침해사고/위협동향

[딜라이트닷넷] 놓친 20% 위협, 장기간 잠복 후 피해 초래 “위협헌팅 솔루션 필요”

최민지 기자
[ⓒ 씨큐비스타]
[ⓒ 씨큐비스타]

[IT전문 미디어 블로그=딜라이트닷넷]

IBM에 따르면 자동화된 보안시스템으로는 약 80% 위협을 처리할 수 있지만, 상위 1·2급 보안관제센터(SOC) 분석가들 조차 정교한 20% 위협 및 공격행위에 대해서는 처리하지 못한 것으로 나타났다.

이와 관련 씨큐비스타는 20% 위협은 중대한 피래를 초래할 요소일 가능성이 크고, 네트워크에 침입해 300일간이나 잠복해 치명적 피해를 일으킬 수 있다고 진단했다. 이에 위협을 능동적으로 찾아 제거하는 위협헌팅 솔루션이 필요하다는 설명이다.

13일 씨큐비스타(대표 전덕조)는 사이버 위협 헌팅 가이드를 주제로 보안보고서 ‘씨큐리포트’를 발표했다. 이 보고서에서는 기존 보안이 놓치고 있는 20% 위협을 해결하기 위한 위협헌팅 기술의 필요성과 핵심 보안요소를 담았다.

씨큐비스타는 해커의 88%가 시스템에 침입해 12시간 이내에 사이버 보안망을 통과할 수 있고, 그중 81%가 가치 있는 데이터를 수집하기까지 추가로 12시간 밖에 걸리지 않는다고 분석했다. 효과적인 위협헌팅을 위해서는 공격자의 마인드셋을 갖고 내부 네트워크를 바라봐야 한다는 것이다.

씨큐비스타에 따르면 사이버 위협 헌팅은 공격자들의 정교한 위협에 대비하기 위한 진화의 다음 단계다.

사이버 위협 헌팅 수행을 위한 실용적 모델은 위협 헌팅을 자신의 환경에서 공격자 전술, 기술 및 절차(TTPs)를 탐색하는 사전 예방적이고 분석가 주도적인 프로세스로 정의할 수 있다. 훈련된 사이버보안 분석가들이 네트워크 트래픽과 데이터 세트를 조사해 기존 보안 방어를 피하는 고급 지속적인 위협을 찾아내는 방법이다.

씨큐비스타는 20% 위협으로부터 공격을 탐지‧예방할 수 있는 10가지 위협헌팅 방안을 제시했다.

우선, 비정상적인 아웃바운드 네트워크 트래픽을 확인한다. 네트워크를 통해 외부로 나가는 트래픽이 평소와 다르게 증가했거나 의심스러운 목적지로 향할 경우, 이는 데이터 유출이나 명령 및 제어(C2) 서버와의 통신을 나타낼 수 있다.

권한 있는 사용자 계정 활동의 이상 징후도 살펴본다. 관리자 계정과 같은 권한이 높은 계정에서 예상치 못한 활동이 감지되면 내부 위협이나 계정 탈취를 의심해볼 수 있다.

또, 사용자 로그인 시도가 평소와 다른 지리적 위치에서 발생하면, 계정이 해킹당했을 가능성이 있다. 반복적인 로그인 실패나 이상한 시간대에 발생하는 로그인 시도는 무차별 대입 공격(brute-force attack)이나 계정 탈취 시도와 관련 있을 수 있다.

데이터베이스에 대한 읽기 요청이 갑자기 많아지면, 데이터 유출 시도나 데이터베이스 스캐닝 공격을 의심해야 한다. 웹 페이지 HTML 응답 크기가 평소와 다르게 변한다면, 웹 페이지가 변조됐거나 악성코드가 삽입됐을 수 있다.

또한, 특정 파일에 대한 요청이 갑자기 많아지면, 이는 파일이 악성코드로 사용되고 있거나 분산 서비스 거부(DDoS) 공격의 일부일 수 있다. 특정 포트를 통해 예상치 못한 애플리케이션 트래픽이 감지되면, 서비스가 변조됐거나 악성 트래픽이 포트를 통해 전송되고 있을 수 있다.

아울러, 중요한 시스템 파일이나 레지스트리 설정이 변경되면, 악성 소프트웨어의 설치나 시스템 설정 변조를 나타낼 수 있다. 도메인네임시스템(DNS) 요청 패턴이 평소와 다르게 변하거나 의심스러운 도메인으로의 요청이 증가하면, 악성 도메인과의 통신이나 도메인 생성 알고리즘(DGA)을 사용하는 악성코드일 수 있다.

이론적으로는 위협헌팅 방법론을 통해 침해사고 탐지‧대응 능력을 향상시켜야 한다. 다만, 예산이 제한되고 훈련된 보안전문가가 부족한 현실에서는 보안관제팀과는 다른 위협헌팅팀을 별도로 운영하기 어렵다. 이에 기존 보안팀에서 자동화된 위협 헌팅도구를 도입해 운영하는 것을 선택할 수밖에 없다.

이에 씨큐비스타는 네트워크에 잠재된 침해활동 징후까지 모두 헌팅할 수 있는 능동적인 솔루션을 통해 보다 촘촘한 위협 가시성을 확보하는 것이 중요하다고 강조했다.

전덕조 씨큐비스타 대표는 “최근 네트워크 공격량이 늘고 있고, 침입속도도 빨라지고 있어 각 보안조직의 주의가 필요하다”며 “이에 대응하려면 기존의 수동적인 보안방식에만 의존하기 보다, 은닉된 위협요소를 능동적으로 추적해서 제거해야 한다”고 전했다.

최민지 기자
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널