IT Solutions/Security

차세대 행위 기반 위협 탐지 방식에 관하여

2016.10.10 09:30

최근 한 인터넷 쇼핑몰에서 1,000만여 건의 개인 정보를 빼내간 해커가 30억 원 상당의 비트코인을 요구하는 보안 사고가 있었습니다. 이는 2014년 카드 3사 개인 정보 유출 이후 발생한 가장 큰 정보 유출 사고였는데요. 


지금까지 이런 유출 사고는 여러 차례 있어 왔으나 카드 3사 사고 이후 소송의 결과나 법률 동향이 개인 정보 관리에 대한 사업자 책임에 대해 강조하고 있는 상황이었기에 이번 개인 정보 유출 사고에 대한 원인과 판결의 향방에 대해 주목하고 있습니다.

 

 

이러한 큰 사고가 발생을 하면 정부 또는 기업에서는 보안 강화 조치로 여러 가지 방안을 시스템에 적용하고 있는데요. 그럼에도 불구하고 이러한 보안 사고가 반복되는 것은 왜일까요?


이번 글에서는 이러한 보안 사고를 일으키는 보안 위협에 대한 동향과 함께 그에 대응하기 위한 행위 기반 탐지 방법을 살펴보도록 하겠습니다.

 

 보안 위험의 동향과 그에 대한 대응 방식의 변화


① 최근의 보안 위협 동향

 

최근 보안 위협은 기존과 여러 면에서 다른 형태로 나타나고 있습니다.


해킹 조직이 아니라도 누구나 손쉽게 해킹 툴을 구해서 해킹을 시도할 수 있게 되어 장난삼아 해킹을 해보는 케이스도 많아졌고, 기술 발전에 따라 고도화된 방법으로 타깃에게 악성 도구를 전달하는 해킹 기술도 함께 발전되고 있습니다. 또한 탈취한 정보나 누구나 사용할 수 있는 해킹 도구를 거래하는 블랙마켓도 활성화되고 있습니다.



특히 최근 기업 업무 환경을 둘러싼 채널이 증가함에 따라 보안 시스템을 우회하여 침투한 후, 보안팀의 시야가 닿지 않는 곳에서 활동하며 보안 침해 사고를 일으키는 경우가 많아졌습니다. 이런 경우 보안팀에서 해킹 사실을 인지하기도 매우 어려우며, 침해가 발생하고 한참 지난 후에 알아내거나 외부에서 침해 사실을 통보하여 알게 되는 경우도 많습니다. 


이에 대해 최근 보안 전문업체인 파이어아이(Fireeye)에서는 기관들이 침해 사실을 인지하기까지 걸린 시간은 평균 520일(2015년 기준, 아태지역 기업)이라는 발표를 하기도 했습니다.

 

l 지역별 침해 사실 발견에 대한 소요 일수 

(출처: Fireeye M-TRENDS 2016 MANDIANT CONSULTING ASIA PACIFIC EDITION)


해커의 침투가 발생하고 520일이나 걸려서 이를 인지한다면 이미 해커는 소기의 목적을 이루고 난 후에 흔적을 발견하는 것이죠. 

 

② 보안 대응 방식의 발전

 

기존의 보안 대응 방식은 악성코드의 정보에 기반을 두어 탐지하는 방식으로 방화벽, IPS, 백신 등에서 주로 사용하는 시그니처 대응 방식이었습니다. 하지만 이 방식은 악성코드에 대해 검출 정보(Signature, 또는 IoC:Indicator of compromise)가 있어야만 탐지가 가능하기 때문에 시그니처가 솔루션에 적용될 때까지는 대응이 불가능하다는 한계가 있었습니다. 


또한, 악성코드가 사용자를 공격 대상으로 하면서 사용자 환경과 같은 가상 환경을 구축하고 송•수신되는 파일을 테스트하여 악성 행위 등이 발생하는지 점검하는 샌드박스(Sandbox) 방식을 이용합니다. 그러나 이러한 방식에도 잠복 등 우회가 가능한 허점이 발견되면서 점점 보안 대응이 무력화 되었습니다. 

 

l 기존의 보안 대응 방식

 

위와 같은 대응 방식들은 각각의 한계가 있는데요. 이러한 한계를 극복하려는 시도들은 다음과 같은 특징을 가지고 있습니다.  

 

  • 악성코드는 매번 달라져도 대응할 수 있어야 한다.

  • 최근의 공격은 PC만이 아닌 IP 카메라나 복사기 등도 대상으로 하고 있다. 

  • 악성 행위가 발생하더라도 조기에 식별해야 한다. 

 

이러한 특징에 따라 최근에 등장한 방식이 아래 소개드릴 행위 기반 위협 대응 방식입니다.


