공격자 속이는 보안 기술 사이버 디셉션, 보안시장 새로운 대안으로 주목

[CCTV뉴스=이승윤 기자] 현재 보안기업들은 해커들의 사이버 공격을 탐지하고 막아 내기 위해 여러가지 형태의 보안 제품을 개발하고 있다. 하지만 빠르게 진화하는 공격 수법으로 인해 공격자를 발견하고 차단하는 일이 어려워 보안기업들은 어떻게 하면 공격자를 효율적으로 막을 수 있을지에 대한 연구가 끊임없이 진행하고 있다. 그 중 하나의 대안으로 사이버 디셉션 기술이 부상하고 있다.

글: 쿤텍 보안기술팀 김지환 책임 연구원

공격자를 유인하는 덫 허니팟

사이버 디셉션 기술은 허니팟의 변화된 형태로 이를 정확히 이해하기 위해서는 먼저 허니팟이 무엇인지 알아야 할 필요가 있다. 허니팟이란 인터넷상에서 다른 사람의 시스템에 침투하려 하는 공격자들을 유인해 걸려들게 하는 일종의 덫이며, 이러한 허니팟들이 여러개 모여 하나의 허니넷을 생성하게 된다. 인터넷이 처음 발달하기 시작하던 시기의 보안장비들은 공격자를 막는 역할만을 담당했다. 이러한 보안 장비들은 공격자의 행위에 대한 자세한 정보는 알 수 없고 오직 공격자를 차단하는 역할에만 충실했다. 하지만, 허니팟은 공격자들이 공격을 수행하기 위해 어떤 행위들을 하는지 파악할 수 있게 해줬다.

허니팟에 대한 개념이 처음 등장한 것은 1991년 클리포드 스톨(Clifford Stoll)이 쓴 “The Cuckoos Egg” 라는 책을 통해서이다. 저자는 자신이 관리하는 시스템에 해커가 침투한 것을 알게 된 후 해커를 찾기 위한 노력을 기울였다. 오늘날의 허니팟 개념을 적용해 해커가 관심을 끌 만한 자료를 일부러 놓아 유인하는 방법을 사용했고, 결국은 그 해커를 잡게 되었다는 일화를 담고 있다.

즉 허니팟은 자원에 대한 무단 사용 또는 불법 침입을 용이하게 하는 일종의 정보 시스템 자원이라고 이해할 수 있다. 공격자는 공격에 취약하게 구성된 시스템 자원에 접근하게 돼 실제 시스템에 침입한 것이라 착각하게 된다. 허니팟은 이를 통해 공격자를 추적하고 공격자에 대한 정보를 수집할 수 있게 된다.

허니팟, 중요한 기술이지만 그 만큼 많은 단점 존재해

허니팟은 사이버 공격 탐지, 예방과 대응에 중요한 기술인 것은 분명하나 단점도 존재한다. 첫째로 구축의 어려움이다. 허니넷 같이 일정 규모의 허니팟 집합을 구성하기까지 많은 시간과 자원의 소모가 필요하다. 또한, 실제 시스템과 동일한 환경을 구축하기 위해서는 비용도 만만치 않게 들어간다. 구축 규모에 따라 많은 네트워크 장비와 서버 장비가 필요하며 고액의 라이선스 비용도 지불해야 하는 상황도 감수해야 한다.

두 번째로 허니팟은 공격자와 깊은 상호작용이 어렵다는 점이다. 최근의 악성코드는 허니팟을 탐지하기도 하고, 허니팟 자체를 속이기 위해 행동을 변경하는 다형성 악성코드도 존재한다. 하지만, 허니팟은 공격자를 유인한 후에도 그들이 계속해서 실제 시스템에 있다고 착각하게 만드는 능력이 부족해 최근의 악성코드 대응에는 미흡한 부분이 있다.

마지막으로 허니팟 자체가 공격자에게 이용당해 다른 내부 시스템들까지 위험에 처할 수 있는 가능성도 존재한다. 허니팟 시스템이 장악되면 이 시스템이 거점이 돼 다른 시스템으로 공격자가 이동할 수 있는 빌미를 제공하게 된다. 이러한 단점들로 인해 허니팟은 악성코드를 분석하고 연구하기 위한 수동적 용도로 많이 사용됐다.

공격자를 단계별로 차단하는 ‘사이버 킬 체인’

최근에는 이러한 단점들을 극복하기 위해 사이버 디셉션(속임) 기술이 많이 연구되고 있다. 그러면 사이버 디셉션이란 무엇일까? 이것은 새로운 보안 기술의 패러다임일까 아니면 기존 허니팟의 재사용 개념일까?

