공격자 속이는 보안 기술 사이버 디셉션, 보안시장 새로운 대안으로 주목
상태바
공격자 속이는 보안 기술 사이버 디셉션, 보안시장 새로운 대안으로 주목
  • 이승윤 기자
  • 승인 2019.05.10 15:46
  • 댓글 0
이 기사를 공유합니다

내부 자산과 똑같은 함정을 설치해 침입한 공격자를 빠른 시간 내 탐지 및 대응

[CCTV뉴스=이승윤 기자] 현재 보안기업들은 해커들의 사이버 공격을 탐지하고 막아 내기 위해 여러가지 형태의 보안 제품을 개발하고 있다. 하지만 빠르게 진화하는 공격 수법으로 인해 공격자를 발견하고 차단하는 일이 어려워 보안기업들은 어떻게 하면 공격자를 효율적으로 막을 수 있을지에 대한 연구가 끊임없이 진행하고 있다. 그 중 하나의 대안으로 사이버 디셉션 기술이 부상하고 있다.

글: 쿤텍 보안기술팀 김지환 책임 연구원

공격자를 유인하는 덫 허니팟

사이버 디셉션 기술은 허니팟의 변화된 형태로 이를 정확히 이해하기 위해서는 먼저 허니팟이 무엇인지 알아야 할 필요가 있다. 허니팟이란 인터넷상에서 다른 사람의 시스템에 침투하려 하는 공격자들을 유인해 걸려들게 하는 일종의 덫이며, 이러한 허니팟들이 여러개 모여 하나의 허니넷을 생성하게 된다. 인터넷이 처음 발달하기 시작하던 시기의 보안장비들은 공격자를 막는 역할만을 담당했다. 이러한 보안 장비들은 공격자의 행위에 대한 자세한 정보는 알 수 없고 오직 공격자를 차단하는 역할에만 충실했다. 하지만, 허니팟은 공격자들이 공격을 수행하기 위해 어떤 행위들을 하는지 파악할 수 있게 해줬다.

허니팟에 대한 개념이 처음 등장한 것은 1991년 클리포드 스톨(Clifford Stoll)이 쓴 “The Cuckoos Egg” 라는 책을 통해서이다. 저자는 자신이 관리하는 시스템에 해커가 침투한 것을 알게 된 후 해커를 찾기 위한 노력을 기울였다. 오늘날의 허니팟 개념을 적용해 해커가 관심을 끌 만한 자료를 일부러 놓아 유인하는 방법을 사용했고, 결국은 그 해커를 잡게 되었다는 일화를 담고 있다.

즉 허니팟은 자원에 대한 무단 사용 또는 불법 침입을 용이하게 하는 일종의 정보 시스템 자원이라고 이해할 수 있다. 공격자는 공격에 취약하게 구성된 시스템 자원에 접근하게 돼 실제 시스템에 침입한 것이라 착각하게 된다. 허니팟은 이를 통해 공격자를 추적하고 공격자에 대한 정보를 수집할 수 있게 된다.

허니팟, 중요한 기술이지만 그 만큼 많은 단점 존재해

허니팟은 사이버 공격 탐지, 예방과 대응에 중요한 기술인 것은 분명하나 단점도 존재한다. 첫째로 구축의 어려움이다. 허니넷 같이 일정 규모의 허니팟 집합을 구성하기까지 많은 시간과 자원의 소모가 필요하다. 또한, 실제 시스템과 동일한 환경을 구축하기 위해서는 비용도 만만치 않게 들어간다. 구축 규모에 따라 많은 네트워크 장비와 서버 장비가 필요하며 고액의 라이선스 비용도 지불해야 하는 상황도 감수해야 한다.

두 번째로 허니팟은 공격자와 깊은 상호작용이 어렵다는 점이다. 최근의 악성코드는 허니팟을 탐지하기도 하고, 허니팟 자체를 속이기 위해 행동을 변경하는 다형성 악성코드도 존재한다. 하지만, 허니팟은 공격자를 유인한 후에도 그들이 계속해서 실제 시스템에 있다고 착각하게 만드는 능력이 부족해 최근의 악성코드 대응에는 미흡한 부분이 있다.

마지막으로 허니팟 자체가 공격자에게 이용당해 다른 내부 시스템들까지 위험에 처할 수 있는 가능성도 존재한다. 허니팟 시스템이 장악되면 이 시스템이 거점이 돼 다른 시스템으로 공격자가 이동할 수 있는 빌미를 제공하게 된다. 이러한 단점들로 인해 허니팟은 악성코드를 분석하고 연구하기 위한 수동적 용도로 많이 사용됐다.

공격자를 단계별로 차단하는 ‘사이버 킬 체인’

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.