11.23
뉴스홈 > 칼럼
[기고] 위협 대응의 우선 순위를 위한 가산화(Scoring)선택과 결정을 위한 위험의 우선순위 대응 및 분석

[컴퓨터월드]

 


   
▲ 이영구 이글루시큐리티 PS팀 과장


빅데이터 위협 분석의 어려움

‘Life is C between B and D.’ 프랑스의 실존주의 철학자 장 폴 사르트르가 남긴 말이다. 여기서 ‘C’는 ‘Choice(선택)’를, ‘B’는 ‘Birth(탄생)’를, ‘D’는 ‘Death(죽음)’를 가리킨다. 우리말로 직역해보자면, ‘인생은 탄생과 죽음 사이의 선택이다.’ 즉, 우리의 삶은 선택의 연속이라는 의미다.

실제로, 우리는 일상생활 속에서 수많은 선택과 결정을 해야만 한다. 예를 들어 어떤 옷을 입을지, 점심 메뉴는 무엇으로 할지, 짜장면과 짬뽕 중 어떤 것을 먹을지 등 여러 가지 선택과 결정의 기로에 서서 항상 고민한다. 그리고 결국 하나를 결정하게 됨으로써 다른 선택을 포기하게 되는데, 이 때 우리가 포기하게 되는 것은 그 선택지 하나뿐 아니라 그로부터 얻을 수 있는 모든 이익이나 효용을 포함한다.

경제학에서는 이러한 선택의 비용을 ‘포기한 다른 선택에 대한 최대 가치’로 측정하고 ‘기회비용’이라 칭하는데, 기회비용이 발생하기 때문에 우리는 우리가 마주한 수많은 선택과 결정들 하나하나에 신중하게 고민하고 또 고민하게 되는 것이다. 이와 같은 맥락에서 보안 담당자들의 선택과 결정은 정보자산의 위협에 대한 탐지 및 분석에 있어 굉장히 중요하게 작용한다.

위협 대응의 핵심은 공격자가 남기는 데이터를 탐지해 그 흔적을 분석하고 그 결과에 따라 대응해나가는 것이다. 그러나 오늘날, 사람들의 데이터 사용량은 기하급수적으로 증가했고 보안 담당자는 어마어마한 데이터 속에서 공격자가 남기는 소량의 데이터를 찾아내어 분석해야 하는 어려움에 직면하게 됐다.

실제 여러 사이버 위협 사례를 살펴보면, 공격자의 공격 방법과 피해를 명확하게 규명할 수 있는 데이터는 매우 적다. 이러한 상황에서 보다 더 많은 양의 데이터, 즉 빅데이터에 대한 분석은 과거에 비해 굉장히 어려워졌으며 앞으로 더욱 더 어려워질 것이 확실시 된다.

많은 양의 데이터 중 위협 정보를 선별해 분석하는 것은 데이터 사용량이 증가함에 따라 더욱 어려운 일이 되고 있다. 데이터 탐지와 분석을 위해서 과거와 다른 형태의 접근법이 요구되는 이유다. 여기에서는 그 방법들에 대해 살펴보고 정보보안의 위협에 대한 효율적인 선택과 결정을 도와주는 ‘가산화(Scoring)’에 대해 알아본다.

위협 인텔리전스를 통한 공격자의 정보 확보 및 공격 행위 예상

과거에는 정보보안 업무를 수행하는데 있어 빅데이터 분석이 필요하지 않았다. 보유하고 있는 정보자산에서 발생되는 정보의 처리만으로도 보안 위협에 충분히 대응할 수 있었기 때문이다. 그러나 앞에서 언급했다시피, 현재는 많은 양의 데이터가 사용되고 있고 실제 서비스를 하고 있는 홈페이지나 각 애플리케이션에서도 기존과는 비교할 수 없을 정도로 많은 사용자들의 접근이 이뤄지고 있다.

