지능형 지속 위협과 엔드포인트 보호의 필요성

안녕하세요!

지니노트 3기로 '지니안 Insights'에 대해 포스팅을 하게 된 기술연구소 유지니입니다.

앞으로 관련 내용에 대하여 이해하기 쉽게 풀어나가 보겠습니다.

많은 관심을 가져주시면 감사하겠습니다.

이번 포스팅에서는 '지능형 지속 위협과 엔드포인트 보호의 필요성'에 대하여 설명드리겠습니다.

우리 조직은 안전하게 보호되고 있을까?

그림 1. 끊임없이 발생하는 침해 사고

자신의 조직 내 정보시스템이 안전하다고 느끼는 정보보호 담당자가 얼마나 될까요?

비록 다양한 보안 솔루션을 도입하는 등 정보보호 투자에 적극적인 기업이라도 스스로 안전하다고 느끼는 기업은 많지 않습니다. 우리 주변에서 대형 개인정보 유출 등 끊임없이 침해 사고가 발생하기 때문입니다.

왜 불안한가?

침해 사고로 인해 언론에 알려진 기업들은 대개 ISO 27001 등 정보보호관리체계 인증을 받은 곳이 많습니다.

또는 기업의 규모에 걸맞게 정보보호 관리가 잘 되어 있을 것으로 생각되는 회사들입니다.

그림 2. 정보보호체계 인증마크

하물며 언론에 알려지지 않은 침해사고는 얼마나 많이 있을까요? 침해사고 조차 인지하지 못한 회사는 더 많을 것입니다. 우리 조직도 예외일 수 없다는 생각에 관리자는 항상 불안합니다.

보안에 투자할수록 불안감은 해소될까?

그래도 여전히 불안하다고 말합니다. 정보보호에 투자하는 금액은 날로 증가하고 있지만 과거와 달리 보호 수준은 그보다 낮은 증가율을 보입니다. 시스템의 복잡도가 낮고 구성이 단순했던 과거에는 컴퓨터 바이러스, 소프트웨어 크래킹 등 공격 기법들이 단순했고 그 종류가 많지 않았습니다. 따라서 보안에 돈을 투자하면 어느 정도 침해를 방지할 수 있었고 보호 수준은 증가했습니다. 하지만 목표가 명확하고 지능화된 공격이 유행하는 오늘날은 사정이 다릅니다.

그림 3. 지능형 지속 위협의 단계 (Gartner)

기업들이 많은 비용을 투자하더라도 그 효과가 증가하지 않는 다양한 원인이 있는데, 위협의 진화 속도는 매우 빠른 반면 대응 기법은 빠르게 진화하지 못하고 있는 것이 그중 하나입니다.

보안을 그렇게 강조를 해도 침해사고가 끊이질 않는 이유입니다. 더 이상 시그니처(Signature) 기반의 백신(Vaccine), 규칙기반의 IDS(Intrusion Detection System), IPS(Intrusion Prevention System) 등 전통적인 방어 기법으로는 끊임없이 진화하는 지능형 지속 위협(Advanced Persistent Threats)에 대응할 수 없습니다.

그러면 앞으로 어떻게 해야 할까요?

위협 변화에 맞는 대응 즉, 엔드포인트 보호가 필요하다!

지능형 지속 위협의 특징과 패턴을 이해하고 그에 걸맞은 탐지 및 대응이 중요합니다. 지능형 지속 위협에서 보호해야 할 중요한 부분 중 하나는 바로 엔드포인트(Endpoint)입니다.

그림 4. 사내망

그림 4를 보면 조직 내부에 다양한 엔드포인트들이 존재합니다. 그리고 조직을 둘러싼 다양한 보안 장비가 있습니다. 그동안 보안 담당자는 방화벽, IDS, IPS 등을 도입하면서 외부에서 들어오는 공격을 감시하거나 방어하는 것에 집중했습니다. 그러나 공격자는 엔드포인트 침투에 집중합니다. 엔드포인트에 침투했다는 것은 이미 사내망에 침투했다는 것이며, 동시에 방화벽, IDS, IPS의 방어 기능은 실패했다는 것을 의미합니다.

