“고도화된 공격을 적시에 탐지하고 대응하기 위해서는 공격을 최대한 초기단계에서 탐지하고 공격자가 내부를 점령해 나가는 속도보다 더 빠르게 공격의 전체 범위를 파악해 차단해야 만이 공격자를 막아낼 수 있다.”
데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 조남용 RSA 넷위트니스 이사는 ‘네트워크 위협헌팅’을 주제로 강연을 진행했다.
기업들은 이미 수많은 네트워크 위협 탐지 솔루션들을 도입했으며 이를 통해 다양한 공격을 탐지하고 차단하고 있다. 하지만 여전히 공격자들은 기업 네트워크에 침투해 정보유출, 랜섬웨어 설치, 시스템 파괴 등 다양한 보안 사고를 일으키고 있다.
조남용 이사는 네트워크에서 일어나는 모든 일을 파악하고 비정상 트래픽을 선별해 고도화된 위협을 탐지/대응할 수 있는 넷위트니스 네트워크 위협헌팅 기술 및 자동화된 위협 탐지 방안에 대해 설명했다.
그는 SIEM 기반의 로그만 가지고는 공격의 명확한 인지가 어렵다. 실시간 네트워크 원본 모니터링을 통해 명확한 가시성을 확보하는 것이 중요하다고 강조했다.
이를 위해서는 네트워크 위협 헌팅을 위한 실시간 트래픽 수집 및 모니터링 체계를 구축해야 한다. 트레픽 원본을 모두 수집해 저장해서 분석하면 대부분 행위에 대해 아주 디테일하게 알 수 있다.
위협 헌팅은 알려진 공격 뿐만 아니라 알려지지 않은 공격들을 어떻게 할 것이냐가 관건이다.
공격자들은 자신이 발견될 것을 대비해 추가 접근 채널을 만들어 놓는다. 공격자가 만들어 놓은 5개 채널 중 하나만 찾았다면 공격은 지속된다. 이렇게 되면 공격자는 더욱 자신감을 얻는다. 조 이사는 이런 상황을 방지하기 위해 전체 범위를 확인해서 공격자가 심어둔 모든 채널을 동시에 차단해야 한다고 강조했다.
그리고 공격이 어떻게 시작됐는지 근본 원인을 찾아내는 것이다. 그래야 동일한 방법으로 침해사고를 당하지 않는다. 이를 위해 트래픽을 모두 모아서 저장해야 한다. 보안팀은 이 정보들 가운데 메타 데이터와 트래픽 정보를 실시간으로 뽑아서 데이터베이스화하고 즉시 검색할 수 있는 환경으로 만들고 실시간 모니터링할 수 있도록 해야 한다.
이를 위해 네트워크 분석 솔루션이 필요하다. 그런 다음 네트워크 위협 헌팅이 가능해진다.
넷위트니스는 실시간 자동으로 수집한 트래픽에서 150가지 이상의 메타데이터 및 다양한 위협 지표를 추출해 낸다. 특허 받은 트래픽 현황 표현방식 및 대화형 고속 검색 기능을 통해 사전에 예측하지 못한 침해 행위에 대한 능동적 위협 헌팅이 가능해 진다.
특히 트래픽 원본과 메타데이터 상세 분석을 위해 송수신 내역, 트래픽 원본 및 메타데이터를 하나의 화면으로 통합해 빠르고 정확한 위협 행위를 파악해 낼 수 있다.
조 이사는 “넷위트니스는 다양한 위협 지표 및 메타데이터를 이용해 실시간 연관 분석을 통해 고도화된 공격의 실시간 탐지가 가능하다. 또 도식화를 통해 탐지된 복수의 이벤트를 취합해 하나의 사건으로 생성 및 직관적으로 공격을 파악할 수 있도록 지원한다. 빠른 정·오탐 판단 및 경보의 위험성 파악 그리고 시간 순서에 따라 이벤트 발생 현황을 하이라이트해 제공해 주는 것”이라며 “더불어 트래픽 원본 즉시 조회를 통해 공격을 확인할 수 있다. 경보 발생 시 당시의 트래픽 원본을 단일 클릭으로 즉시 조회해 공격 성공 여부와 공격 내용을 상세히 확인할 수 있다”고 설명했다.
또 “공격이 발견된 IP주소가 송수신한 모든 내역을 즉시 조회해 최초 침입 및 내부 점령 등 공격의 전 과정을 추적할 수 있고 트래픽 원본 텍스트, 웹 화면, 패킷, 이메일, 파일 등 다양한 트래픽 원본 조회 기능을 제공한다”고 덧붙였다.
넷위트니스는 네트워크 트래픽을 통해 보안 솔루션을 우회한 행위 모니터링 및 위협 영향도 파악에 최적화돼 있다.
주요 특징으로는 △모든 송수신 트래픽 원본 저장 및 실시간 심층 분석, △APT, 랜섬웨어, 보안통제 우회 등 고도화된 침해위협지표(IoC)의 실시간 생성 △접속 URL, 송수신파일, 사용자 계정, 명령어, 프로토콜 등 △네트워크 상세 정보를 실시간 생성해 SIEM 로그 데이터와 통합 모니터링 △기존 로그기반 SIEM에서 탐지가 어려운 고도화된 공격 탐지 시나리오 구성 등이 가능하다.
특히 보안관제 능력 강화에 필수적이다. 위협 탐지 시 관련 로그 및 트래픽 송수신 내용을 즉시 확인하여 기존 대비 월등히 빠른 공격 파악 및 정확한 대응 능력을 확보할 수 있다. 또 발견된 위협에 대해 관련된 모든 로그 및 트래픽 원본 조회로 공격의 전 과정을 모두 추적해 대응하는 고도화된 관제 체계 구현이 가능하다. 위협 헌팅을 통해 능동적인 위협 발견 및 조기 대응 체계 구현이 가능하다고 전했다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: 클릭
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
