2024-12-27 22:35 (금)
[글로벌 이슈] BAS, 동작원리 및 특장점..."예상 가능한 모든 위협, 사전에 체크하고 미리 차단"
상태바
[글로벌 이슈] BAS, 동작원리 및 특장점..."예상 가능한 모든 위협, 사전에 체크하고 미리 차단"
  • 길민권 기자
  • 승인 2018.12.27 12:38
이 기사를 공유합니다

황석훈 대표 " BAS, 기존 모의해킹 한계점 보완하고 보안 솔루션 성능 극대화"

encryption-2.jpg
지난번 BAS(Breach and attack simulation) 기고에 이어 이번에는 보다 구체적인 BAS 동작원리 및 특장점을 다루는 내용으로 글을 구성해 보았다.

이 글은 BAS(Breach and Attack Simulation) 제품군에 대한 정의와 제품들 중 가장 성장세가 두드러진 세이프브리치(SafeBreach / 국내총판 ㈜트라이오니즈, 파트너 ㈜타이거팀)를 분석한 내용을 기반으로 작성되었다.

◇다양한 사이버 사건사고들

최근까지도 백승주 의원 사칭 공격 등 끊임없는 북한발 추정의 사이버 보안 위협속에 ‘국가사이버안보정책조정회의’가 국가안보 실장 주재하에 열렸다는 기사를 보도됐다. 그리고 2017년에 발생했던 나야나 해킹사고로 인한 대량의 웹호스팅 서비스 장애 사건, 2016년에 발생한 인터파크 해킹사고로 1천만건 개인정보 유출 사건 등 매년 수많은 사건들이 발생하고 있다.

언론에 알려진 침해사고들중 대다수의 공격은 악성코드 유입을 통한 내부망 피해 또는 정보유출 사고가많다. 웹해킹에 의한 사고가 없는 것은 아니지만 피해의 규모나 유출된 정보의 규모 등에서 차이가 크다.

이러한 공격이 지속적으로 발생하고 효과를 거두는 이유는 외부에서 내부 네트워크로 직접 접근이 쉽지 않은 반면, APT나 웹서버 해킹 등을 통해 내부 네트워크로 진입에 성공한 경우에는 이후 악의적인 행위에 대해서 통제가 매우 약하기 때문이다.

이는 내부 네트워크가 외부와의 접점 구간보다 비교적 허술하게 통제되기도 하지만 네트워크 망 구성상의 문제, 방화벽 룰 설정(세그먼트간의 통제, 인바운드 및 아웃바운드 통제 등)이나 보안장비의 구성상의 위치, 탐지 패턴 업데이트 등 운영상의 문제등이 존재하기 때문이다.

위 공격들의 특징들을 보면, 한 대의 컴퓨터가 감염되고 나면 중요 정보를 가지고 있는 목표시스템으로 직접 공격하거나 내부의 다른 서버 또는 PC로 전이공격(Lateral movement)이 발생한다. 이후 웜이나 랜섬웨어같이 대량의 시스템을 감염시키거나 핵심 시스템에 접근해 중요 정보를 외부로 유출하는 공격 시나리오가 대부분이다.

◇BAS의 핵심, 사전에 파악하고 미리 해결하자

정보를 유출하던 악의적인 피해를 입히던 사이버 공격은 그 특징상 한번에 완성되는 경우는 극히 드물다. 록히드마틴에서 개발해 운영하고 있는 사이버킬체인은 이러한 공격의 단계를 7단계 즉 △표적에 대한 사전 조사와 정찰 △악성코드 무기화와 전달 △정보 탈취 △악성코드 설치 △표적 통제 △파일 삭제와 컴퓨터 파괴 등으로 나누고 이를 사전에 확인 및 탐지하고 제거하는 방법을 찾는 것을 목표로 하고 있고 있는 전략이다. 공격을 7단계중 한단계라도 사전에 제거할 수 있다면 전체 공격이 완성되기 어렵게 할 수 있다는 개념이다.

하지만 기존 보안솔루션을 이용한 관제에서는 탐지패턴에만 의존해 구현했지만, 이는 기술적 한계가 많다는 지적이 있었다. 이에 웹크롤링을 통해서 공격 위협을 사전에 인지하고 이를 반영하거나 머신러닝 기술 등을 접목한 이상징후패킷 탐지 기술을 접목하려는 시도가 있어 왔다.