그림 5. 사내망에서 이루어지는 엔드포인트 사용자의 행위

직원들은 업무 수행 중 사내망에서 자신의 엔드포인트를 통해 이메일이나 웹페이지를 열람합니다. 공격자들은 이들의 행위를 이용하여 사내망에 있는 엔드포인트에 악성코드를 설치합니다. 가령, 특정 직원에게 정상적으로 보이는 업무협조 메일을 보내면서 악성코드를 첨부할 수 있습니다.

이것은 특정 조직을 공격하겠다고 한 의도를 명확히 한 것이며 지능형 지속 위협의 전형적인 특징입니다. 특정한 목표가 아니라 좀 더 광범위한 타깃을 목표로 한다면 웹사이트에 접근하는 사용자에게 악성코드를 배포할 수 있습니다.

대개 랜섬웨어 배포시 이러한 방식을 많이 사용합니다. 이것은 익스플로잇 킷(Exploit Kit)을 활용한 것으로서 웹브라우저나 플래시, 워드프로세서 등의 취약점을 이용하여 웹사이트에 접근하는 사용자에게 악성코드를 배포하는 방식입니다.

그림 6. C&C서버를 통해 공격자와 연결

엔드포인트에서 악성코드가 실행되면 어떻게 될까요?

만약 이것이 지능형 지속 위협이라면 그림 6에서 볼 수 있는 것처럼 C&C서버로 접속을 수행합니다. 해커가 사내망에 진입할 수 있도록 문을 열어준 것과 같습니다. 공격자는 엔드포인트에 명령을 내려 엔드포인트를 제어하고, 추가적인 정보 유출을 시도합니다.

가령 사내망의 시스템 정보를 수집하거나, 추가 모듈 다운로드 및 로딩, 레지스트리 등록, 프로세스 목록 수집,프로세스 종료 등을 통해 정보 유출을 위한 다양한 준비 작업을 수행합니다.

지능형 지속 위협에서 이와 같은 행위는 은밀히 이루어집니다. 기존의 보안 장비가 탐지하지 않는 수준을 유지한다는 특징이 있습니다.

그림 7. 정보유출

마지막으로 공격자는 원하는 정보를 탈취하거나 파괴 명령을 수행함으로써 공격을 종료합니다. 데이터는 암호화나

압축, 분할, 데이터 마스킹 기법을 통해 내부의 보안 장비가 탐지하지 않도록 유출합니다. 따라서 공격이 종료된 이후에도 오랜 기간 동안 정보 유출 사실을 모르는 경우도 많은 것이 현실입니다.

따라서 관리자는 외부에서 내부로 들어오는 트래픽뿐만 아니라 외부로 나가는 아웃바운드 트래픽에도 관심을 가져야 합니다. 또한 탐지 임계점을 넘지 않는 트래픽에 대한 보다 더 정교한 탐지 룰을 세우는 것이 필요합니다.

진짜 불안한 이유

잊을만하면 대형 정보보호 침해 사고가 언론을 장식합니다.

커다란 이슈가 발생하면 '혹시 우리 회사는 괜찮을까?'하는 의문을 가질 수 있습니다. 자본력이 충분하고 보안솔루션이 잘 갖춰진 대형 기업에서 침해사고가 발생하기 때문에 그런 것이 아닙니다.진짜 불안한 이유는 자신의 조직에 존재하는 수많은 엔드포인트에서 무슨 일이 일어나고 있는지 많은 관리자들이 잘 알지 못하기 때문입니다.

따라서 다음 시간에는 엔드포인트 보호를 위한 탐지와 대응, 그리고 Genian Insights의 역할에 대해서 다뤄보겠습니다.

감사합니다.