01. 위협 헌팅(ThreatHunting)

2018년 가트너 시큐리티&리스크 매니지먼트 서밋에서 시큐리티 위협 헌팅 방법(How To Hunt for Security Threats)에 대한 강연이 진행되며 위협 헌팅에 대한 관심이 집중되었다. 강연에서 위협 헌팅(Threat Hunting)은 분석 기반 접근(Analyst-Centric Process)이며 기존 탐지 또는 차단 시스템이 인지하지 못했던 숨어있는 고도의 위협을 찾아내는 과정이라 설명했다. 쉽게 말해 위협 헌팅은 네트워크와 엔드 포인트(End Point)를 검색하여 보안 통제를 우회하는 위협이 공격을 실행하거나 목표를 달성하기 전에 위협을 미리 식별하는 프로세스다. 또한, 데이터 분석을 통해 의심스러운 행위 또는 위협을 먼저 찾아내고 추적하는 선제적 방식이라 할 수 있다.

2024년 사이버 보안 위협 및 기술 전망에도 언급되는 위협 헌팅이 중요한 이유는 진화하는 정교한 위협이 자동화된 사이버 보안을 우회할 수 있기 때문이다. 자동화된 보안 툴과 보안 운영 센터(SOC) 분석가들이 약 80%의 위협을 처리할 수 있으나 나머지 20%의 위협에 대해서는 여전히 걱정해야 한다. 이 나머지 20%가 심각한 손상을 야기할 수 있는 위협을 포함할 가능성이 크기 때문이다. 이러한 위협은 시간과 리소스가 충분히 주어진다면 어떤 네트워크라도 침해해 평균 최대 280일 동안 탐지를 피할 수 있을만큼 정교하다. 효과적인 위협 헌팅은 침입부터 발견까지 시간을 단축해주므로 공격자로부터 입게 되는 피해의 양을 줄일 수 있다.

많은 경우 위협 공격자는 몇 주 ~ 몇 달 동안 숨어있다 발견되기도 한다. 이들은 데이터를 빼돌리고 충분한 기밀 정보 또는 자격 증명 정보를 알아내 더 근접한 액세스를 할 수 있을 때까지 기다리고, 중요 데이터 유출을 위한 발판을 마련한다. 잠재적 위협이 얼마나 큰 손실을 유발하는지는 IBM의 “데이터 유출 비용 보고서(Cost of a Data Breach Report)”를 통해 확인할 수 있다. 유출로 인한 폐해는 몇 년간 지속될 수 있으며, 시스템 오류 이후 대응까지 시간이 길어질수록 조직은 더 큰 손해를 보게 된다.

02. 위협 헌팅 3가지 유형

위협 헌팅을 이해하기 위해서는 3가지 유형을 알아볼 필요가 있다. 구조화된 위협 헌팅, 구조화되지 않은 위협 헌팅, 상황 또는 엔티티(Entity) 기반 위협 헌팅 이 3가지다.

구조화된 헌팅

구조화된 위협 헌팅은 공격 지표(IoA)와 공격자의 전술 그리고 사이버 킬 체인의 기술 및 절차(Tactisc, Techniaues and Procedures 이하 TTPs)를 기반으로 하는 헌팅이다. TTPs를 사용하여 위협 행위자가 네트워크 환경에 해를 끼치기 전에 초기 공격 단계에서 행위자를 식별한다. 즉, MITRE ATT&CK 프레임워크와 같은 위협 인텔리전스 소스에 의존해 위협 헌팅을 진행한다.

구조화되지 않은 위협 헌팅

구조화되지 않은 위협 헌팅의 경우 트리거(Trigger) 또는 손상 지표(IoC)에서 시작한다. 트리거 또는 손상 지표 전과 후 악성 패턴에 대해 네트워크를 검색하고 데이터 보존 제한이 허용하는 한, 기록된 데이터를 조사한다. 즉, 과거 환경에 침투했다가 현재는 휴면 상태인 새로운 유형의 위협을 발견하는 것이다.

상황 또는 엔티티 기반

상황 또는 엔티티 기반 위협 헌팅은 중요 데이터 또는 중요 컴퓨팅 리소스 같은 고위험 · 고부가 가치 엔티티에 초점을 맞춘다. 이를 통해 헌팅 활동에 집중하고 우선순위를 지정하여 효율성을 개선하는 데 도움을 준다. 위협 행위자는 일반적으로 특정 고 가치, 고 위험 자산 또는 IT관리자, 도메인 컨트롤러 및 개발 관리자 같은 권한이 있는 사용자를 대상으로 한다. 이러한 우선순위가 높은 대상을 식별하고 관련 위협에 대한 집중 검색을 수행하는데 도움이 된다.