BAS의 개념은 다양한 공격 시나리오를 기반으로 사내 인프라와 자산에 대해서 예상 가능한 모든 위협을 사전에 체크하고 제거하는데 그 목표를 두고 있다. 악성코드의 활동을 예를 들어보면, 악성코드가 내부로 유입이 가능한지 그리고 유입된 이후에 다양한 활동이 가능한지, C&C와 통신이 가능한지 등등의 내용을 미리 테스트하고 문제점이 있다면 이를 사전에 제거한다는 개념이다. 즉 사이버킬체인에서 구현하고자 했던 것들을 BAS를 통해 실체적으로 구현하는 것이다.

해커가 내부의 특정 PC에 악성코드를 설치하고자 할 때 메일서버 등의 설치 루트나 C&C와 통신하기 위해서 사용할 수 있는 통신 프로토콜을 사전에 모두 테스트해 방화벽 등을 통해서 불필요한 모든 접근 방식을 제거해 버리는 방법이다. 여기에는 TCP, UDP, ICMP 뿐만 아니라 HTTP, DNS 등 알려진 모든 프로토콜을 테스트해야 할 것이다.

또는 설치후 악성코드의 다양한 형태의 전이공격(Lateral Movement)을 사전테스트해 방화벽이나 L4 장비 등을 통해서 접근을 통제하거나 메일서버 및 PC 등에 설치된 백신과 IDS/IPS 등의 탐지 패턴을 업데이트하는 등 확인 가능한 위협을 사전에 제거함으로써 설령 내부까지 악성코드가 침투되었다고 하더라도 추가 확장 공격이나 위협이 확대되지 않도록 사전에 방어하고자 하는 것이 BAS의 핵심이다.

◇BAS 시뮬레이터 동작원리

BAS는 시뮬레이션을 구현하기 위해서 시뮬레이터를 사용한다. 벤더사마다 시뮬레이터라는 용어를 에어전트나 애뮬레이터 등으로 칭하기도 하지만, BAS의 개념이 'Attack Simulation'인 만큼 시뮬레이터로 표현하기로 하겠다. 시뮬레이터는 아래 그림과 같이 시뮬레이터간의 통신을 통해 문제점 등이 존재하는지를 검증한다.

h-1.jpg
시뮬레이터1이 시뮬레이터2에게 악의적인 특정 패킷을 보내고 이에 대한 정상적인 응답이 온다면 두 구간에 통신은 아무런 장애나 방어장치가 없다는 것을 확인할 수 있는 방식이다. 물론 회신을 받지 못하게 될 경우 중간에 적절한 보안장치가 있다는 것을 반대로 확인할 수 있다.

예를 들어서 시뮬레이터1에서 이터널블루(CVE-2017-0144)의 패킷을 시뮬레이터2에게 전송했을 때 통신이 원할하게 된다고 한다면 이는 시뮬레이터1과 2의 구간에서는 이터널블루 공격에 대해 아무런 방어장치가 존재하지 않음을 알 수 있다. 만약 해당 통신구간에 IPS 또는 IDS 장비가 있었다면 해당 장비는 탐지 패턴이 존재하지 않거나 오동작을 일으키고 있음을 알 수있다.

위와 같은 방법으로 다양한 통신 채널, CVE 취약점 및 악성코드 위협 등을 기존의 IT 인프라에 전혀 영향을 미치지 않고 신속하게 테스트할 수 있게 된다.

◇시뮬레이터 구성과 통신 개념

네트워크 구성을 아래와 같이 간단하게 OA, DMZ, 내부서버망으로 크게 구분하고 각 세그먼트에 시뮬레이터를 두개씩 설치했다. 그리고 외부에도 시뮬레이터를 설치했다. 다만 설치와 구성은 테스트 환경과 목적에 따라서 달라질 수 있다.

h-2.jpg
BAS는 이러한 구성을 기반으로 내부망 침투(infiltration), 외부로의 정보 유출(exfiltration), 전이 공격(Lateral Movement), APT 공격 등을 테스트 할 수 있다. BAS의 시뮬레이터는 제품마다 조금씩 차이는 있지만 이러한 다양한 공격 테스트를 위해서 역할을 지정할 수가 있다.