 행위 기반 위협 대응 방식


① 행위 기반 대응 방식의 종류

 

사실 행위 기반 탐지는 새롭게 등장한 개념이 아닙니다. 이미 시장에 등장했으나 오탐이 잦고 위협에 대한 확증이 곤란하여 엄격한 보안이 요구되는 곳에 화이트 리스트로만 사용 가능한 한계가 있었습니다.

 


그러던 것이 클라우드나 빅데이터 분석 등의 기술을 이용하여 수많은 사용자 이벤트를 수집 및 분석할 수 있게 되면서 표본의 증가에 따라 오탐이 줄게 되었습니다. 또한 머신러닝 등을 통해 유의미한 데이터를 빠르게 가공하여, 이상행위 중에서 심각한 악성 행위를 추출하는 정확성을 높일 수 있게 됨으로써 다시 각광을 받고 있습니다.


이러한 트렌드를 반영한 위협 탐지 기술은 그 탐지 위치별로 아래와 같이 3가지 제품군으로 나뉘고 있습니다. (가트너는 Endpoint의 행위 이벤트를 바라보는 뷰와 Network, Endpoint, User에 따라 제품군을 다음과 같이 분류했습니다.)

 

l 가트너 위협 탐지 기술 제품군 

(출처: https://www.gartner.com/doc/3274217/fastevolving-state-security-analytics)

 

② 행위 기반 탐지 방식의 특징

 

행위 기반 탐지 방식이 주시하는 악성 행위 패턴은 기본적으로 APT 등의 공격이 따르는 일반적인 해킹 사이클 또는 킬체인으로서 조사 기관에 따라 차이는 있지만 일반적으로 (1) 내부 침투  (2) 내부 확산•조사  (3) 중요 정보 획득  (4) 수확 단계로 구별됩니다.


어떤 형태로 침투를 하던지 악성코드는 위의 킬체인과 같은 행위의 패턴을 가지고 있으므로 Endpoint 또는 Network 상에서 모든 이벤트를 모아서 분석하면 정상과 다른 유형의 이상 행위를 찾아낼 수 있고 이러한 이상행위 중에서 킬체인 사이클에 부합하는 악성 행위를 식별하여, 다음 단계로 넘어가기 전에 악성 행위를 차단할 수 있습니다.

 

 

즉, 최종 단계 전에만 발견된다면 정보의 유출은 막을 수 있으며 앞 단계에서 탐지하여 차단할수록 그 피해와 대응 규모는 감소하게 됩니다. 

이상의 내용을 정리하면 아래와 같은 3가지 특징을 찾을 수 있습니다. 
  • 행위 기반 모니터링: 매일 새로운 악성코드가 계속해서 출몰하는 상황에서 악성코드 Signature 기반으로는 침투를 탐지할 수 없기 때문에 코드가 아닌 행위를 모니터링하여 그 중에서 악성 행위를 찾아낸다.
  • 식별되지 않은 대상 모니터링: 기존의 네트워크 침투에서 내부자 경유 공격으로 변화하고 있으며 사용자 보안이 적용되지 않는 단말(서버, IP 전화, IP 프린터, IP 카메라)에 대해서도 침투가 발생하기 때문에 이를 대응하기 위한 감시 대상의 증가가 필연적이다.
  • 침해 조기 탐지를 통한 피해 최소화: 어떤 형태로든 침투가 이루어지고 난 것을 가정하고 침해 이벤트를 조기에 탐지하여 대응함으로써 피해를 최소화하는 대응 형태를 갖춘다. 이는 SIEM 등을 통한 유출 방지 식별과 동일한 형태이다.

③ 행위 기반 탐지 기술 특징


이제 행위 기반 탐지를 위하여 필요한 기술적 특징을 살펴보겠습니다.


행위 기반 탐지는 그 모니터링•분석 대상 데이터가 사용자의 행위 정보입니다. 이는 곧 탐지 대상에 대한 모든 행위 정보가 분석 대상이 되므로 대용량의 정보를 다루는 기술이 필요합니다. 이와 관련된 것이 클라우드, 빅데이터, 머신러닝, 시각화 기술 등 대용량 데이터 처리 기술입니다.

 


  • 클라우드 서비스

사용자의 이벤트를 분석하기 위해서는 기업 내 사용자의 데이터를 분석해야 합니다. 이를 위해 모든 사용자의 데이터를 수집하여 저장하기 위해서는 용량 추가•변경이 용이한 클라우드를 이용할 수 있습니다. 현재 시장의 업체들은 시장의 업체들 중에는 AWS 등 상용의 외부 클라우드 서비스를 활용하는 비즈니스 모델을 적용하는 곳도 있습니다. 


클라우드 서비스에 대하여 정보 유출이 우려되는 경우에 대비하여 On-Promise 형태의 서비스를 제공하기도 하며 이 때에는 반드시 데이터 용량이나 확장에 대한 고려가 필요합니다.