이 기술의 등장 배경을 이해하기 위해서는 먼저 최근 공격자들의 공격 방법에 대해 먼저 이해하는 것이 좋다. 이전의 해커들이 자신의 실력을 과시하기 위해 불특정 다수의 시스템에 공격을 시도했다면, 지금의 해커들은 특정 자산을 노리거나 금전적인 이득을 취하기 위해 해킹을 시도하고 있다. 이러한 목적을 달성하기 위해 하나의 대상 목표를 정한 후 내부로 침입해 목적을 달성할 때까지 여러 보안 위협을 가해 지속적으로 공격을 한다는 특징을 가지고 있다. 이러한 공격 방법을 APT 공격이라 한다.

APT 공격은 여러 단계를 걸쳐서 수행되며, 해커들은 공격을 성공시키기 위해 피해자가 눈치 채지 못하도록 매우 신중하고 조심스럽게 오랜 기간에 걸쳐 지속적인 사이버 공격을 수행한다. APT 공격은 기본적으로 사이버공격자가 공격 대상의 네트워크에 초기 침투해 거점을 확보해두고 내부 정찰을 수행한 뒤 공격 목표에도달하기 위해 권한을 상승하고 원격에서 명령을 내린다. 이 후 사이버 공격자는 원하는 정보를 유출하거나, 시스템 파괴 같은 임무를 수행한 후에는 흔적을 모두 지우고 사라지는 형태로 발생하고 있다.

이러한 일련의 공격 과정을 단계별로 나누고 각 단계에서 공격자를 차단하는 개념을 ‘사이버 킬 체인’ 이라고 부른다. 이 용어를 처음 사용한 것은 미국군수업체인 록히드마틴으로 ①정찰(Reconnaissance) ②공격코드 제작(Weaponization) ③전달(Delivery) ④취약점 공격(Exploitation) ⑤설치(Installation) ⑥명령과 제어(Command and Control) ⑦목표시스템 장악(Actions on objectives)의 7가지 단계로 이를 설명하고 있다. 각 단계에서 공격이 심화되기 전에 미리 구성요소를 파악해 공격 단계 중 일부를 무력화 또는 지연시켜 공격 효율을 낮추고 피해를 최소화하는 것이 사이버 킬 체인의 주요 개념이다.

이 모델은 최근의 사이버 공격을 잘 분석하고 계층화해 IT 보안 분야에 가장 널리 알려진 모델 중 하나이다. 하지만 문제는 현재의 보안 장비들로는 사이버 킬 체인에서 제시하는 각각의 단계에서 방어를 하는데 한계가 존재한다는 점이다.

폭발적으로 증가하고 있는 악성코드

현재 대부분의 보안 장비들은 시그니처 또는 패턴 매칭 방식으로 공격자에 대응하고 있다. 이러한 방어 기법은 공격 행위의 고유 부분을 검사하므로 오탐과 미탐을 최소화하는 정확한 진단과 빠른속도라는 장점을 가지고 있지만, 기존에 알려지지 않은 새로운 형태의 악성코드에 대해서는 대응하지 못하는 단점이 존재한다.

문제는 새로운 악성코드들이 너무 많이 생겨나고 있다는 점이다. 카스퍼스키랩의 발표에 따르면 2018년 신종 악성코드는 일평균 34만 6000개에 이른다. 결국 보안 업체들이 처리하는 시그니처의 수가 공격자들이 새로 생성하는 악성코드의 개수를 따라가기 힘들고 점차 격차가 더 벌어지고 있는 실정이다.

결국 오늘날의 사이버 보안은 공격자가 타깃을 정해 지속적으로 공격을 시도하면 결국 성공할 수밖에 없기 때문에 앞으로의 보안은 공격자가 내부 네트워크에 침입을 하느냐 마느냐가 문제가 아닌 이미 침입한 공격자를 어떻게 발견하고 조치를 취할 것인가에 대해 고민이 필요하다. 내부에 침입한 공격자를 조기에 발견하고처리하기 위한 유용한 방법 중 하나가 바로 앞에서 언급한 사이버 디셉션을 활용하는 것이다.

사이버 디셉션, 현재 보안위협 대응할 수 있는 해결책으로 급부상

사이버 디셉션은 허니팟처럼 단순히 공격자를 속일 만한 시스템을 만드는 것이 아니다. 이것이 디셉션과 허니팟과의 차이점이다. 사이버 디셉션의 개념에 허니팟이 속해 있다고 말할 수 있다. 오늘날 허니팟이 광범위하게 사용되지 않는 이유 중 하나는 대규모 사용에 효율적이지 않다는 점 때문이다.

