“뚫리지않는방패는없다.”, “APT 공격은막을수없다.”
사이버공격이지능화되면서보안투자에대한회의적인인식이나타나고있습니다. 조직화된공격자들이충분한시간과자원을갖고맘먹고표적공격을가하는상황에서는아무리훌륭한보안시스템을갖추고있더라도방어해낼재간이없다는것입니다.
공격자들은자기들의목표가달성될때까지오랜기간매우정교한수법을이용해은밀하게공격을벌이고있습니다. 이것이바로지능형지속위협(Advanced
Persistent Threat), 즉 APT 공격입니다. 요즘이슈화되고있는랜섬웨어도 APT 공격형태를띠고있지요. 이제 APT는지능화된사이버위협을통칭하는용어가됐습니다.
공격자들이조직화되고고도화되면서수비수들도방어전략을처음부터다시고민하기시작했습니다. 방어중심, 사전예방을목표로한전통적인보안전략은한계에봉착했다는지적이나왔습니다.
이제는 ‘예방’이나 ‘방어’ 그자체에집중하지말고 ‘공격자’의시각에서 ‘위협’을중심에놓고대응전략을수립하자는목소리가높아졌습니다.
공격자들이내부로들어오는것을막을수없다는것도인정하자, 그대신에보다빠르게그들의활동을탐지해실제피해를최소화할수있도록대응책을수립하는것이현실적이라는중론이모아졌습니다.
공격자들은여러단계에걸쳐공격을수행합니다. 이를 ‘공격체인(Attack
Chain)’이라고부릅니다.
먼저공격대상인프라에침투해거점을확보하고오랫동안정찰을수행합니다. 공격목표를달성하기위해정보를수집하고권한을획득합니다. 공격용악성코드를만들어설치하기도하고원격에서명령도내립니다. 정보유출이나시스템파괴와같은임무를완수하면공격자는증거와흔적을모두없애고사라집니다. 이후재공격을위한교두보를만들어놓기도합니다.
이와같은공격진행과정은내부침입후 ‘정찰(reconnaissance)-무기화및전달(weaponization
and delivery)-익스플로잇·설치(exploitation and installation)-명령·제어(command and
control, C&C)-행동(action) 및탈출(exfiltration)’
과정으로설명할수있습니다.
이모든과정이공격이진행되는과정이겠지만실제 ‘공격전(before)’, ‘공격중(During)’, ‘공격후(After)’의단계로나눠볼수있습니다.
공격과정은 ‘초기침투-거점확보-권한확대-내부정찰-목적달성’의단계로요약되기도합니다.
만일실제타격(공격)이이뤄지기전에공격자를빠르게발견할수있다면어떨까요? 그래서이와같은공격체인을끊어낼수있다면? 아마도내부망이뚫려공격자가침입해오는것을미리막지는못했더라도큰피해를입지는않을것입니다.
이것이바로 ‘사이버킬체인(cyber kill chain)’ 전략입니다. 사이버킬체인은몇년전부터지능형사이버공격에대응하는효과적인방안으로부상했습니다.
이용어는군수업체인록히드마틴이가장먼저사용했다고알려져있습니다. ‘공격이최선의방어’라는뜻을지닌선제공격형방어전략 ‘킬체인(타격순환체계)’이라는군사용어를사이버위협, 그중에서도 APT 공격방어모델로응용한것입니다.
시간이지나면서사이버킬체인전략도한계점이있다는지적이일부제기되고있습니다만, 아직까지도지능형위협대응전략을수립하는데참고하기위해서는이만한모델이없다고생각됩니다.
많은글로벌보안업체들도공격체인전체(end to end)를포괄하는위협중심의사이버킬체인방어인프라를구축할수있도록다양한솔루션을제시하고있습니다.
현재기업의 IT 인프라와보안환경을감안해지능형위협을빠르게탐지해지속적으로대응할수있는 ‘나만의킬체인’ 모델을구현해운영하는것이중요할것입니다.
글. <이유지 기자>yjlee@byline.network
이유지 기자는 전문기자들의 멀티채널네트워크(MCN)인 바이라인네트워크에서 활동하고 있습니다.