많은 사용자들 중에서 누가 위험한 사용자인지 판별하는 가장 빠르고 효과적인 방법은, 현재 해당 기관에 접근한 사용자가 다른 곳에서 사이버 위협 행위나 침해 행위가 있었는지 확인하는 것이다. 이렇게 보안 위협에 대한 정보를 축적하고 공유하는 것을 위협 인텔리전스(Threat Intelligence)라고 말한다.

외부에서 내부 자산에 대한 통신 행위가 있거나 내부 사용자가 유해 정보(악성코드 유포 사이트나 악성코드 유포 공격지)로 접근 시, 접근자가 과거에 진행했었던 행위와 악성코드 유포 여부, 유포한 악성코드의 종류 등의 정보가 공유돼 있다면 그 기록을 통해 접근자의 정보를 조회하고 향후 발생 가능한 상황을 미리 예측해 대응할 수 있다. 즉, 위협 인텔리전스를 통해 많은 양의 데이터 중 유해 정보가 실존하는지를 확인해 보다 쉽게 공격자를 판별한다면 신속한 대응이 가능해지는 것이다.


   
▲ <그림 1> 위협 인텔리전스를 통한 예방활동 (출처: 이글루시큐리티)


로그 추적을 통한 공격 경로 확인

그러나 유입되는 사용자 중 공격 이력이 있는 사용자의 접근이 있었다는 것만으로는 100% 공격이 발생할 것이라는 보장과 위협 상황이 발생했다는 판단의 기준으로 여기기에 부족하다. 공격자와 동일한 IP정보를 보유하고 있다 해도 공격자 IP를 사용하는 정상적인 사용자 또한 존재할 가능성이 있으며 공격이 있지 않은 IP로 위장하거나 새로운 IP를 사용하는 공격자가 나타날 수 있기 때문이다.

공격자를 제대로 판별해내기 위해서는 공격자로 의심되는 사용자가 정보자산에 흔적을 남겼는지, 남겼다면 어떠한 흔적을 남겼는지에 대한 분석이 이뤄져야 한다. 로그 추적을 통해 공격자의 흔적을 추적해 그 행위의 흐름을 파악한다면, 향후에 동일한 형태의 공격이 발생할 경우 펼쳐질 상황에 대해 미리 예상하고 신속하게 대응할 수 있다.


   
▲ <그림 2> 로그 추적 분석 (출처: 이글루시큐리티)

현재 기업 및 기관들은 날로 증가하는 보안 위협에 대응하기 위해 여러 솔루션을 도입해 사용하고 있지만, 로그 추적을 보다 수월하게 하기 위해서는 SIEM솔루션을 활용하는 것이 가장 효율적이다.

접근 이력과 비인가된 접근에 대한 차단을 담당하는 방화벽, 네트워크상에서 공격에 가까운 형태가 발생할 경우 해당 위협 행위를 차단하는 IPS, 다량의 접근을 통해 정상적인 서비스를 방해하는 행위를 차단하는 DDoS 차단 솔루션 등 다수의 보안 솔루션이 존재하지만 실제 공격이 발생할 경우 각 솔루션에서 일일이 확인하는 것은 어려울 뿐 아니라 각 공격 간 인과관계 및 상관관계의 추적 분석을 통해 공격이 어떻게 진행되고 어떤 행위가 발생되는지를 종합적으로 확인하기 위해서는 개별 솔루션이 아닌 각 솔루션에서 발생되는 상황을 기록하고 분석하는 SIEM이 제격이기 때문이다.


탐지 행위의 위험도를 통한 우선순위 대응

로그 추적 후, 추가적으로 필요한 것은 바로 공격자로 의심되는 사용자가 어떠한 행위를 했는지 탐지하고 또 그것의 위험성이 얼마나 되는가에 대한 분석이다. 공격자의 의도는 매우 다양하다. 실제 공격 이력이 있는 사용자가 접근하더라도 단순 정보 수집이나 특별한 의도가 없는 경우도 있기 때문에 방어하는 입장에서는 접근했다는 사실만으로 공격자의 의도에 대해 쉽게 판단할 수 없다. 따라서 공격자가 어떠한 행위를 했는지 분석하는 건 굉장히 중요하다.