예를 들면 S8번은 외부로의 정보 유출을 위한 시뮬레이터, S1은 전이 공격을 위한 시뮬레이터, S2와 S6는 중요 정보 및 서비스를 하는 시뮬레이터, S4는 메일 서버 등으로 역할을 지정하고 수행하는 것 또한 가능하다. 이는 시뮬레이터가 실제 시스템과 흡사하게 동작시키기 위함이다.

-내부망 침투

내부망 침투(infiltration)란 특정 세그먼트에서 시작해 내부로 침투하거나 외부에서 내부로의 접근을 테스트 하는 것을 말한다. 즉 특정 지점에서 얼마나 중요시스템의 세그먼트까지 접근이 가능한지를 테스트한다.

물론 테스트 과정에서 사용되는 프로토콜은 통신이 가능한 모든 프로토콜을 사용해서 확인해야 하며 이 과정은 네트워크 구성과 방화벽 등의 침입차단 시스템의 설정 등을 체크하는 과정이라고 보면 된다.

h-3.jpg
-정보유출

정보유출(exfiltration)이란 내부의 중요정보 보유 시뮬레이터로 지정된 S2, S6에서부터 외부로의 연결을 테스트 하는 것을 말한다. 이때 정보의 종류에 따라서 DLP 등의 통제가 테스트 될 수 있다.

또한,네트워크 구성상의 문제와 외부로의 접근 통제 등을 확인할 수 있다.사용되는 프로토콜은 TCP, UDP, ICMP 뿐만 아니라 HTTP, FTP 등 거의 모든 프로토콜이 테스트 대상이다.이때는 공격에 해당하는 패킷보다는 정보 유출에 집중하기 때문에 내부에서 외부로의 통신 연결이 더욱 중요한 테스트 대상이 된다.

h-4.jpg
-전이공격(Lateral Movement)

전이공격이란 아래 그림과 같이 같은 세그먼트 또는 다른 세그먼트의 시스템으로 공격을 확장하는 것을 말한다. S1이 악성코드에 감염된 시스템이라면 아래 그림과 같이 공격을 시도하는 것을 전이 공격이라고 할 수 있다.

전이공격을 테스트하는 이유는 어떤 침해가 발생했을 경우, 전파의 범위를 확인하기 위함이다. 만약 워너크라이 공격을 당한다면 우리의 시스템은 어디까지 피해가 확산될 수 있는가라는 질문에 대한 답을 가질 수 있게 된다. 확산 과정에서 백신 프로그램의 차단 수준, 그 이외에 보안 솔루션들의 차단 수준을 검증할 수 있게 된다.

h-5.jpg
-APT공격

APT공격을 재연하는 방법으로 메일을 이용하는 방법이다. APT 공격자와 타깃을 지정하면 된다. 이 공격을 위해서는 메일 서버가 필요하며 메일 서버는 내부 또는 외부의 메일 서버를 사용할 수 있다.

이 공격의 경우 메일서버에서 또는 타깃PC에서 백신 등의 보안 프로그램이 이를 잘 차단하는지를 테스트하게 된다. 기존에 알려졌거나 최신의 악성 프로그램등을 테스트한다.

h-6.jpg
◇시뮬레이터 설치

시뮬레이터의 설치 방법은 벤더사마다 지원 내역에 차이가 있다. 때문에 가장 다양한 형태의 설치 지원이 가능한 '세이프브리치(SafeBreach)'를 기반으로 설명하도록 하겠다.

시뮬레이터를 설치하는 방법으로는 테스트를 하고 싶은 서버에 직접 설치하는 방법이 있다. 해당 서버에서 실제 정보 유출이 가능한지를 직접 테스트해보고자 할 경우 명확히 파악될 수 있다. 하지만 이는 기존 서비스에 영향을 미칠수 있는 부담이 분명 존재하기 때문에 보안담당자나 운영담당자가 선호하는 방법은 아니다.

때문에 대다수의 벤더들은 위의 방법 이외에도 가상머신으로 구성해 서버에 탑재하거나 어플라이언스 장비에 설치하는 방법 등을 지원한다. 이러한 경우 기존에 사용하는 보안 프로그램(ex 백신, DLP 프로그램 등)을 가상 머신이나 어플라이언스 장비에 설치해주면 된다.

다만 패치의 상황 등도 고려될수 있는데, 이러한 부분들은 에이전트 형식으로 직접 설치하지 않는다면 동일하게 확인할 수 없으므로 시뮬레이터 시스템에 기존 시스템들과 유사하게 패치를 적용하고 난후에 테스트하는 것이 바람직하다.

