인텔리전스 서비스의 정보를 활용할 분석가가 없다면 TI 서비스의 활용은 떨어질 수밖에 없다. 

침해사고를 대응하고 분석할 수 있는 인력이 확보된 조직에서도 발생하는 침해사고 대응에 급급해 공격자가 누구인지 어떤 공격 방식을 구사하는지 제대로 파악하지 못하는 경우도 많다. 일반 기업은 보안회사 보다 악성코드 샘플이나 다양한 피해 사례 정보는 적을 수 있다. 하지만, 보안팀은 보안업체에서는 파악할 수 없는 내부 상황을 알 수 있고 지속적으로 공격하는 악성코드를 빨리 파악할 수 있는 장점이 있다. 보안 회사의 경우 여러 분석가가 다양한 샘플을 보기 때문에 지속적인 공격이 있을 때 동일한 분석가가 관련 샘플을 분석하지 않으면 모르고 지나 칠 수 있다. 공격자가 동시에 여러 곳을 활발하게 공격하지 않는 이상 어떤 악성코드를 추적하기로 결정하기 전까지는 모를 수 있다. 

각종 위협 정보는 내부 상황에 맞게 활용해 적극적으로 사이버 위협 사냥을 진행할 수 있다. 최근 위협분석 보고서에는 야라 룰(Yara rule)을 포함하는 경우가 있다. 내부에서 발견되는 샘플을 수집된 야라 룰로 진단해 관련된 정보가 파악되는 해당 악성코드 분석 내용을 바탕으로 공격자의 전술, 기법 및 절차 (TTPs, Tactics Techniques Procedures)를 파악해 방어 체계를 수립 할 수 있다. 또 발생하는 악성코드를 분석해 자사를 지속적으로 노리고 있다고 판단되면 야라 룰을 만들어 유사한 변형을 빨리 발견할 수 있도록 한다. 이외 MITRE ATTACK에서 정리한 공격 방법을 사내 보안 테스트에 활용해 어떤 부분에서 취약한지 확인 수 있다. 보안업체는 악성코드만으로는 공격 방식, 관련 취약점 등을 파악하는데 한계가 있으므로 보안팀의 역할이 필요하다.

변화하는 사이버 위협에 맞춰 이상적인 보안팀의 역할을 정리했지만 현실적으로 보안팀을 강화하기 위해서는 추가적인 인력이 필요해 일정 규모의 기업이나 조직이 아니라면 보안팀에 별도 대응 및 분석 조직을 함께 갖추지는 못한다. 기업이나 조직의 보안팀에 대한 인식 개선이 필요하다. 

 

----------------------------------------------------------------------------------------------------------------------

 

TI를 도입하려는 기업이 있다면 분석가가 없으면 도입한 TI를 IOC 정도의 반쪽만 활용 할 수 밖에 없습니다

 

국내에서도 기업 보안팀 내 분석가들과 협력하는 모습을 기대해 봅니다.