또한 공격자의 행위를 분석 할 때 우선순위란 게 존재한다. 예를 들어 TCP접속을 많이 한 행위에서 탐지되는 TCP Ack Flooding 탐지와 Apache Struts의 취약점을 이용한 공격 탐지를 비교할 경우, TCP Ack Flooding은 정상적인 상황에서도 TCP의 연결량이 많을 경우에 탐지될 가능성이 높다는 점을 고려할 때 오탐의 확률이 있다.

또한 TCP Ack가 많다는 이유만으로는 DDoS 공격이 아닌 다음에야 Apache Struts 공격에 비해 자산에 미치는 영향도가 상대적으로 낮다. 따라서 Apache Struts 공격 대응을 TCP Ack보다 우선순위로 놓고 대응하는 게 일반적이다.

그러나 각 기관의 구성이나 성격에 따라 우선순위와 대응 정도가 달라질 수 있다. 위와 같이 탐지 행위의 위험도를 기준으로 위험도가 높은 공격 형태에 대한 분석을 진행할 경우, 공격이 성공할 시 위험한 순으로 대응을 진행해 사이버위협 대응에 대한 효율성을 확보할 수 있다. 또한 더 나아가 공격자가 몇 번의 공격을 진행했고 얼마나 반복적으로 접근했는지에 대한 파악이 병행된다면 공격자의 의도와 공격의 유효성 여부를 확인해 공격자의 실제 공격 여부를 확인하고 차단하거나 이에 대해 적절히 대응할 수 있을 것이다.

시간 흐름 분석을 통한 행위 분석

위험도에 대한 분석이 진행됨과 동시에 공격자가 언제부터 접근했고 공격의 시간이 얼마나 됐는지에 대한 시계열 분석 역시 요구된다. 최근 공격자들은 과거와 다르게 짧은 시간에 공격을 감행하는 것이 아니라, 정보 수집, 내부 침투, 내부 정찰, 공격 수행, 시스템 파괴 또는 백도어 설치 순으로 장기간에 걸쳐 공격을 시도한다. 그렇기 때문에 공격자가 언제부터 정보 수집 및 정찰을 수행했는지, 어떤 시점에 공격을 중점적으로 수행했는지 등 시간에 따른 분석을 통해 그의 의도와 공격 진행 상황을 파악해볼 수 있다.


   
▲ <그림3> 시간의 흐름에 따른 공격자 정보 분석 (출처: 이글루시큐리티)


가산화를 통한 우선순위 위협 대응

앞서 언급했던 다양한 분석 방법들은 사이버 위협에 대한 효과적인 대응을 가능하게 한다. 그리고 이러한 분석 행동이나 과정을 정형화하고 점수화한 것이 바로 가산화이다. 가산화는 위협정보의 분석 및 검증 과정을 점수화해 위협 지수가 높은 사용자를 보안 담당자에게 표현하고 이에 대한 정보를 직관적으로 확인할 수 있도록 하는 기능으로서 기존의 SIEM에서 생성했던 특정 문자열이나 탐지 조건을 통한 시그니처로 구성돼 있는 경보와는 다른 형태의 위협 정보를 알려준다.

기존의 경보는 SIEM에서 로그를 수집하고 각 보안 장비 및 정보자산에서 발생되는 특정 문자열 값이나 조건을 통해 보안 담당자에게 보안상황의 위협이나 서비스 상태의 이상 여부를 제공하는 것이었지만 사용되는 데이터량이 증가하게 되면서 경보와 오탐의 수가 더불어 늘게 됐고, 보안 분석가나 관제요원이 일일이 분석할 수 없는 어려움을 가지게 됐다. 이를 해결하기 위해 국내외 여러 보안 기업들은 머신 러닝과 인공지능을 활용해 많은 양의 데이터 중 위협적인 데이터를 추출해내기 위한 연구를 지속하고 있으나 안타깝게도 아직까지 괄목할만한 성과는 없는 상황이다.

