2019년 가장 눈에 띄는 네트워크 위협 중 하나는 악의적인 크립토마이닝입니다.
암호화폐 채굴 혹은 크립토마이닝은 새로운 암호화페를 생성하거나 획득하는 과정입니다. 일반적인 크립토마이닝과는 다르게 악의적인 크립토마이닝은 피해자가 알지 못하는 상태로 피해자 하드웨어의 컴퓨팅 자산을 이용해 채굴이 실행되는 것입니다. 크립토마이닝은 어떻게 대응하고 관리하는지에 따라 가변성이 매우 큰 활동입니다. 즉 클라이언트에 설치된 소프트웨어, 서버, 그리고 클라이언트-서버 통신에 사용되는 프로토콜 등 다양한 요소가 존재합니다. 따라서 악의적인 크립토마이닝를 예방, 감지, 대응할 수 있는 다양한 기술을 포괄한 통합적인 방어 체계를 구축해야 합니다.
시스코 스텔스와치 (Stealthwatch): 네트워크 가시성과 보안 분석 기능을 사용한 탐지 기술
먼저 네트워크 관점에서 크립토마이닝이 무엇인지 알아보겠습니다. 크립토마이닝은 클라이언트 기기가 서버에서 작업을 가져와 수행(해시 계산)하고, 그 작업 결과를 다시 서버로 보내는 지속적인 클라이언트-서버 TCP 연결을 의미합니다. 이 과정에서 포트와 프로토콜이 변할 수 있으며 TCP 통신을 암호화할 수 있습니다. 이때 지속적으로 통신이 유지되어야 합니다. 마이닝 풀과 통신이 지속되지 않으면 성공적으로 작업을 완료할 수 없기 때문이죠.
따라서 네트워크 텔레메트리에 보안 분석을 적용하는 기술은, 엔드포인트가 무엇인지와 상관없이 가시성을 확보하고 네트워크 상에서 활동하는 크립토마이닝의 존재를 감지할 수 있습니다. 특히 브라우저, 카메라, 프린터, 휴대폰과 같은 사물인터넷 장치 등 다양한 소프트웨어가 크립토마이닝의 피해를 받을 수 있다는 것을 고려한다면, 그 네트워크 가시성을 파악하는 것이 더욱 중요하다고 이야기할 수 있습니다. 스텔스와치는 기존 네트워크 인프라의 텔레메트리를 사용하여 보안 분석 및 모니터링을 할 수 있습니다. 따라서 네트워크 상에서 일어나는 크립토마이닝 활동을 감지하는 데 필요한 다양한 분석 기법을 이미 보유하고 있는 것이죠. 그러면 스텔스와치가 크립토마이닝 활동을 감지하는 세 가지 방법을 알아볼까요?
1. 비지도 기계학습을 통한 감지
스텔스와치는 네트워크 텔레메트리를 수집하고 네트워크에서 기기의 통계적인 모델을 구축하여 행동 조건이나 이상 조건이 나타나면 관심 관찰을 시작하고 경보를 울리게 됩니다. 크립토마이닝에 직접 적용할 수 있는 두 가지 행동 알고리즘으로는 서스펙트 롱 플로우 (Suspect Long Flow) 와 서스펙트 콰이엇 롱 플로우 (Suspect Quiet Long Flow)가 있습니다.
⋅ 서스펙트 롱 플로우: 논리 클라이언트-서버 플로우가 오랜 시간 충분히 관찰되었을 때 작동됩니다. (지속 시간 임계 값 조정 가능) ⋅ 서스펙트 콰이엇 롱 플로우: 논리 클라이언트-서버 플로우가 오랜 시간 충분히 관찰되었고 바이트 수가 적을 때 작동됩니다.
스텔스와치의 행동 알고리즘을 구성하는 비지도 학습 엔진의 기본적인 특성 덕분에 크립토마이닝 활동을 확인할 수 있습니다. 크립토마이닝이 다른 요소와는 무관하게 장기적인 클라이언트-서버 통신에 전적으로 의존하기 때문입니다. 아래 그림은 Minergate.exe을 사용하여 9시간 1분 18초동안 모네로(Monero)를 크립토마이닝한 호스트에 대한 서스펙트 롱 플로우 경보 발생과 그에 상응하는 흐름의 예시입니다.
