보안정보
전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.
위협 대응의 우선 순위를 위한 가산화(Scoring) 선택과 결정을 위한 위험의 우선 순위 대응 및 분석
2017.09.04
5,567
위협 대응의 우선 순위를 위한 가산화(Scoring)
선택과 결정을 위한 위험의 우선 순위 대응 및 분석
이글루시큐리티 PS팀 이영구 과장 (cristal@igloosec.com)
■ 빅데이터 위협 분석의 어려움 ‘Life is C between B and D.’ 프랑스의 실존주의 철학자 장 폴 사르트르가 남긴 말이다. 여기서 ‘C’는 ‘Choice(선택)’를, ‘B’는 ‘Birth(탄생)’를, ‘D’는 ‘Death(죽음)’를 가리킨다. 우리 말로 직역해보자면, ‘인생은 탄생과 죽음 사이의 선택이다.’ 즉, 우리의 삶은 선택의 연속이라는 의미이다. 실제로, 우리는 일상 생활 속에서 수많은 선택과 결정을 마주하게 된다. 예를 들어 오늘 어떤 옷을 입을지, 점심 메뉴는 무엇으로 할지, 짜장면과 짬뽕 중 어떤 것을 먹을지 등 여러 가지 선택과 결정의 기로에 서서 항상 고민한다. 그리고 결국 하나를 결정하게 됨으로써 다른 선택을 포기하게 되는데, 이 때 우리가 포기하게 되는 것은 그 선택지 하나뿐 아니라 그로부터 얻을 수 있는 모든 이익이나 효용을 포함한다. 경제학에서는 이러한 선택의 비용을 ‘포기한 다른 선택에 대한 최대 가치’로 측정하고 ‘기회비용’이라 칭하는데 기회비용이 발생하기 때문에 우리는 우리가 마주한 수많은 선택과 결정들 하나하나에 신중하게 고민하고 또 고민하게 되는 것이다. 이와 같은 맥락으로, 보안 담당자들의 선택과 결정은 정보자산의 위협에 대한 탐지 및 분석에 있어 굉장히 중요하게 작용한다. 위협 대응의 핵심은 공격자가 남기는 데이터를 탐지하여 그 흔적을 분석하고 그 결과에 따라 대응해나가는 것이다. 그러나 오늘날, 사람들의 데이터 사용량은 기하급수적으로 증가했고 보안 담당자는 어마어마한 데이터 속에서 공격자가 남기는 소량의 데이터를 찾아내어 분석해야 되는 어려움에 직면하게 되었다. 실제로 여러 사이버 위협 사례를 살펴보면, 공격자의 공격 방법과 피해를 명확하게 규명할 수 있는 데이터는 매우 적다. 이러한 상황에서 보다 더 많은 양의 데이터, 즉 빅데이터에 대한 분석은 과거에 비해 굉장히 어려워졌으며 앞으로 더욱 더 어려워질 것으로 예측된다. 많은 양의 데이터 중 위협 정보를 선별하여 분석하는 것은 데이터 사용량의 증가 추세에 따라 날로 까다로워지고 있다. 오늘날, 그리고 앞으로의 데이터 탐지와 분석을 위해서는 과거와 다른 형태의 접근법이 요구되는데 그 방법들에 대해 살펴보고 정보보안의 위협에 대한 효율적인 선택과 결정을 도와주는 가산화(Scoring)에 대해 알아보는 시간을 가져보고자 한다. ■ Threat Intelligence(위협 인텔리전스)를 통한 공격자의 정보 확보 및 공격 행위 예상 과거에는 정보보안 업무를 수행하는데 있어 빅데이터 분석이 필요하지 않았다. 보유하고 있는 정보자산에서 발생되는 정보의 처리만으로도 보안 위협에 충분히 대응할 수 있었기 때문이다. 그러나 앞서 계속해서 언급했다시피, 현재는 많은 양의 데이터가 사용되고 있고 실제 서비스를 하고 있는 홈페이지나 각 애플리케이션에서도 기존과는 비교할 수 없을 정도로 많은 사용자들의 접근이 이뤄지고 있다. 많은 사용자들 중에서 누가 위험한 사용자인지 판별하는 가장 빠르고 효과적인 방법은, 현재 해당 기관에 접근한 사용자가 다른 곳에서 사이버 위협 행위나 침해 행위가 있었는지 확인하는 것이다. 이렇게 보안 위협에 대한 정보를 축적하고 공유하는 것을 Threat Intelligence(위협 인텔리전스)라고 말한다. 외부에서 내부 자산에 대한 통신 행위가 있거나 내부 사용자가 유해 정보(악성코드 유포 사이트나 악성코드 유포 공격지)로 접근 시, 접근자가 과거에 진행했었던 행위와 악성코드 유포 여부, 유포한 악성코드의 종류 등의 정보가 공유되어 있다면 그 기록을 통해 접근자의 정보를 조회하고 향후 발생 가능한 상황을 미리 예측하여 대응할 수 있다. 즉, Threat Intelligence(위협 인텔리전스)를 통해 많은 양의 데이터 중 유해 정보가 실존하는지를 확인하여 보다 쉽게 공격자를 판별한다면 신속한 대응이 가능해지는 것이다.