이러한 상황 속에서 위의 네 가지 분석 과정을 자동화해 보안 담당자에게 정보를 제공한다면 기존의 SIEM 경보와는 다른 형태로 위협 상황에 대한 인지를 전달할 수 있다.


   
▲ <그림4> 가산화 기능을 통한 공격자 정보 (출처: 이글루시큐리티)

<그림 4>에서 확인할 수 있듯이, 위협 행위가 증가할수록 리스크의 스코어 점수가 증가하고 증가한 데이터를 보안 담당자는 한 번에 확인할 수 있다. 여러 분석 방법을 통해 개별적으로 파악할 필요 없이 표현된 공격자 정보를 활용해 우선순위를 매기고, 이를 기반으로 분석을 진행함으로써 발생한 위협에 대한 대응 과정을 비약적으로 축소할 수 있는 것이다.

하지만 이러한 가산화 기능이 기존의 경보를 대체하는 것은 아니라는 걸 잊지 말아야 한다. 특정 조건에 대한 탐지를 위한 경보를 통해 직관적인 위협 정보를 확인하는 것과 동시에 위에 나열했던 여러 분석 방법으로 분석을 진행할 경우 많은 시간이 소요되기 때문에 경보와 가산화 기능을 더불어 활용해 보안 분석 및 대응에 소요되는 시간을 줄이고 효율성을 확보하는 것이 가장 바람직하다.


   
▲ <그림 5> 기존 경보를 통한 대응 시간과 가산화 기능을 통한 대응 시간 (출처: 이글루시큐리티)

우선순위에 따라 효과적인 대응이 필요

사이버 공격은 날로 지능화되고 있으며 진화하고 있다. 공격자는 개인이 아닌 그룹의 형태로 이뤄져 공격 대상을 분명히 하고 특정 목적을 달성하려 한다. 또 320 전산망 마비 사건을 비롯해 매년 발생하는 개인정보유출사고, 최근 전세계를 강타했던 워너크라이 랜섬웨어 등 오늘날 발생되는 사이버 공격은 과거에 비해 그 규모나 파장이 전혀 다르다. 그럼에도 불구하고 도래한 빅데이터 시대와 방대한 정보의 호수 속에서 보안 담당자는 의미 있는 데이터를 신속하고 정확하게 찾아내야 한다.

보안 담당자는 앞서 소개한 ‘위협 인텔리전스의 활용’, ‘로그 추적 분석’ 등의 분석 및 대응 기법과 이를 효과적으로 진행할 수 있는 가산화를 적극 활용할 필요가 있다. 여기에 조금 더 덧붙여 <그림 6>과 같은 형태의 시각화 기능을 함께 사용한다면 위협 정보에 대한 상세한 분석과 유기적인 대응이 가능할 것이다.

   
▲ <그림 6> 사이버 위협 시각화 정보를 통한 위협 확인 (출처: 이글루시큐리티)

그 뿐만 아니라 향후 가산화 기능에 AI나 머신 러닝 기술을 적용해 발전시킨다면 보안 위협에 대해 보다 선제적인 대응이 가능해질 것이며 여러 인과관계 파악을 통해 공격자의 프로파일링까지 기대해볼 수 있다.


   
▲ <그림 7> 가산화와 AI를 통한 프로파일링 예시 (출처: 이글루시큐리티)

결국, 보안 담당자가 직접 수행하는 데이터 분석 업무는 점차 줄어들지만 그 역할은 변함없이, 어쩌면 지금보다 더 중요해질 것으로 보인다. 계속해서 복잡해지는 보안 환경 속에서 주어진 분석 자료를 토대로 보안에 대한 상황을 신속하게 인지하고 올바른 선택을 하기 위한 의사 결정은 그 누구도 아닌 바로 보안 담당자의 몫이기 때문이다.

인기기사 순위
153-023) 서울시 금천구 가산동 327-32 대륭테크노타운 12차 13층 1314호 (주)ITMG
TEL:02-2029-7200  FAX:02-2029-7220  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:팽동현  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김용석