03. 위협 헌팅 성숙도 모델 (Hunting Maturity Model)

위협 헌팅 플랫폼을 제공하는 Sqrrl(스쿼럴)에서 제시한 사이버 헌팅 성숙도 모델 (Hunting maturity Model, 이하 HMM)을 참고하여 조직에 도입 가능 여부를 판단할 수 있다. 제시된 위협 헌팅 성숙도 모델은 HMM0(최소 능력)부터 HMM4(최대)까지 조직의 사전 탐지 기능을 5가지 수준으로 설명한다.

HMM0 – 초기

HMM0에서 조직은 주로 IDS, SIEM 또는 바이러스 백신 같은 자동화된 경고 도구를 사용하여 기업 전체의 악성 활동을 탐지한다. HMM0 조직은 IT 시스템에서 많은 정보를 수집하지 않으므로 사전에 위협을 찾는 능력이 심각하게 제한된다. 그래서 HMM0 조직은 위협 헌팅이 가능한 조직으로 간주되지 않는다.

HMM1 – 최소

HMM1에서 조직은 사고 대응 프로세스를 추진하기 위해 자동화된 경고에 주로 의존하고 있지만, 실제 최소한 일부 IT 데이터의 일상적인 수집을 수행한다. 즉, 탐지 결정의 대부분을 사용 가능한 위협 인텔리전스를 기반으로 하며, 공개 소스와 비공개 소스를 사용해 최신 위협 보고서를 추적하는 경우가 많다. 그래서 HMM1 조직의 분석가는 이러한 보고서에서 주요 지표를 추출하고 기록된 데이터를 검색하여 적어도 최근에 보안 위협이 나타났는지 확인할 수 있다. HMM1은 미미하더라도 모든 유형의 위협 헌팅이 발생하는 첫 번째 수준이라 할 수 있다.

HMM2 – 절차

HMM2 조직은 정기적으로 다른 사람이 개발한 절차를 학습하고 적용할 수 있으며 사소한 변경이 있을 수 있지만 자체적으로 완전히 새로운 절차를 만들 수는 없다. 조직은 일반적으로 기업 전체에서 대규모 또는 매우 큰 양의 데이터를 수집한다. HMM2 조직은 활동적인 위협 헌팅 프로그램을 갖고 있는 조직들 사이에서 가장 일반적인 수준의 능력을 갖춘다.

HMM3 – 혁신

HMM3 조직에는 다양한 유형의 데이터 분석 기술을 이해하고 이를 적용하여 악의적인 활동을 식별할 수 있는 위협 헌터가 최소한 존재한다. HMM3 조직은 위협 행위자의 활동을 찾아내고 대응하는 데 매우 효과적일 수 있다. 그러나 시간이 지나며 개발하는 위협 헌팅 프로세스의 수가 증가함에 따라 사용할 수 있는 분석가의 수를 늘리지 않는 한 합리적인 일정에 따라 모든 프로세스를 수행하려고 하면 확장성 문제에 직면할 수 있다.

HMM4 – 선두

HMM4 조직은 기본적으로 HMM3 조직과 동일하지만 한 가지 중요한 차이점은 자동화다. HMM4에서는 성공적인 헌팅 프로세스가 운영되고 자동화된 탐지로 전환된다. 이를 통해 분석가는 동일 프로세스를 반복해 실행해야 하는 부담에서 벗어나 기존 프로세스를 개선하거나 새로운 프로세스를 만드는 데 집중할 수 있다. 마지막으로 HMM4 조직은 적대적인 행동에 저항하는 데 매우 효과적이다. 높은 수준의 다종화를 통해 새로운 위협 헌팅 프로세스의 흐름을 만드는 데 노력을 집중할 수 있으며, 그 결과 탐지 프로그램 전체가 지속적으로 개선된다.

04. 위협 헌팅 루프(Loop)

마찬가지로 Sqrrl에서 제시한 위협 헌팅 루프를 참고하여 성공적인 위협 헌팅을 위한 프로세스를 구축할 수 있다. 단 한 번의 검색만으로는 네트워크를 완벽히 보호할 수 없으며 일회성이고 비효율적인 위협 헌팅을 피하려면 가설 – 조사 – 증명 – 분석 프로세스를 반복적으로 수행하는 것이 중요하다.

가설 (Create : Hypotheses)

모든 IT 환경에서 진행할 수 있는 위협 활동에 대해 설명하고, 아군의 정보, 위협 정보, 과거 위협 사례를 비롯한 다양한 요인을 기반으로 가설을 세운다.