시뮬레이터 4~5개와 이를 관리하기 위한 매니저로 구성하는 것이 가장 기본적인 구성이라 할 수 있다. 하지만 네트워크 세그먼트의 복잡도와 보안 솔루션등의 배치 상황 그리고 시스템 등의 다양성에 따라서 시뮬레이터 개수는 적절하게 증가시키는 것이 바람직하다.

시뮬레이터의 설치는 온프라미스 뿐만 아니라 최근 IT기업에서 많이 사용하고 있는 클라우드 기반 또한 지원이 가능하면 좋다.이는 벤더사들마다 조금씩 차이가 있으므로 각사의 개발 현황 또는 자산의 구축 상황에 따라서 선택하면 될 것이라 판단된다.

◇시나리오의 중요성

위의 내용을 충분히 이해했다면 시뮬레이터를 기반으로 다양한 테스트를 수행할 때 무엇보다 중요한 것은 시나리오 임은 충분히 짐작했을 것이라 생각한다.시뮬레이터는 시나리오에서 정의한 패킷을 주고 받는 역할만 수행할 뿐이다.

따라서 얼마나 최신의 시나리오(예를 들면, CVE 취야점 정보나 악성코드 정보 등)를 신속하게 반영해 주는가가 핵심이 될수 밖에 없다. 또한 얼마나 다양한 형태의 테스트를 수행하는지도 중요하다. 따라서 이러한 관점에서 시나리오의 개수는 BAS 테스트의 핵심이라고 할 수 있다. 현재 미국에서 세이프브리치(SafeBreach) 제품이 급성장을 하는 이유 가운데 여러 강점중 타 제품에 비해서 시나리오가 앞도적으로 많기 때문이라는 점이 이를 반증하기도 한다.

BAS 솔루션은 지속적으로 업데이트되는 시나리오를 기반으로 새로운 문제점이 없는지를 지속적으로 검증한다. 예를 들면 어제까지 아무 문제가 없던 1111번 포트가 오늘 새로이 확인된 공격 기법에서 사용된다면 이는 금일 새로운 취약점으로 확인될 것이다. 또한 새로이 전파되고 있는 웜 공격 등이 자사의 환경에서 어떤 영향을 줄수 있는지도 실시간으로 파악하고 이를 선제적으로 차단할 수 있는 정보를 제공해 준다.

결론적으로 벤더사에서 시나리오를 개발하는 연구소를 별도 보유하고 있는지는 제품을 선택하는 매우 중요한 요소라고 할 수 있다. 또한 기존 다른 벤더(예를 들면 악성코드 분석이나 CVE를 관리하는 기관 및 벤더 등)와의 협력 체계를 가지고 있는지도 매우 중요한 부분이라고할 수 있다.

◇기존 모의해킹과의 차이점

BAS의 개념은 웹취약점 스캐너나 기존 웹 또는 모바일앱 서비스에 대한 모의해킹과는 성격이나 대상이 다르다. 아쉬운 점은 대상 어플리케이션(웹 또는 모바일앱) 자체에만 국한해 문제점을 찾아 제거하는 것이 목표였다.

기존 점검 방법이 성벽의 상태를 체크하는 방식이었다면, BAS의 개념은 성벽 아래의 땅굴로 또는 성벽위 하늘로 성내의 경계를 들어서는 순간부터 일어날 수 있는 모든 행위를 사전 차단하는 개념이다. 즉 지반이 약한 곳에 트랩을 설치하거나 하늘로 유입되는 공격을 막기 위한 불화살이나 기타 다양한 무기들을 사전에 준비하는 등의 행위를 하는 것으로 비유할 수 있는데 이것이 진정한 사이버킬체인인 것이다.

따라서 기존 모의해킹의 한계점을 보완하고 기존 보안 솔루션의 성능을 극대화 시킬수 있는 최고의 새로운 보안 개념이라고 할 수 있겠다.

◇BAS의 장점

BAS는 시뮬레이션을 통한 내부망에 대한 보안 검증을 실시하므로 매우 다양한 장점을 가지고 있다. 다만 벤더사마다 제품 구성과 성능에는 일부 차이가 있을 수 있어 모두가 해당되지는 않을 수 있다.

