두 번째는 공격 흐름을 기준으로 탐지하는 기법이다. 이를 위해서는 공격 시나리오 작성부터 레드팀(Red Team) 테스트를 통한 위협 분석, 그를 통해 TTPs를 개선하고 탐지와 가시성을 개선해서 시나리오에 다시 반영하는 안이다. 예를 들면 공격의 시나리오는 공격자가 정찰같은 행위를 통해 초기 접근 후 시스템이나 권한을 장악하여 공격을 확산하고 결국 공격의 목표를 이뤄낸다는 과정을 순차적으로 적용해 보는 것이다. 레드팀은 이러한 시나리오 상에서 실제 침투 테스트(Penetration Test)를 통해 위협을 분석하고 탐지 기법 개선의 기반을 마련한다. 실제 침투 테스트와 분석은 기존 탐지 기법들을 더욱 정교하게 다듬고 개선해준다. 이러한 선순환구조를 통해 유사시 대응을 넘어 상시 대응 체제를 이루게 하는 좋은 탐지 기법의 사례가 될 것이다.
이처럼 다양한 탐지 기법에서 시그니처나 룰을 일종의 점이라고 한다면 행위 기반 룰과 패턴은 선 개념이며, 이는 방어자 관점에서의 기법이다. TTPs 를 통해 공격자 입장을 더 반영하여 방어자와 공격자의 관점을 조합한 입체적인 면을 구성한다고 표현해 볼 수도 있다. 이러한 점, 점과 점을 연결한 선, 선이 연결된 면을 가지고 AI나 머신러닝 기술을 통해 다양한 경우의 수를 도출하고 입체적인 탐지 기법을 만들어 여러 공격의 형태를 탐지할 수 있도록 하는 것이다. 결국 탐지 대상과 탐지 기법에 대한 이해를 통해 무엇을 어떻게 탐지 할지에 대한 탐지 기준을 설정할 수 있다.
대응(Response)
그럼 위협에 대한 탐지, 그 다음 실행안은 무엇일까. 바로 대응(Response)이다. 앞서 설명한 위협 분류 및 정의, 탐지도 실질적인 대응을 위한 사전 작업이라고 할 수 있다.
일반적으로 대응이라고 하면 솔루션 도입을 먼저 떠올리게 된다. 대부분 보안 관리자는 탐지된 위협에 대해 자동으로 처리되기를 바랄 것이다. 기존 솔루션을 살펴보면 자동 치료나 삭제, 설정된 정책에 따라서 시스템적으로 차단하는 등의 대응을 해준다. 이를 치료(Remediation)라는 용어로 표현할 수 있다. 이는 알려진 위협을 방어하는데 효과적이다.
알려지지 않은 위협의 경우는 어떨까. 알려지지 않은 것을 탐지하고 자동 치료하는 것 자체가 어렵다는 건 누구나 알고 있는 사실이다. 앞서 알려지지 않은 위협을 탐지하는 기법에 대해 언급했는데 결국 탐지하더라도 판단이나 대응의 주체는 바로 보안 관리자이다. 일반적으로 보안 솔루션들이 자동 치료 삭제 대응을 하기 위해서는 룰이나 시그니처를 만들고, 오진이나 오탐을 줄이기 위한 검증 작업과 패치 업데이트까지의 시간이 소요되기 마련이다.
하지만 공격은 그 시간에도 계속될 수 있다. 대표적인 것이 제로데이(Zero-day) 공격이다. 그렇기 때문에 알려지지 않은 위협은 보안 관리자에게 이상 징후나 이상 행위에 대한 알림(Alert)을 주고, 보안 관리자가 직접 실행할 수 있는 판단의 근거를 제시하는 것이 최근 솔루션 대응 방법론으로 대두되었다. 이를 통해 기본적으로 고객은 솔루션이 자동 업데이트되기 전에 의심스러운 파일 실행을 보류시키거나 문제 시 되는 네트워크를 격리하고 격리된 네트워크를 다시 복원하는 대응을 할 수 있다.
이를 통해 기본적으로 보안 관리자는 솔루션이 자동 업데이트되기 전에 의심스러운 파일 실행을 보류시키거나 문제 시 되는 네트워크를 절체하고 이후 다시 복원하는 기본적인 대응법을 수행할 수 있다. 하지만 알려지지 않은 위협을 너머 늘 상존하고 있지만 인지하거나 보이지 않는 위협에 대해서도 대응법이 필요한데, 유사시가 아닌 평상시에 상시 위협 분석을 하는 대응법도 최근 화두가 되고 있다. 이를 위협 추적 대응법이라고 일컫는다.
위협 추적을 효과적으로 하기 위해서는 내부 위협 요소 수집만으로는 판단 기준의 한계가 있기 때문에 산업 전반에 걸친 위협 트렌드와 외부 대응 기법들을 참고한다면 보다 효과적인 위협 탐지와 대응을 할 수 있게 된다. 이것이 바로 위협 인텔리전스(Threat Intelligence)가 필요한 이유다.
