위협 헌팅은 시큐리티 운용에 있어 비교적 새로운 접근방식으로, 고도의 사이버 공격에 처한 조직의 피해 방지에 한 획을 긋는 접근을 말합니다. 미국 표준기술연구소(NIST)의 문서에서 언급되는 등, 최근 그 유효성이 증명되고 있습니다.
💡위협 헌팅이란?
사전 위협 헌팅은 보안 분석가가 탐지되지 않은 위협이나 악의적인 동작을 찾는 프로세스입니다. 가설을 만들고, 데이터를 검색하고, 가설의 유효성을 검사하여 어떤 작업을 수행할지 결정합니다. 작업에는 새 탐지 만들기, 새로운 위협 인텔리전스 만들기, 새 인시던트 스핀업이 포함될 수 있습니다
대부분의 회사에서 시큐리티 운용은 사고대응(IR)이 중심으로, 주기적으로 무언가의 사고가 일어나는지 감시하고, 있다면 대응하는 사후 대응적 사고방식을 주로 취하고 있습니다. 하지만 위협 헌팅 (Threat Hunting)은 사고가 일어나기 전 「헌팅」을 하는 방식으로 다시 말해 피해를 미연에 방지하는 예방적인 접근 방식의 시큐리티 운용방식입니다.
🚨사이버 공격의 고도화와 공격 대상 영역의 증가
2010년대부터 기업 사이버 범죄에 의한 대규모 정보 탈취와 유출 등이 빈번하게 발생하여 미디어를 떠들썩하였고 일본 정보처리추진 기구(IPA)가 매년 발행하는 「정보 시큐리티 10대 위협」에 따르면 2021~2023년은 랜섬웨어, 표적형 공격에 따른 피해가 기업의 최대 위협이라고 말하고 있습니다.
표적형 공격이나 랜섬웨어는 네트워크에 침입하여, 네트워크 내 측면이동 공격(Lateral Movement)으로 최종적으로 목표 데이터의 탈취나 암호화를 실시합니다. 침입의 방법으로 VPN의 구조와 제로 데이터의 취약성의 악용, 시스템을 경유하여 공급망 공격하는 고도의 수법이 복수 조합합니다.
⚡멀웨어의 진화와 탐지 수법의 한계
공격 영역의 증대만이 아니라 각 공격의 교묘함도 늘어나고 있습니다. 흔적이 남지 않는 공격 「Fileless Malware」, 자동 탐지가 어려운 환경 기생형 공격「Living off the Land」 등의 시큐리티 침해는 가능한 초기 단계에서 발견하여 대처할 필요가 있지만 자동 탐지에 의한 대책만으로는 감지가 어렵습니다.
📣 위협 헌팅의 필요성 대두
위협 헌팅은 ‘사내에 이미 공격자가 침입해 있다’는 것을 전제로 적극적으로 공격자의 흔적을 조사하는 탐지 수법입니다. 구체적으로 공격자에 의한 침해 범위를 확대하기 위한 내부 정찰 행위나 측면이동 공격의 검출, 악성 툴을 포함한 멀웨어 실행의 흔적 등의 조사를 실시합니다.
일반적으로 네트워크 장치나 시큐리티 제품, OS 등 다양한 데이터 소스의 데이터 소스 정보를 수집하고 검출 알고리즘을 사용해 1차 해석을 실시하여 의심스러운 가능성이 있는 정보만을 추출합니다. 최종적으로 추출한 정보에 대해서 위협 해석의 전문가가 추가 해석을 더하여 관계자가 대처해야 하는 위협을을 검출합니다.
잠재적인 위협 헌팅은 알고리즘과 전문가에 의한 분석이 불가결합니다. 위협의 흔적을 기계적으로 검출하는 것은 각각의 시큐리티 기기나 통합적인 시큐리티 로그 관리 툴인 SIEM등으로 행하고 있지만 위협 헌팅의 진가는 자동 탐지에서는 찾아내지 못하는 이벤트 가운데 진짜 위협을 찾아내는 것에 의미가 있습니다.