2. 다층 기계학습을 통한 고급 감지 기술
스텔스와치는 클라우드에 호스팅된 다층 기계학습 엔진인 인지지능(Cognitive Intelligence)과도 통합되어 있어, 지도 및 비지도 구성 요소를 포함한 다양한 분석 기법을 사용할 수 있습니다. 클라우드에서 운영하는 것의 장점은 조직 내부에서 일반적으로 통신하는 서버뿐 아니라 전 세계 서버들을 적극적으로 프로파일링 할 수 있다는 것입니다. 이를 로벌 리스크 맵(Global Risk Map) 혹은 글로벌 피처 캐시(Global Feature Cache)라고 부릅니다. 비정상적인 주기 흐름(Anomalous Periodic Flows)과 같은 의심스러운 활동을 식별하는 것 이외에도 비지도 기계학습 엔진을 특정 Classifier 등으로 학습하면 아주 높은 정확도로 암호화폐 채굴 활동을 식별할 수 있습니다. 모네로나 라이트코인(Litecoin) 같은 암호화폐용 Classifier로 학습하는 것은 어렵지 않죠. 아래 그림은 세개의 다른 IP 주소로 41일 4시간 동안 모네로의 크립토마이닝을 시도한 사용자를 식별한 예시입니다.
또한 글로벌 리스크 맵(Global Risk Map)을 활용하면 인지지능 엔진은 캠페인이라고 알려진 특정의 위협 인스턴스를 추적할 수 있습니다. 아래 스크린샷은 호스트 ‘10.90.90.101’이 코인하이브 마이너 (#CCMM05)로 크립토마이닝 당했다는 것을 보여줍니다.
위의 스크린샷 우상단에 “Encrypted” 태그를 확인할 수 있는데요, 스텔스와치는 암호화 트래픽 분석(링크)기술을 사용하여 별도로 암호 해독을 하지 않고도 암호화된 트래픽의 악성 소프트웨어를 감지할 수 있습니다. 따라서 암호화된 채널에서 발생하는 크립토마이닝 활동도 감지할 수 있는 것이죠.
3. 퍼블릭 클라우드 인프라 내 감지
스텔스와치는 SaaS 형태로도 제공됩니다. VPC 플로우로그(VPC Flow Log)와 같은 네이티브 텔레메트리 기능을 이용해 온프레미스 네트워크 활동은 물론 아마존 웹서비스, 마이크로소프트 애저, 구글 클라우드플랫폼 등의 클라우드 호스팅된 인프라를 모니터링할 수 있습니다. 스텔스와치는 정교한 모델링과 기계학습 기법을 사용하여 데이터를 분석하고, 의심스럽고 악의적인 활동을 식별하게 됩니다. 특히 클라우드 호스팅 내에서 크립토마이닝을 시도하는 것은 서버 비용이 매우 많이 들 수 있기 때문에 기업들은 자신들의 자산이 오용되는 것을 빠르고 효과적으로 탐지해야 합니다. 또한 스텔스와치 클라우드는 장기간의 흐름 활동을 식별하는 것 이외에도, 비트코인과 이더리움 네트워크와 커뮤니케이션 하기 위해 알려진 노드를 찾습니다. 아래는 호스트 ‘192.168.48.175’가 비트코인 네트워크의 노드에서 상당히 많은 양의 트래픽을 교환하는 것을 스텔스와치가 탐지한 예시입니다.
악의적인 크립토마이닝은 위협을 가하는 자가 쉽게 돈을 벌 수 있는 방법이며, 더 심각한 문제의 전조로 간주할 수 있습니다. 공격자들이 우리의 시스템 상에 존재하는 것 자체가 큰 문제인 것입니다. 따라서 크립토마이닝 행위에 대한 방어망을 구축하고, 궁극적으로 위협 행위자를 감지하고 관리할 수 있도록, 다양한 기술을 사용하여 예방하고, 감지하고 신속하게 대응해야 합니다. 시스코 스텔스와치가 제공하는 첨단의 다중 보안 분석 기술은 크립토마이닝 활동을 감지할 수 있으며, 사물인터넷과 클라우드 인프라를 포함한 엔터프라이즈 네트워크 전반에 걸친 더 심각한 문제들을 조기에 식별할 수 있도록 지원할 것입니다. 시스코 스텔스와치에 대한 더 자세한 내용을 확인하시고 무료 가시성 테스트(링크)를 통해 여러분의 네트워크에 숨어 있는 위협을 확인해 보세요.
댓글 쓰기