보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

위협적인 블랙리스트 IP 탐지 및 관리

2023.01.04

188

SPiDER TM V5.5은 이글루코퍼레이션 보안관제 경험과 빅 데이터 활용역량이 집약된 통합보안관리솔루션으로 최초탐지부터 로그/네트워크 패킷 분석까지 일원화된 관제환경구성을 통해 관제업무의 기민성과 효율성을 높이는 동시에 인프라 전반에 대한 가시성을 확보할 수 있다.

고도화된 분석 기법을 통해 위협적인 공격 시도를 한 공격자를 분류하고 통합대시보드를 활용하여 보다 효율적이고 가시성 있는 분석 및 관리를 할 수 있다.

01. 개요

기관 내 블랙리스트 IP 산정 기준은 다양하다. 신뢰할 수 있는 기관에서 제공한 유해 IP 리스트를 모니터링하거나 상위 기관에서 차단 권고 IP가 내려온 경우, 기관에 위협적인 공격을 시도한 IP 탐지의 경우 등 위협적인 블랙리스트 IP에 대한 효율적인 탐지와 관리 방안이 필요하다.

이번 호에서는 블랙리스트 IP 탐지 기법과 통합 대시보드를 활용한 블랙리스트 IP에 대한 효율적인 모니터링 및 관리 방안을 제시한다.

02. 블랙리스트 IP 탐지

1) 외부 유해 IP 수집

국내외 신뢰할 수 있는 기관이나 상위 기관에서 선정된 블랙리스트 IP 정보를 수집한다. 이글루코퍼레이션에서는 CTI(Cyber Threat Intelligence) 유해 정보를 수집하고 관리하는 i-CERT 시스템을 보유하고 있다.

i-CERT 시스템에서는 국내외에서 수집되는 위협 IoC에 대한 정보들을 수집하여 공유한다.

[그림 1] 국내외 위협 정보 수집

i-CERT 시스템에서 CTI(Cyber Threat Intelligence) IoC 정보에 대한 수집 주기를 설정하여 실시간 혹은 하루 단위로 데이터를 자동으로 수집할 수 있다.

SIEM에서는 i-CERT 시스템과 연동하여 자동으로 위협 정보들을 수집하고 갱신 및 관리한다.

[그림 2] 국내외 위협정보 자동 수집

SIEM에서는 상위 기관에서 배포된 차단 권고 IP나 위협적인 IP를 수동으로 일괄 등록하여 관리할 수 있는 기능 또한 제공한다.

수동으로 등록된 블랙리스트 IP 또한 경보 룰이나 통합대시보드 분석 등 다양하게 활용할 수 있다.

[그림 3] 위협 IP 수동 등록

2) 위협 IP 탐지룰 설정

위협 IP 탐지룰은 사전에 자동 또는 수동으로 등록된 블랙리스트 IP가 보안장비에서 탐지되는 경우를 기준으로 선정할 수 있고 기관 내에서 자체적으로 등록 및 관리하는 공격 시그니처나 위협적인 공격 시그니처 등을 기준으로 위협 IP에 대한 모니터링 룰을 선정할 수 있다.

[그림 4] 등록된 블랙리스트 IP 에 대한탐지 룰 (예시)
[그림 5] 공격 시그니처 별 탐지룰 (예시)

과거에는 위협적인 공격으로 판단되는 공격 시그니처를 직접 확인하고, 일치하는 룰을 등록하거나 이미 등록된 위협 IP를 탐지하고 행위를 분석하는 등 위협 행위를 하는 공격자에 대해 다소 수동적인 대응 및 관리가 이루어졌다. 하지만 최근에는 효율적인 위협 IP 탐지를 위해 신규 공격명 탐지나 공격자의 공격 시도 추이를 분석하거나, 2가지 이상 탐지룰을 조합한 상관 분석 기능을 통해 기존에 등록된 룰에만 의존하는 것이 아닌 APT 공격 시나리오나 0-day 공격에도 대비할 수 있도록 더욱 세밀하게 위협적인 공격을 시도한 IP에 대한 대응 및 관리가 가능하다.