허니팟은 구축과 유지보수가 어렵고 공격자가 쉽게 이를 탐지할 수 있는 것으로 여겨져 왔다. 하지만 가상화 기술과 오케스트레이션 기술이 발전하며 등장한 사이버 디셉션으로 상황은 달라졌다. 조직 네트워크 안에 원하는 만큼의 트랩 장비들을 자동으로 빠르게 설치가 가능하게 되었으며, 이러한 트랩들을 중앙 관리 형식으로 손쉽게 관리가 가능해졌다.

또한, 허니팟과는 달리 사이버 디셉션은 공격자가 실제 장비에 침투한 것처럼 느끼며 그 안에서 공격자들이 하는 일련의 행위들은 모두 기록되고 중앙관리 서버에 보고되기 때문에 공격자가 배포하려는 악성파일들을 격리시키거나, 공격 근원지와의 연결을 차단시킬 수 있으며 공격자들의 내부 움직임을 시각화를 통해 빠르게 판별할 수 있다

사이버 디셉션 기술은 기존의 보안 장비들과 연동할 수 있는 요소까지 갖추어 놓고 있다. 즉 사이버 디셉션 기술은 하나의 사이버 보안 영역으로서 공격자를 탐지하고 처리할 수 있는 기틀을 마련한 것으로 볼 수 있다.

디셉션 기술, 내부에 침입한 공격자 빠른 탐지와 탐색 가능

사이버 디셉션 기술은 내부에 침입한 공격자를 매우 빠른 속도로 발견할 수 있다. 사이버 디셉션 기술을 이용해 내부 자산과 똑 같은 트랩들을 설치해 놓으면 내부에 침입한 공격자가 트랩을 건드리는 순간 알람이 뜨고 바로 악성 행위로 간주하기 때문이다. 이는 오늘날 보안 장비들의 수많은 로그와 알람 가운데에서 보안담당자들이 분석을 통해 의미있는 악성 행위를 찾아내는 것과는 차원이 다른 것으로, 특별한 보안 지식이 없는 사람도 매우 간결하게 공격자를 판별할 수 있으며 오탐이 거의 없다는 것이 매우 큰 장점이라 할 수 있다.

또한, 이 기술은 내부 위협자를 찾아내는 데에도 효과적이다. 2015년 IBM의 조사에 따르면 전체 데이터 유출의 60%가 내부자로 인해 발생했다고 한다. 이중 75%는 악의로 인한 것이었고, 25%가 실수로 인한 것이었다. 즉 이미 특정 권한을 가지고 있는 내부자는 내부 데이터를 더 쉽게 유출할 수 있기 때문에 외부 공격자보다 더 위협적인 존재라고 볼 수 있다. 사이버 디셉션 기술은 조직의 네트워크 상단에서 외부에서 침투해 들어오는 것을 감시하는 것이 아니라, 조직 네트워크 안에서의 이상 징후를 탐지하는 것이기 때문에 조직 내부에서 악성 행위를 하는 사람도 손쉽게 탐지할 수 있다.

사이버 디셉션, 향후 보안시장에 한 축을 담당할 것으로 예상돼

최근 등장하고 있는 보안 제품들의 동향을 살펴보면 네트워크 경계단에서 외부의 공격을 차단하기 보다는 네트워크 내부에서 일어나는 행위 분석이나 로그 분석을 통해 정상행위에서 벗어나는 행위를 탐지하는 솔루션이 많이 출시되고 있으며, 앞으로도 이런 형태의 보안 솔루션이 지속적으로 출시될 것으로 예측된다.

이에 현재 보안시장에서는 AI 기반 머신 러닝 기술을 도입해 이러한 행위를 찾아내는 보안 솔루션들이 많이 등장하고 있다. 하지만, AI 기반 머신 러닝 기술은 아직 초기단계이기 때문에 효율성이 아직 입증되지 않았으며, 이미 이 기술을 도입한 고객들은 너무 많은 이벤트들이 발생해 이것을 분석하는데 시간이 오래 걸린다는 고충을 토로하고 있다. 그렇기 때문에 정보가 이미 유출된 후 사고가 일어난 것을 인지하고 조사하게 되는 경우도 발생할 수 있다. 만약 이러한 최신 기법을 도입해도 공격자를 방어하는데 큰 효과가 발휘되지 않으면 공격을 방어하는 보안업계 입장에서는 또다른 대응책을 찾아야 하는 고민거리를 안게 된다.

이런 관점에서 많은 이벤트를 발생시키지 않고도 짧은 시간에 공격자를 식별할 수 있으며 오탐이 제로에 가까운 사이버 디셉션 기술이 향후 보안 시장을 주도해 나갈 가능성이 매우 높아지고 있다.