▶기존 IT 서비스에 전혀 영향을 미치지 않는다. BAS가 구동되는 동안 네트워크에 매우 작은 수준의 패킷만 증가될 뿐 어떤 영향도 미치지 않고 동작이 가능하다.

▶다양한 서비스 형태를 지원한다. 온프라미스(에이전트, 가상이미지, 어플라이언스) 뿐만 아니라 클라우드 서비스에 대해서도 기술적으로 지원이 가능하다. 윈도우, 리눅스, 맥 등 다양한 운영체제도 지원한다. 단 벤더사마다 차이는 있다.

▶추가비용없이 기존 시스템의 보안성을 강화할 수 있다. 시뮬레이션의 결과를 바탕으로 기존 보안솔루션 및 네트워크 시스템들의 보안강화를 위한 방향성을 제시한다. 추가 비용없이 기존 보안솔루션 보안강화만으로도 보안 수준 향상이 가능하다.

▶해커가 실제로 사용했거나 사용하고 있는 실제 공격 기법을 기반으로 만들어진 시나리오로테스트하므로 이에 대해서 오탐이 존재할수 없다. 공격에 성공하거나 실패하거나 둘 중 하나만 있다. 다만 시뮬레이션 테스트에 사용된 공격 내용이 자사의 자산에 반드시 해당되지 않을 수는 있다.

하지만 현재 보유하지 않을뿐 향후에 보유될 수도 있으며 이미 도입된 솔루션 중에서 벤더사가 개발시에 사용했을지도 모른다 .따라서 이러한 로그들에 대해서 무시하기 보다는 보다 전향적으로 검토하는 것이 바람직하다고 판단된다.

세이프브리치랩스(SafeBreach Labs)는 신종 침해 유형을 지속적으로 파악하고 있으며 데프콘(Defcon) 및 블랙햇(BlackHat) 발표를 통해 보안 커뮤니티와도 내용을 공유하고 있다. 브루트포스(Brute force), 멀웨어(Malware), 익스플로잇(Exploits) 등 각종 침해 공격 및 각종 보안 취약점 부분을 망라해 실제 해커가 사용하는 모든 가능한 기술들을 포함해 시나리오를 개발하고 있다.

SIEMs(Security Information and Event Management Systems)와 연동을 지원한다. 시뮬레이션된 침해 내용에 대한 경고 내용을 즉각 통보함으로써 보안운영팀에게 주요 위협에 대한 사전 조치 시간을 제공한다.

세이프브리치의 경우 JIRA 및 ServiceNow와 같은 Ticketing 시스템과 통합 운영을 지원하고, 사이버 위협 상황을 침해 정보 인텔리전스 지표로도 제공한다. 또 Phantom과 Demisto와 같은 오케스트레이션 시스템과도 통합이 가능하다. 그 외에 Kibana와도 연동을 지원하고 있다.

▶기존 침입탐지 시스템 및 보안 시스템에 대한 탐지 성능 평가가 가능하다. 이미 충분히 검증된 공격 기법을 대상으로 테스트하기 때문에 이를 제대로 탐지하지 못하고 있다면 기존 침입탐지시스템들의 탐지 패턴을 재검증할 필요가 있다.벤더사가 적절하게 패턴을 업데이트 해주고 있는지,관제에서는 이를 제대로 활용하여 수행하고 있는지 등에 대해서도 확인이 될 수 있다.뿐만 아니라 침입차단 시스템이나 그외에 다양한 보안 솔루션등의 설정상의 문제 등도 검증할 수 있게 된다.

또한 부가적으로 보안 솔루션 도입시 성능 평가에도 활용이 가능하다.

▶을지훈련 대비 훈련이나 관제 대응 능력 강화를 위해서도 활용될 수 있다. 예를 들면 내부망 침투 시나리오를 테스트하기 위해서 시뮬레이터에 역할을 지정한 다음 공격을 진행되는 과정을 모니터링하고 이를 적절히 대응해 나가면서 최초 취약점 개수를 실시간으로 줄여가는 훈련을 하는 것을 말하는데, 이는 실전과 흡사한 훈련이 가능할 것이라 판단된다.

모의해킹 전문 기업 '타이거팀'(황석훈 대표)은 '세이프브리치(SafeBreach)' 국내총판 '트라이오니즈'의 파트너사로서 국내 BAS 시장 형성을 위해 노력하고 있다. -편집자 주-

[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★