📌위협 헌팅이 중요한 이유
위협 헌팅이 중요한 이유는 정교한 위협이 자동화된 사이버 보안을 우회할 수 있기 때문입니다. 자동화된 보안 툴 및 Tier 1~2 보안 운영 센터(SOC) 분석가들이 약 80%의 위협은 처리할 수 있지만, 나머지 20%는 여전히 걱정해야 합니다. 나머지 20%의 위협은 중요한 손상을 야기할 수 있는 정교한 위협을 포함하고 있을 가능성이 큽니다. 이러한 위협은 시간과 리소스가 충분히 주어진다면 어떤 네트워크라도 침해하여 평균 최대 280일 동안 탐지를 피할 수 있습니다. 효과적인 위협 헌팅은 침입부터 발견까지의 시간을 단축해주므로 공격자로부터 입게 되는 피해의 양이 줄어듭니다.
많은 경우에 공격자는 몇 주, 심지어는 몇 달 동안 숨어있다가 발견됩니다. 이들은 데이터를 빼돌리고 충분한 기밀 정보 또는 자격 증명 정보를 알아내어 더 근접한 액세스를 할 수 있을 때까지 참을성 있게 기다리고, 중요한 데이터 유출을 위한 발판을 마련합니다. 잠재적인 위협이 얼마나 큰 손실을 야기할 수 있을까요? "데이터 유출 비용 보고서(Cost of a Data Breach Report)에 따르면," 데이터 유출은 기업에 평균 약 $4백만에 달하는 비용을 초래합니다. 그리고 유출로 인한 폐해는 몇 년간 계속될 수 있습니다. 시스템 오류 이후 대응까지의 시간이 길어질수록 조직은 더 많은 손해를 보게 됩니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업의 모든 영역을 보호할 수 있는 보안 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
セキュリティ運用の新たな一手「脅威ハンティング」, GigaZine, 23-07-17
IBM | 위협헌팅이란?
MS | 헌팅을 사용하여 Microsoft Sentinel에서 엔드투엔드 사전 위협 헌팅 수행
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.
위협 헌팅은 시큐리티 운용에 있어 비교적 새로운 접근방식으로, 고도의 사이버 공격에 처한 조직의 피해 방지에 한 획을 긋는 접근을 말합니다. 미국 표준기술연구소(NIST)의 문서에서 언급되는 등, 최근 그 유효성이 증명되고 있습니다.
💡위협 헌팅이란?
사전 위협 헌팅은 보안 분석가가 탐지되지 않은 위협이나 악의적인 동작을 찾는 프로세스입니다. 가설을 만들고, 데이터를 검색하고, 가설의 유효성을 검사하여 어떤 작업을 수행할지 결정합니다. 작업에는 새 탐지 만들기, 새로운 위협 인텔리전스 만들기, 새 인시던트 스핀업이 포함될 수 있습니다
대부분의 회사에서 시큐리티 운용은 사고대응(IR)이 중심으로, 주기적으로 무언가의 사고가 일어나는지 감시하고, 있다면 대응하는 사후 대응적 사고방식을 주로 취하고 있습니다. 하지만 위협 헌팅 (Threat Hunting)은 사고가 일어나기 전 「헌팅」을 하는 방식으로 다시 말해 피해를 미연에 방지하는 예방적인 접근 방식의 시큐리티 운용방식입니다.
🚨사이버 공격의 고도화와 공격 대상 영역의 증가
2010년대부터 기업 사이버 범죄에 의한 대규모 정보 탈취와 유출 등이 빈번하게 발생하여 미디어를 떠들썩하였고 일본 정보처리추진 기구(IPA)가 매년 발행하는 「정보 시큐리티 10대 위협」에 따르면 2021~2023년은 랜섬웨어, 표적형 공격에 따른 피해가 기업의 최대 위협이라고 말하고 있습니다.
표적형 공격이나 랜섬웨어는 네트워크에 침입하여, 네트워크 내 측면이동 공격(Lateral Movement)으로 최종적으로 목표 데이터의 탈취나 암호화를 실시합니다. 침입의 방법으로 VPN의 구조와 제로 데이터의 취약성의 악용, 시스템을 경유하여 공급망 공격하는 고도의 수법이 복수 조합합니다.
⚡멀웨어의 진화와 탐지 수법의 한계
공격 영역의 증대만이 아니라 각 공격의 교묘함도 늘어나고 있습니다. 흔적이 남지 않는 공격 「Fileless Malware」, 자동 탐지가 어려운 환경 기생형 공격「Living off the Land」 등의 시큐리티 침해는 가능한 초기 단계에서 발견하여 대처할 필요가 있지만 자동 탐지에 의한 대책만으로는 감지가 어렵습니다.