[그림 6] 신규 공격과 IP 탐지룰 및 공격 시도 추이 분석 룰
[그림 7] 상관분석 룰

03. 블랙리스트 IP 탐지 및 관리 대시보드 소개

1) 메인 분석 대시보드 소개

지금까지의 과정을 통해 위협을 시도한 블랙리스트 IP를 탐지하고 관리할 수 있다. 아래 대시보드는 일주일간 위협적인 공격 시도를 한 IP를 탐지 및 관리하고 분석 결과를 제공한다.

▷7일 동안 3일 이상 공격을 시도, ▷보안장비에서 7가지 이상 공격이 탐지, ▷사전에 등록된 블랙리스트 IP로 탐지, ▷7일 동안 공격 이력이 없었던 신규 공격을 시도한 경우, 블랙리스트 IP로 선정되어 한눈에 위협적인 공격자에 대한 공격 추이 분석을 할 수 있도록 대시보드를 구성하였다.

보안장비에서 실 차단된 블랙리스트 IP를 유효 또는 만료로 표시하여 특정 기간 내 공격을 시도한 경우, 블랙리스트 유효 위젯에 리스트 등록이 된다. 또한 블랙리스트 IP로 차단되었으나 특정 기간 동안 공격 시도 이력이 없는 경우, 블랙리스트 만료 위젯에 리스트 등록이 되어 손쉽게 블랙리스트 IP 관리를 할 수 있다.

이 외에도 다양한 기준으로 위협 IP를 선정하여 탐지하고 관리할 수 있다.

[그림 8] 블랙리스트 IP 분석 대시보드(7일)

2) 상세 팝업 분석 대시보드 소개

기본 대시보드에서 위협 블랙리스트 IP로 표기되는 IP를 선택하면 상세 팝업을 통해 좀 더 상세한 공격 추이를 분석할 수 있다.

일주일간 시도한 공격명, 공격 시도 날짜, 공격 시도 횟수, 블랙리스트 등록 정보를 표시해 주며 공격 시도한 목적지 IP 및 공격 시도한 보안장비 그리고 시도한 공격명을 한눈에 볼 수 있는 추이 분석 그래프를 추가하였으며 마지막에는 방화벽 탐지 이력과 원본 로그 조회 위젯을 추가하였다.

[그림 9] 블랙리스트 IP 상세 팝업 분석 대시보드

3) 블랙리스트 IP 차단 및 관리

최종적으로 위협적인 블랙리스트 IP로 분석 완료된 IP에 대해선 보안장비 차단을 진행한다. 방화벽과 API 연동을 통해 방화벽 접속을 하지 않고도 SIEM에서 직접 방화벽 차단 명령을 내릴 수 있다.

[그림 10] SIEM 방화벽 차단 IP 등록

차단된 IP는 앞서 설명한 것처럼 기본 대시보드에서 유효 또는 만료 위젯에 자동으로 갱신이 된다. 블랙리스트 IP 만료 기간을 90일로 설정한다면 90일 내 재공격 시도가 없을 경우 만료 위젯에 표기되며 90일 내 다시 재공격이 있을 경우 보관 기간이 갱신되어 유효 위젯에 그대로 표기된다.

재공격 시도의 기준은 기관의 특성 및 요구 사항에 따라 다양하게 선정할 수 있다.

[그림 11] 차단된 블랙리스트 IP 관리 위젯

별도로 계열사가 존재하는 경우 각 계열사 별로 블랙리스트 차단 관리 대시보드만 따로 구성하여 직접 유해 IP로 선정되어 차단된 IP를 쉽게 모니터링할 수 있다.

상위 기관 또는 신뢰할 수 있는 기관에서 배포한 유해 IP를 요주의 IP로 표현하였고 직접 보안장비에서 차단된 IP에 대해서 차단 IP 관리 위젯으로 표현하였다.

[그림 12] 요주의 IP 및 차단 IP 관리 대시보드

04. 결론

지금까지 위협적인 블랙리스트 IP 탐지 및 관리 방안에 대하여 알아보았다. 수많은 로그와 이벤트 가운데 위협적인 행위를 시도한 공격자를 찾기는 결코 쉽지 않을 것이다. 그러나 지속적인 관심과 분석 노하우를 통해 기관에 위협이 되는 공격자를 선별하고 사전에 차단할 수 있다.

지금까지 제시한 위협 분석 및 관리 기법과 각 기관의 특성에 맞는 전략이 더해진다면 더욱 체계적이고 고도화된 운영을 할 수 있을 것이다.