<이미지1. Threat Intelligence(위협 인테리전스)를 통한 예방활동>
■ 로그 추적을 통한 공격 경로 확인 그러나 유입되는 사용자 중 공격 이력이 있는 사용자의 접근이 있었다는 것만으로는 100% 공격이 발생할거라는 보장과 위협 상황이 발생했다는 판단의 기준으로 여기기에는 부족하다. 공격자와 동일한 IP정보를 보유하고 있다 해도 공격자 IP를 사용하는 정상적인 사용자 또한 존재할 가능성이 있으며 공격이 있지 않은 IP로 위장하거나 새로운 IP를 사용하는 공격자가 나타날 수 있기 때문이다. 공격자를 제대로 판별해내기 위해서는 공격자로 의심되는 사용자가 정보자산에 흔적을 남겼는지, 남겼다면 어떠한 흔적을 남겼는지에 대한 분석이 이뤄져야 한다. 로그 추적을 통해 공격자의 흔적을 추적하여 그 행위의 흐름을 파악한다면, 향후에 동일한 형태의 공격이 발생 할 경우 펼쳐질 상황에 대해 미리 예상하고 신속하게 대응할 수 있다.
<이미지2. 로그 추적 분석 >
현재 기업 및 기관들은 날로 증가하는 보안 위협에 대응하기 위해 여러 솔루션을 도입하여 사용하고 있는 추세지만, 로그 추적을 보다 수월하게 하기 위해서는 SIEM솔루션을 활용하는 것이 가장 효율적이다. 접근 이력과 비인가된 접근에 대한 차단을 담당하는 방화벽, 네트워크상에서 공격에 가까운 형태가 발생할 경우 해당 위협 행위를 차단하는 IPS, 다량의 접근을 통하여 정상적인 서비스를 방해하는 행위를 차단하는 DDos 차단 솔루션 등 다수의 보안 솔루션이 존재하지만 실제 공격이 발생할 경우 각 솔루션에서 일일이 확인하는 것은 어려울 뿐 아니라 각 공격간 인과관계 및 상관관계의 추적 분석을 통해 공격이 어떻게 진행되고 있고 어떤 행위가 발생되고 있는지를 종합적으로 확인하기 위해서는 개별 솔루션이 아닌 각 솔루션에서 발생되고 있는 상황을 기록하고 분석하는 SIEM이 제격이기 때문이다. ■ 탐지 행위의 위험도를 통한 우선 순위 대응 로그 추적 후, 추가적으로 필요한 것은 바로 공격자로 의심되는 사용자가 어떠한 행위를 하였는지 탐지하고 또 그것의 위험성이 얼마나 되는가에 대한 분석이다. 공격자의 의도는 상당히 다양하다. 실제 공격 이력이 있는 사용자가 접근하더라도 단순 정보 수집이나 특별한 의도가 없는 경우도 있기 때문에 방어하는 입장에서는 접근했다는 사실만으로 공격자의 의도에 대해 쉽게 판단할 수 없다. 따라서 공격자가 어떠한 행위를 했는지 분석하는 건 굉장히 중요하다. 또한 공격자의 행위를 분석 할 때 우선 순위란 게 존재한다. 예를 들어 TCP접속을 많이 한 행위에서 탐지되는 TCP Ack Flooding 탐지와 Apache Struts의 취약점을 이용한 공격 탐지를 비교할 경우, TCP Ack Flooding은 정상적인 상황에서도 TCP의 연결량이 많을 경우에 탐지될 가능성이 높다는 점을 고려할 때 오탐의 확률이 있다. 또한 TCP Ack가 많다는 이유만으로는 DDoS 공격이 아닌 다음에야 Apache Struts 공격에 비해 자산에 미치는 영향도가 상대적으로 낮다. 따라서 Apache Struts 공격 대응을 TCP Ack보다 우선 순위로 놓고 대응하는 게 일반적이다. 그러나 각 기관의 구성이나 성격에 따라 우선 순위와 대응 정도가 달라질 수 있다. 위와 같이 탐지 행위의 위험도를 기준으로 하여 위험도가 높은 공격 형태에 대한 분석을 진행할 경우, 공격이 성공할 시 위험한 순으로 대응을 진행하여 사이버위협 대응에 대한 효율성을 확보할 수 있다. 또한 더 나아가 공격자가 몇 번의 공격을 진행하였고 얼마나 반복적으로 접근했는지에 대한 파악이 병행된다면 공격자의 의도와 공격의 유효성 여부를 확인하여 공격자의 실제 공격 여부를 확인하고 차단하거나 이에 따른 적절한 대응을 해나갈 수 있을 것이다. ■ 시간의 흐름 분석을 통한 행위 분석 위험도에 대한 분석이 진행됨과 동시에 공격자가 언제부터 접근했고 공격의 시간이 얼마나 되었는지에 대한 시계열 분석 역시 요구된다. 최근 공격자들은 과거와 다르게 짧은 시간에 공격을 감행하는 것이 아니라, 정보 수집, 내부 침투, 내부 정찰, 공격 수행, 시스템 파괴 또는 백도어 설치 순으로 장기간에 걸쳐 공격을 시도한다. 그렇기 때문에 공격자가 언제부터 정보 수집 및 정찰을 수행했는지, 어떤 시점에 공격을 중점적으로 수행했는지 등 시간에 따른 분석을 통해 그의 의도와 공격 진행 상황을 파악해볼 수 있다.