조사 (Investigate : Via Tools & Techniques)

세워진 가설을 보안 도구와 기술을 통해 조사하여 추적한다. 분석가는 데이터에서 새로운 악성 패턴을 발견하고 복잡한 공격 경로를 재구성하여 공격자의 전술, 기술 및 절자(TTPs)를 밝혀낸다.

증명 (Uncover : New Patterns & TTPs)

기술과 도구 기반 워크플로우 또는 분석 기법을 사용하여 조사에서 발견될 수 있는 특정 패턴이나 이상 현상을 발견한다. 위협의 변칙이나 공격자를 찾지 못해도 타협해 존재를 배제해 가설을 증명하거나 반증한다.

분석 (Inform & Enrich : Analytics)

성공적인 위협 헌팅은 자동화된 분석을 알리고 강화하기 위한 기반을 형성해야 한다. 반복되는 지표나 패턴을 찾아 헌팅에 집중하도록 자동화, SIEM 규칙이나 서명 기반 진단을 통해 기존 분석 시스템을 개선하는 데 사용하고 헌팅 중 발견한 사항을 기록하고 활용한다.

05. 위협 헌팅과 보안 기법 비교

그렇다면 기존에 잘 알려진 보안 기법인 침입 탐지, 모의 해킹, 침해 사고 분석과 위협 헌팅을 비교한다면 조직은 어떤 기법을 사용할 때 위협을 더 효과적으로 탐지하고 제거할 수 있을까? 표를 통해 확인할 수 있다.

06. 효과적인 위협 헌팅 방안

앞서 표를 통해 확인할 수 있는 것처럼 각 보안 기법마다 사용 목적에 따른 차이점이 있으나, 유사하게 운용될 수 있는 공통점도 가지고 있다. 위협 헌팅과 침입탐지의 경우 공격 진행 중 수행되는 방어 기법이라는 공통점, 모의 해킹과는 내부 시스템을 대상으로 수행한다는 것, 침해 사고 분석과는 내부 시스템 데이터를 수집하고 분석한다는 측면에서 위협 헌팅과 매우 유사하다는 점이 있다. 이처럼 위협 헌팅과 3가지 보안 기법은 서로 상호보완적 관계를 가지므로 조직이 보유한 보안 시스템을 운영하면서 필요에 맞게 기술을 수행할 필요가 있다. 위협 헌팅과 침입 탐지를 활용한다면, 자동화된 침입 탐지를 사용하여 일반적인 위협을 차단하고 이를 우회하는 고도화된 위협에 대한 위협 헌팅을 수행할 수 있다. 또한 위협 헌팅을 통해 내부에 존재하는 위협을 식별한 후 모의 해킹을 통해 내부 침투 경로를 확인하여 위협 수준을 낮추는 절차를 진행해 보안성을 강화할 수 있다. 침해 사고 분석 시에는 확인한 침해 지표 및 취약점을 이후 위협 헌팅 진행에 참고한다면 효과적인 위협 헌팅 프로세스를 개발할 수 있다.

더 나아가 이벤트 관리 (Security Information and Event Management : SIEM)와 엔드 포인트 탐지 및 대응(EndPoint Detection and Response : EDR) 같은 보안 솔루션 도구에 위협 헌팅을 추가하면 자동화된 보안 도구로 형성해 탐지할 수 없는 공격을 예방하고 해결하는 데 도움이 될 수 있다. 이와 같이 기본적인 보안 시스템을 우회하여 시스템 내부에 침입하고 지속적으로 존재하는 위협을 탐지하고 제거하기 위해서는 주기적이고 반복적으로 위협 헌팅을 수행할 필요가 있다.

07. 참고 자료

1. https://medium.com/@sqrrldata/the-hunting-loop-10c7d451dec8

2. https://www.ibm.com/kr-ko/topics/threat-hunting

3. https://www.datanet.co.kr/news/articleView.html?idxno=182488

4. https://www.threathunting.net/sqrrl-archive

5. https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf

6. https://www.threathunting.net/files/hunt-evil-practical-guide-threat-hunting.pdf

7. https://www.cynet.com/advanced-threat-protection/threat-hunting
-3-types-and-4-critical-best-practices/#structured-hunting

8. https://www.splunk.com/en_us/blog/learn/threat-hunting.html

9. https://www.elastic.co/kr/security/threat-hunting

10. https://www.crowdstrike.com/cybersecurity-101/threat-hunting/

11. https://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html

12. https://www.kimst.or.kr/electronic_paper/pdf_down_other.kin?stype=journal&idx=14938

13. https://www.microsoft.com/ko-kr/security/business/security-101/what-is-cyber-threat-hunting

14. https://www.ibm.com/kr-ko/reports/data-breach