 

  • 빅데이터 모델

클라우드에 수집된 대용량 데이터는 모든 호스트의 이벤트 정보, 또는 네트워크의 통신 정보가 수집하고 있으며 이러한 대용량 데이터를 분석하기 위해서는 대용량의 분석 기술이 필요합니다.


다만, 현재 일부 솔루션은 대용량 데이터의 수집 없이 현재 Endpoint 의 정보를 빠르게 가져오는 것을 기술적 특징으로 하는 곳도 있으니 사업적 필요성에 따라 고려해볼 수 있습니다.


  • 머신러닝

악성 행위의 식별을 위해서는 사용자의 행위 이벤트 간 연관성을 고려하여 해킹 행위 사이클에 따라 이상 행위를 찾아내고, 악성 행위로 식별하기 위해서는 정밀한 분석을 통한 적용 모델이 필요하나 사용자가 악성 행위에 대한 패턴을 일일이 만들어 넣는 것은 불가능합니다. 


또한 이상행위 자체는 많은 오탐을 동반하는데 이러한 많은 이상행위를 모두 사용자가 확인해야 할 사항으로 본다면 엄청난 알람으로 인해 사용자가 악성 행위를 놓치기 쉽게 됩니다.


이에 대해 많은 솔루션에서는 머신러닝 기술을 도입하여 악성 행위를 탐지하는 정밀한 모델을 적용함으로써 오탐을 줄이고 실제 악성 행위만을 운영자가 확인할 수 있도록 하여 업무 부담을 줄이고 있습니다.

  • 시각화 

위와 같은 과정을 거쳐 솔루션에서 악성 행위로 제시한 결과에 대해서는 운영자가 최종적으로 대응 방식을 결정해야 하는데 이를 위해 위해서는 악성 행위로 식별한 근거 정보를 상세하게 제시하여 판단을 할 수 있도록 해야 합니다.


이를 통해 작은 인원이 운용 가능하고 화면 내에서 악성 행위 근원에 대한 차단, 격리, 치료 등이 가능합니다.

 

④ 행위 기반 탐지 방식의 한계와 시그니처 방식과의 차이점

 

행위 기반 탐지 방식으로 살펴보면 분석 대상이 증가함에 따라 그간 발견되지 않았던 다양한 악성 행위를 탐지할 수 있습니다. 하지만, 찾아낸 결과가 반드시 악성 행위라고 단정할 수는 없습니다. 


이는 이상 행위 자체가 비즈니스적 예외이거나 신규 업무 요건으로 등장한 것이거나 또는 사용자의 의도치 않은 행위 등이 탐지되는 등 언제나 악성으로 볼 수 없는 특이 사항이 존재할 수 있기 때문입니다.

 

 

위의 이유 때문에 행위 기반 탐지 방식에서는 악성 행위를 탐지는 하나 치료 및 차단은 자동으로 처리하지 않고 모든 악성 행위에 대한 최종 판단과 대응은 반드시 운영자가 판단을 해야만 합니다. 때문에 머신러닝을 통해 오탐을 줄이고 필수적인 악성 행위만 식별하거나 시각화를 통해 분석과 대응을 간편하게 하는 기술적인 시도가 함께 이용되고 있습니다. 


이를 정리해 보면 아래와 같이 기존의 시그니처 방식과 행위 기반 방식의 차이로 정리해 볼 수 있습니다.

 


 시장 전망과 대응


지금까지 시장 위협의 변화와 그에 대한 대응 방식으로서 행위 기반 탐지 대응 방식에 대해서 살펴보았습니다. 이러한 행위 기반 대응 보안은 비교적 최근 등장한 기술로서 주로 스타트업 기업의 주도로 성장하고 있습니다. 


따라서 시장 전망 등을 예측하기는 아직까지 불확실합니다. 하지만 가트너가 EDR 시장에 대하여 2018년까지 기존의 EPP(Endpoint Protection Platform) 영역의 솔루션들 중 80%가량이 EDR 솔루션으로 대체되거나 해당 기능을 포함하게 될 것으로 전망하는 등 성장을 낙관하고 있습니다. 


IoT 등 살펴보아야 할 대상이 폭발적으로 증가하고, 그에 따른 보안 위협이 커질수록 수요도 증가할 것으로 보입니다.

 


물론 행위 기반 솔루션 하나로 지속적으로 발전하는 해킹에 대한 완벽한 해답이 될 수는 없습니다. 그러나, 중요한 데이터를 더 잘 보호하기 위하여 행위를 식별하고 위협을 조기에 탐지하기 위해서는 효과적인 답이 될 수 있을 것입니다.


따라서 기업에서는 내부의 행위를 모니터링하고 사고의 피해를 최소화하기 위한 방법으로 행위 기반 탐지 기술을 예의 주시할 필요가 있습니다.


글 | LG CNS 보안컨설팅팀



* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.




저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로