2024-03-29 21:30 (금)
[영상] “기존 보안관제로는 한계, Threat Hunting 개념 적극적으로 도입해야”
상태바
[영상] “기존 보안관제로는 한계, Threat Hunting 개념 적극적으로 도입해야”
  • 길민권 기자
  • 승인 2016.09.27 17:13
이 기사를 공유합니다

김태일 코어시큐리티 대표 “보안담당자, 능동적인 위협 사냥 전사가 되어야 한다”

“전술 없는 전략은 승리를 더디게 만들고, 전략 없는 전술은 패배로 이끈다.” 데일리시큐가 주최한 2016 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)가 지난 22일 한국과학기술회관에서 200여 명의 공공, 금융, 기업 보안실무자가 참석한 가운데 정보보호 인텔리전스를 주제로 흥미로운 발표들이 진행됐다.

이 자리에서 김태일 코어시큐리티 대표는 ‘Introduction to Threat Hunting(위협 사냥)’을 주제로 발표를 진행해 눈길을 끌었다.

김태일 대표는 “똑똑한 침입자들의 공격은 예측하기 힘들다. 하지만 차단에 실패한 것이 보안에 실패한 것을 의미하진 않는다”며 인간의 면역체계를 예를 들었다. 그는 “인간의 면역 체계는 병원균의 침투를 원천 봉쇄하는 형태가 아니라 병원균 침투 시 신속하게 이를 제거하고 원래의 상태로 돌아가는 회복성에 초점이 맞춰져 있다. 보안도 인간 면역 체계와 같이 되어야 한다”고 밝혔다.

이어 위협 사냥(Threat Hunting)에 대해 설명했다. 김태일 대표가 정의하는 ‘위협 사냥’은 “보안장비를 우회해 내부 네트워크에 침투한 위협을 식별해 내기 위해 사용되는 기술/기법/절차를 통칭한다. 수동적 이벤트 모니터링 및 분석과는 다르게 위협을 식별하고자 하는 적극적인 의지를 가지고 수행되는 활동으로 위협을 찾기 위해 다양한 분석 방법을 동원한다. 특정 시기에 한 두차례 수행되는 이벤트성 작업이 아니며 끊임없이 반복적으로 수행되어야 한다. 인체가 끊임없이 면역 체계를 유지하는 것과 같다”고 설명한다.

또 위협 사냥 개념은 현재의 관제와는 차이점이 있다고 전했다. 현재 관제가 포커싱하고 있는 영역은 개별적인 탐지 이벤트만 확인 가능하며 각종 데이터를 시간적/공간적으로 연동해야 알아 낼 수 있는 정보들은 확인할 수 없는 한계가 있다. 즉 수동적이면서 시그니쳐 기반의 보안도구와 관제로는 방어에 한계가 있다는 것이다. 가시성 확보가 어렵다는 것.

반면 위협 사냥은 적극적이고 능동적인 탐지 활동을 말한다. 개별 이벤트만 보는 것이 아니라 데일리로 끊임없이 탐지하고 예측하고 전략을 수립-수정을 계속해 나가는 것이다. 좀더 구체적으로 살펴보면 다음과 같다.

Threat Hunting에서 가장 중요한 것은 데이터와 데이터를 분석하는 기술이다. 데이터는 시간적/공간적 가시성을 확보할 수 있도록 전 영역에 걸쳐 지속적으로 수집되어야 한다. 네트워크 트래픽, Perimeter에 위치한 장비들(라우터, 파이어월, 웹방화벽, IDS/IPS)의 로그, 엔드포인트에서 추출한 정보, 외부로부터 수집한 정보(도메인/후이즈 DB 관련 정보, 위협 정보 등)들이 필요하다. 장비 별 로그 포맷에 대한 정보도 필요하다. 이를 통해 가시성을 확보하게 된다.

환경에 대한 이해도 필요하다. 네트워크 인프라 및 구성에 사용된 기술/장비들 목록, 기술들에 대한 조사와 숙지가 이루어져야 하고 정상 상황을 알아야 비정상을 탐지할 수 있기 때문에 베이스라인을 이해하는데 도움이 되는 정보가 필요하다. 또 공격자의 타깃이 될 수 있는 핵심 정보 자산 목록, 관련 시스템, 접근 방법 등에 대한 정보를 이해하고 있어야 한다.

한편 Threat Hunting은 위협에 대한 정확한 이해가 바탕이 되어야 한다. 위협 관련 공격자들의 TTP(Tatics, Techniques, Procedure)를 이해하고 데이터 분석 방법, 사냥 방법을 개발하고 이를 발전시켜 나가기 위해 위협에 대한 모델 개발이 필요하다.

김태일 대표는 “위협 사냥 개념은 해외에서 2~3년 전부터 나왔고 최근 확산되고 있다. 현재 우리나라 공공과 기업에서 위협 사냥을 실행하고 있는 조직은 거의 없다. 우리 보안이 가야 할 트렌드라고 생각한다. 능동적인 방법으로 반복적이고 지속적으로 위협 사냥이 이루어져야 한다. 위협 사냥꾼은 디지털 포렌식, 데이터 시각화, 논리적 사고, 데이터 사이언스, 스크립팅, 보안위협에 대한 전문지식으로 무장하고 있어야 한다”고 밝히고 “위협 사냥은 자동화가 이슈다. 해외에서는 이미 독창적인 위협 사냥 장비들이 출시되고 있다. 하지만 장비가 주가 되어서는 안되고 헌터(사람)가 주가 되어야 한다. 보안담당자는 장비 오퍼레이터가 아니라 전사(사냥꾼)가 되어야 한다. 그래서 위협 사냥에서는 사람이 가장 중요하다. 한국도 Threat Hunting 개념을 정립하고 적극적으로 적용을 해 나가야 한다”고 강조했다.

이번 K-ISI 2016에서 김태일 코어시큐리티 대표의 발표자료는 데일리시큐 자료실에서 다운로드 가능하다. 위 영상은 현장 발표 전체 영상이다.

★정보보안 & IT 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★