<이미지3. 시간의 흐름에 따른 공격자 정보 분석>
■ 가산화를 통한 우선 순위 위협 대응 앞서 언급했던 다양한 분석 방법들은 사이버 위협에 대한 효과적인 대응을 가능하게 한다. 그리고 이러한 분석 행동이나 과정을 정형화하고 점수화한 것이 바로 가산화(Scoring)이다. 가산화는 위협정보의 분석 및 검증 과정을 점수화하여 위협 지수가 높은 사용자를 보안 담당자에게 표현하고 이에 대한 정보를 직관적으로 확인할 수 있도록 하는 기능으로서 기존의 SIEM에서 생성했던 특정 문자열이나 탐지 조건을 통한 시그니처로 구성되어 있는 경보와는 다른 형태의 위협 정보를 알려준다. 기존의 경보는 SIEM에서 로그를 수집하고 각 보안 장비 및 정보자산에서 발생되는 특정 문자열 값이나 조건을 통해 보안 담당자에게 보안상황의 위협이나 서비스 상태의 이상 여부를 제공하는 것이었지만 사용되는 데이터 양이 증가하게 되면서 경보와 오탐의 수가 더불어 늘게 되었고, 보안 분석가나 관제요원이 일일이 분석할 수 없는 어려움을 가지게 되었다. 이를 해결하기 위해 국내외 여러 보안 기업들은 머신 러닝과 인공지능을 활용하여 많은 양의 데이터 중 위협적인 데이터를 추출해내기 위한 연구를 지속하고 있으나 안타깝게도 아직까지 괄목할만한 성과는 없는 상황이다. 이러한 상황 속에서 위의 네 가지 분석 과정을 자동화하여 보안 담당자에게 정보를 제공한다면 기존의 SIEM 경보와는 다른 형태로 위협 상황에 대한 인지를 전달할 수 있다.
<이미지4. 가산화 기능을 통한 공격자 정보>
<이미지4>에서 확인할 수 있듯이, 위협 행위가 증가할수록 Risk의 스코어 점수가 증가하고 증가한 데이터를 보안 담당자는 한번에 확인할 수 있다. 여러 분석 방법을 통해 개별적으로 파악할 필요 없이 표현된 공격자 정보를 활용하여 우선 순위를 매기고, 이를 기반으로 분석을 진행함으로써 발생한 위협에 대한 대응 과정을 비약적으로 축소할 수 있는 것이다. 하지만 이러한 가산화 기능이 기존의 경보를 대체하는 것은 아니라는 걸 잊지 말아야 한다. 특정 조건에 대한 탐지를 위한 경보를 통하여 직관적인 위협 정보를 확인하는 것과 동시에 위에 나열했던 여러 분석 방법으로 분석을 진행할 경우 많은 시간이 소요되기 때문에 경보와 가산화 기능을 더불어 활용하여 보안 분석 및 대응에 소요되는 시간을 줄이고 효율성을 확보하는 것이 가장 바람직하다.
<이미지5. 기존 경보를 통한 대응 시간과 가산화 기능을 통한 대응 시간>
<이미지6. 사이버 위협 시각화 정보를 통한 위협 확인>
그 뿐만 아니라 향후 가산화 기능에 AI나 머신 러닝 기술을 적용하여 발전시킨다면 보안 위협에 대해 보다 선제적인 대응이 가능해질 것이며 여러 인과관계 파악을 통해 공격자의 프로파일링까지 기대해볼 수 있다.
<이미지7. 가산화와 AI를 통한 프로파일링(예시)>
결국, 보안 담당자가 직접 수행하는 데이터 분석 업무는 점차 줄어들지만 그 역할은 변함없이, 어쩌면 지금보다 더 중요해질 것으로 보인다. 계속해서 복잡해지는 보안 환경 속에서 주어진 분석 자료를 토대로 보안에 대한 상황을 신속하게 인지하고 올바른 선택을 하기 위한 의사 결정은 그 누구도 아닌 바로 보안 담당자의 몫이기 때문이다.