📣 위협 헌팅의 필요성 대두
위협 헌팅은 ‘사내에 이미 공격자가 침입해 있다’는 것을 전제로 적극적으로 공격자의 흔적을 조사하는 탐지 수법입니다. 구체적으로 공격자에 의한 침해 범위를 확대하기 위한 내부 정찰 행위나 측면이동 공격의 검출, 악성 툴을 포함한 멀웨어 실행의 흔적 등의 조사를 실시합니다.
일반적으로 네트워크 장치나 시큐리티 제품, OS 등 다양한 데이터 소스의 데이터 소스 정보를 수집하고 검출 알고리즘을 사용해 1차 해석을 실시하여 의심스러운 가능성이 있는 정보만을 추출합니다. 최종적으로 추출한 정보에 대해서 위협 해석의 전문가가 추가 해석을 더하여 관계자가 대처해야 하는 위협을을 검출합니다.
잠재적인 위협 헌팅은 알고리즘과 전문가에 의한 분석이 불가결합니다. 위협의 흔적을 기계적으로 검출하는 것은 각각의 시큐리티 기기나 통합적인 시큐리티 로그 관리 툴인 SIEM등으로 행하고 있지만 위협 헌팅의 진가는 자동 탐지에서는 찾아내지 못하는 이벤트 가운데 진짜 위협을 찾아내는 것에 의미가 있습니다.
📌위협 헌팅이 중요한 이유
위협 헌팅이 중요한 이유는 정교한 위협이 자동화된 사이버 보안을 우회할 수 있기 때문입니다. 자동화된 보안 툴 및 Tier 1~2 보안 운영 센터(SOC) 분석가들이 약 80%의 위협은 처리할 수 있지만, 나머지 20%는 여전히 걱정해야 합니다. 나머지 20%의 위협은 중요한 손상을 야기할 수 있는 정교한 위협을 포함하고 있을 가능성이 큽니다. 이러한 위협은 시간과 리소스가 충분히 주어진다면 어떤 네트워크라도 침해하여 평균 최대 280일 동안 탐지를 피할 수 있습니다. 효과적인 위협 헌팅은 침입부터 발견까지의 시간을 단축해주므로 공격자로부터 입게 되는 피해의 양이 줄어듭니다.
많은 경우에 공격자는 몇 주, 심지어는 몇 달 동안 숨어있다가 발견됩니다. 이들은 데이터를 빼돌리고 충분한 기밀 정보 또는 자격 증명 정보를 알아내어 더 근접한 액세스를 할 수 있을 때까지 참을성 있게 기다리고, 중요한 데이터 유출을 위한 발판을 마련합니다. 잠재적인 위협이 얼마나 큰 손실을 야기할 수 있을까요? "데이터 유출 비용 보고서(Cost of a Data Breach Report)에 따르면," 데이터 유출은 기업에 평균 약 $4백만에 달하는 비용을 초래합니다. 그리고 유출로 인한 폐해는 몇 년간 계속될 수 있습니다. 시스템 오류 이후 대응까지의 시간이 길어질수록 조직은 더 많은 손해를 보게 됩니다.
마크애니는 기업, 기관의 기밀문서와 데이터를 보호하기 위해 촘촘한 엔드포인트 문서 보안 솔루션을 보유하고 있습니다. 랜섬웨어 공격으로 문서와 데이터가 유출돼도 인가된 직원이 아니면 함부로 파일을 열어볼 수 없고 사내·외, 원격 환경 지원이 가능해 언제 어디서나 기업 네트워크를 강력하게 보호하죠. 이미 공공, 금융, 제조, 유통 등 국내 600여 곳이 마크애니 솔루션과 함께하고 있답니다.
⭐기업의 모든 영역을 보호할 수 있는 보안 솔루션이 필요하시다면 마크애니와 함께 해보세요!
*참고자료
セキュリティ運用の新たな一手「脅威ハンティング」, GigaZine, 23-07-17
IBM | 위협헌팅이란?
MS | 헌팅을 사용하여 Microsoft Sentinel에서 엔드투엔드 사전 위협 헌팅 수행
마크애니 박춘식 고문는 10년 넘도록 매주 '보안 이야기'를 연재하고 있는 보안 전문가이다. Tokyo Institute of Technology 에서 박사 학위를 취득하고, 국가 보안 기술연구소 소장을 거쳐, 서울여자대학교 교수를 역임하였다. 현재는 아주대학교 사이버보안학과 교수로 재직중이다.