2020-10-25 08:25 (일)
[BAS 연재②] 해커들의 공격은 어떻게 이루어지는가
상태바
[BAS 연재②] 해커들의 공격은 어떻게 이루어지는가
  • 길민권 기자
  • 승인 2020.03.18 14:59
이 기사를 공유합니다

사이버 킬체인 흐름 따라 공격 시뮬레이션 자동화 할 수 있다면…

내부와 외부의 보안 위협에 대응하기 위해 기업들은 보안팀을 구축하고 수십종의 보안솔루션을 도입하고 보안관제, 보안컨설팅 등 다양한 정보보호와 관련 투자를 매년 해 오고 있다. 하지만 과연 구축된 보안솔루션이 제대로 작동하고 있는지, 실제로 현재 우리 조직의 보안 프로세스로 해커의 공격을 막을 수 있는지, 기존 솔루션과 조직의 보안 프로세스를 검증하고 개선하려면 어떻게 해야 하는지 즉 궁극적으로 우리 회사의 보안체계가 얼마나 잘 작동하는지 한눈에 파악할 필요성이 대두되고 있는 시점이다. 글로벌 기업들은 이 부분에 대해 적극적인 투자를 아끼지 않고 있다. 황석훈 타이거팀 대표는 이번 'BAS 연재'를 통해 정보보호의 방향성을 독자들과 함께 고민해 보고자 한다. (편집자 주)

◇연재 순서
1. 내·외부 위협에 대해서 얼마나 이해하고 있는가
2. 해커들의 공격은 어떻게 이루어지는가
3. Cyber-KillChain과 ATT&CK
4. BAS를 어떻게 업무에 활용할 것인가
5. 취약점 관리 얼마나 가능한가

해커나 악의적인 사용자로부터 자산을 안전하게 보호하기 위해서 가장 먼저 해야 할 것은 실제 공격이 어떤 절차나 흐름을 가지고 어떤 기술을 사용해서 이루어지는지를 이해해야 한다. 이러한 이해 없이 솔루션을 도입하고 구축한다면 적절한 솔루션을 도입하는데 실패할 수 있고 그 위치나 구성이 적절하지 못할 수도 있다.

해커들이 사용하는 공격 기술은 너무도 다양한 범주를 가지고 있다. 시스템적인 부분, 네트워크적인 부분, 데이터베이스와 웹 등 공격 대상으로 범주 구분이 가능하고 록히드마틴에서 정의한 사이버 킬체인(Cyber Kill-Chain) 처럼 공격의 흐름 기준으로 단계를 나누는 방법도 있다. 그 외에도 CISCO 모델, Dell SecureWorks 모델, Verdasys 모델 등이 있다.

필자 사견으로는 지금까지 나왔던 여러 분류중 사이버 킬체인이 가장 적절한 분류라고 생각한다. 이는 차후 새로운 기술이 나와도 흐름에 접목시키기가 쉬워 범용성과 체계성이 뛰어나기 때문이다.

‘사이버킬체인’은 공격의 흐름을 7단계로 분류하고 있다.

공격하고자 하는 목표가 정해지면 이에 대한 조사를 수행하고, 조사 결과에 따른 무기를 만들게 된다. 무기라 함은 통상적으로 볼 때 익스플로잇 코드나 악성코드를 실행하는 것이 일반적인 내용이다. 그리고 작성된 무기를 내부에 여러 방법을 동원해 전달하고 실행시 악성코드를 설치하고 외부에서 지속적 명령을 통해 네트워크를 점차 장악해 가면서 중요 정보를 외부로 유출시킨다는 흐름이다. 보다 자세한 내용은 다음편에서 다루도록 하겠다.

하지만 이 흐름에는 단계별로 사용된 실제 해킹 기술에 대한 설명이 부족하다. 다행히 미국에서 CVE를 관리하고 있는 MITRE(마이터)에서 해커들이 실제로 사용하는 단위 기술들을 분석해 12개의 전술그룹에 총 244개(중복제외 개수이며 중복포함 314개 항목임)의 세부 항목으로 구성된 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) 모델을 발표했다.

이는 최근까지 업데이트되고 있으며 클라우드 관련 공격 기술도 다수 포함되었다. 그 외로 PRE-ATT&CK와 MOBILE, ICS버전도 추가되었다. PRE-ATT&CK는 실제 네트워크 접근을 시작으로 해킹을 수행하기 전단계까지의 내용들을 기반으로 한다. 그리고 MOBILE은 모바일에 대한 해킹 기술이다. ICS(Industrial Control Systems)는 산업 제어시스템에 대한 공격 기술을 설명하고 있다. 이에 대한 세부 설명도 다음편에서 하도록 하겠다.

사이버 킬체인의 7단계는 MITRE에서 Pre-ATT&CK와 ATT&CK 모델과 맵핑 된다. 따라서 사이버 킬체인의 절차에 따라 공격의 흐름을 가지는데 실제 사용하는 세부 단위 기술은 ATT&CK에서 정의한 기술들을 이용한다. 개인적으로 ATT&CK모델은 지금까지 알려진 거의 모든 해킹 기술을 체계적으로 다루고 있다고 생각한다.

따라서 자신의 네트워크에 사이버 킬체인 흐름에 따라 ATT&CK 단위 기술을 접목한 시뮬레이션을 할 수 있다면 실제 해커들의 공격에 우리가 어느정도 대응할 수 있는지를 확인할 수 있는 좋은 모델이 될 것이다. 하지만 이러한 작업을 수작업으로 수행하기에는 무척 애로사항이 많을 수 밖에 없다. 관련 자료나 도구, 정보를 수집하기도 쉽지가 않고 너무 방대한 분야라 먼저 학습이 필요하기 때문이다.

이러한 부분을 자동으로 처리해줄 수 있다면 자사의 보안수준을 이해하고 파악하는데 엄청난 도움이 될 것이라고 생각한다. 이를 자동화시킨 솔루션군을 BAS(Breach And Attack Simulations)라고 한다. 이는 1편에서도 언급했지만, 2017년 가트너가 명명한 도메인이다.

BAS 제품군에는 많은 제품이 있으며 제품마다 위의 내용을 구현하는 방식과 내용에 차이가 있다. 또한 MITRE의 내용만을 기준으로 하는 제품도 있지만 그 외에 추가로 다양한 보안 위협(CVE, US-CERT, 다양한 인텔리젼스 내용들)을 반영하는 제품도 있다. 이러한 부분은 제품간의 중요한 경쟁력 요소라고 판단된다. 결국에 얼마나 많은, 얼마나 정확하고 다양한 공격을 시뮬레이션 할 수 있는 지가 가장 중요하기 때문이다.

[글. 황석훈 타이거팀 대표 / h9430@tigerteam.kr]

★정보보안 대표 미디어 데일리시큐!★