[디지털데일리 권하영기자] 인공지능(AI) 발전의 이면으로 기업을 대상으로 한 해커들의 공격이 갈수록 교묘해지고 있다. 백신 같은 기존 보안 체계만으로는 이를 막아내기가 점점 어려워지는 가운데, 해킹을 사전에 탐지하고 차단하는 효과적인 방법론으로 매니지드탐지·대응(MDR, Managed Detection&Response) 서비스가 대두된다.

최종필 SK쉴더스 MDR서비스팀장은 11일 서울 종로구 마이크로소프트(MS) 본사에서 열린 ‘MS AI 트랜스포메이션 위크’에서 ‘해킹사고 기반 MDR 필요성과 실제 사례’ 주제 발표를 통해, 엔드포인트탐지·대응(EDR, Endpoint Detection&Response)과 더불어 MDR의 중요성을 강조했다.

최 팀장은 “해킹 공격 방식은 500가지도 넘지만 실제 해커는 초기침투→거점확보→권한상승→내부정찰→내부이동→지속실행→목표달성이라는 과정을 반드시 거치게 된다”며 “목표달성 단계까지 갔다면 이미 막을 수 없는 상태기 때문에 그 전에 반드시 해커를 탐지해야 하는데, 이때 가장 효과적인 게 EDR이다”라고 지적했다.

EDR은 PC·서버 등 엔드포인트에서 발생하는 보안 위협에 대한 선제적 탐지와 대응을 제공하는 솔루션이며, 이러한 EDR에 특화된 관리 서비스로서 MDR에 대한 관심도 높아지고 있다.

SK쉴더스는 MS의 EDR 솔루션인 ‘마이크로소프트 디펜더 포 엔드포인트(MDE, Microsoft Defender for Endpoint)’를 기반으로 MDR 서비스를 개발 중이며, 오는 10월경 출시할 계획이다.

이날 최 팀장은 해커들의 단계별 공격이 갈수록 고도화되고 있음을 지적하며 공격별 최근 동향을 소개했다.

최 팀장에 따르면, 초기침투 단계에서는 애플리케이션 취약점을 이용한 공격이 매년 크게 증가하고 있다. 대표적으로 익스체인지, 웹로직, 아파치 같은 애플리케이션이 초기침투에 많이 이용된다.

거점확보 단계에선 웹쉘(Webshell)을 이용한 공격이 매년 늘어나는데, 웹쉘, RAT, 프록시 순으로 최근 3년간 발생 침해사고가 가장 많이 일어났다. 최 팀장은 “취약점이 있는 홈페이지가 있다면 업로드 기능들은 제약을 두는 게 가장 좋다고 제언한다.

권한상승 단계는 내부거점을 확보한 해커가 어드민 권한을 얻기 위해 작업하는 단계다. 자격증명을 추출하는 데 사용되는 도구인 미미카츠(Mimikatz)의 방화벽 차단을 우회해 크리텐셜(Credential)을 탈취하는 방식이 크게 늘고 있다는 전언이다.

내부정찰 단계에선 보안 스캐닝 도구를 악용한 네트워크 및 웹 취약점 스캔이 주된 공격 유형이다. 이를 거쳐 RDP·SMB 등 프로토콜에 접속해 다음 공격 타깃으로 이동하는 내부이동 단계가 되며, 최근에는 WMI나 WinRM 등과 연계해 두가지 이상 도구를 사용함으로써 공격 방법을 결합시키는 형태로 진화하고 있다.

이어 해커는 악성파일이나 해킹 프로세스가 지속적으로 실행되게끔 자동화하는 지속실행 단계를 거쳐 마지막 목표달성에 이른다. 이 단계에 오면 정보유출 또는 정보유출과 랜섬웨어 공격이 동시에 이뤄지는 방식으로 기업에 큰 피해를 입힌다.

최 팀장은 “SK쉴더스는 사전에 침해를 진단해 해커 유입 경로를 미리 차단하는 침해진단(ASM)과 함께, 해커가 내부에 침투하더라도 EDR로 차단과 대응을 하는 방법론을 가장 효과적으로 보고 있다”며 “이렇게 침해진단에 더해 EDR을 활용한 MDR 서비스로 대응을 하게 되면, 6개월 안에 대부분 공격이 차단된다”고 언급했다.

그는 “해커는 우리 회사의 취약점을 포함한 모든 정보를 수집하는데, 실제로는 취약점 진단을 한번도 안한 채로 그룹웨어나 ERP(전사적자원관리)를 설치만 하고 사용하는 회사들도 많다”며 “우선 침해진단을 통해 해커 유입 포인트를 찾아내고 차단 조치를 하는 게 우선적이고, 그래도 해커가 뚫고 들어온다면 EDR로 방어할 수 있게 하는 체계를 구축해야 한다”고 강조했다.