이제 기업과 기관에서는 자동 치료∙삭제나 차단과 같은 단일화된 초기 대응을 넘어, 다양한 탐지기법들과 매칭할 수 있는 폭넓은 대응(Response) 체계를 갖춰야 한다.
지금까지 ‘무엇으로부터 고객을 보호할 것이냐’라는 것에 대해 위협을 정의했고, 각 위협에 대한 보안 실행의 관점에서 ‘무엇을 탐지하고 어떻게 대응할 것이냐’에 대한 부분까지도 살펴봤다. 개별 단위로 언급한 탐지와 대응을 종합해 하나의 틀로 정리해 보면 위협에 대한 실행 기준을 만들어 주는 ‘탐지와 대응 기준의 보안 실행 매트릭스(Security Operation Metrics)’를 떠올릴 수 있다.
위협은 알려진, 알려지지 않은 그리고 보이지 않은 위협으로 구분하고, 이에 따른 실행 보안의 첫번째 기준인 탐지는 탐지 대상과 탐지 기법 따라 단계적으로 실행 단위를 정의할 수 있다.
탐지에 따른 대응 방법은 솔루션 스스로 자동 치료, 차단하거나 이상 행위, 이상 징후에 대한 알림을 보안 관리자에게 제공한다. 보안 관리자의 직관력과 자체 판단의 기준으로 운영을 해 나가기도 하지만, 이를 넘어 고객이 좀 더 세밀히 판단하고 수행할 수 있도록 외부 위협(Threat Intelligence)를 통해 연관 분석과 상세분석까지도 제공되어야 한다.
이를 종합해 보면 위협 탐지와 대응을 축으로 한 실행 관점의 보안 매트릭스를 만들어 볼 수 있다. 또한 이 매트릭스는 단순 온프레미스를 너머 클라우드 환경까지도 고려되어야 한다.
고객 주도형 & 실행 보안
이 글에서는 3가지 유형으로 정의된 위협을 조망해 보고, 이를 보호할 대상의 가치에 따라 우선순위를 정해서 무엇을 어떻게 할지라는 질문에서 시작했다. 특히, 보안은 준비보다 실행이 중요하다라는 관점에서 관리자가 탐지와 대응 기준의 매트릭스를 통해 실행 방법을 제시했다.
하지만 보안은 보안성이 높을수록 편의성이 떨어지는 상충되는 관계를 갖고 있다. 보안 관리자의 입장에서 우선순위가 높다고 하더라도 사용자 즉, 내부 구성원의 입장에서는 사업 수행의 방해요소로 폄하되어 실행하기 어려운 가이드로만 전락될 수 있다. 어찌 보면 가장 큰 보안 위협이기도 하다. 보안 가이드는 있지만 실행되지 못하는 것은 아무것도 하지 않게 되는 것이다.
그래서 통속적으로 최고 의사결정자의 적극적인 후원 없이는 보안이 제대로 갖춰지거나 실행될 수 없다고 하는 것이다. 따라서 최고 의사결정자가 내부 구성원들과 공감할 수 있는 근거를 마련해주는 것도 보안 관리자의 주요 역할이라고 할 수 있다.
앞서 소개한 탐지와 대응 기준의 보안 실행 매트릭스(Security Operation Metrics)는 한번에 모든 것을 다 갖추기 위한 것이 아니라 하나 하나씩이라도 당장 효과를 볼 수 있는 것을 시작으로 휘발성으로 없어지는 것이 아닌 차곡차곡 쌓아 상호 유기적인 연관관계를 이어 갈 수 있는 큰 그림이 되어야 할 것이다. 우리 자산을 보호하고 보안하는 이유는 바로 사업의 연속성을 확보하고 지속 가능한 사업 성장을 위한 것이기 때문이다. 이제 보안 리스크는 위협 정의에 따라 적절히 대응하지 못했을 때 생기는 사업적 임팩트를 고려해 이를 사업적 리스크로 정량화하여 최고 의사결정자와 구성원들이 공감할 수 있도록 지속적으로 제시되어야 한다.
최근 코로나 이슈로 인해 요원하게 느껴졌던 클라우드 환경이 가까워졌고 재택근무라는 말이 일상화되면서 생산성 제고와 보안성 강화는 더 중요한 숙제가 되었다. 기술이 발전하는 만큼 우리를 향한 위협들은 그 범주가 넓어지고 공격의 형태 또한 더 고도화되었다. 예기치 못한 상황의 연속인 이 시대에, 보안의 중요성, 그 자체는 변하지 않고 있다. 기존 보안의 틀을 유지하면서 기민하게 대응할 수 있기 위해서는 모두가 공감할 수 있는 보안 관리자의 흔들림 없는 근본적인 기준이 필요하다.
원문 및 영상 출처 : 안랩