2020.12.16

블로그 | 해커 낚는다··· ‘기만 기술’에 새롭게 주목해야 할 시점

Jon Oltsik | CSO
'기만 기술'(deception technology)을 보안 전문가에게 정의해 보라고 하면 허니팟(honeypot)이나 허니넷(honeynet)에 대한 이야기가 나올 가능성이 높다. 틀린 말은 아니지만 옛날 이야기다. 기만 기술이 복잡하며, 용도가 한정되어 있다는 평가도 마찬가지이다. 

최신 기만 기술은 분석과 자동화를 사용해 과거의 복잡성 문제를 극복하고 있다. 일단 설치된 기만 기술은 네트워크를 훑어보고 자산 현황을 파악한다. 그런 다음에는 서버, 파일, 네트워크 세그먼트, 가치 높은 서비스(예: 액티브 디렉터리)를 모방하는 다양한 종류의 기만 미끼/유인책을 추천한다. 노드가 약 1,000개 있던 네트워크에 갑자기 1만 개가 넘는 노드가 있는 것처럼 보이게 되는 식이다. 그러면 사이버 적들은 네트워크 정찰과 내부 이동이 훨씬 더 어려워지게 된다.



확대되는 용도
허니팟/허니넷은 주로 학자와 연구자들이 위협 분석에 사용했었다. 반면, 최신 기만 기술은 위협 감지 및 대응에 효과적으로 사용되고 있다. 기만 기술을 이용하여 해당 네트워크 전반에 걸쳐 미끼 계정(예: 권한 있는 사용자), 자산(예: IoT/OT 장치) 또는 데이터(예: 민감한 데이터 보관소)를 만들어 두는 식이다. 

악당이 사이버공격을 실행하거나 데이터를 빼내려고 뒤지고 다니다가 기만 미끼에 손을 대면 걸려들게 된다. 정당한 사용자라면 이러한 미끼의 존재 사실조차 모르기 때문에 누군가 미끼에 접근했다는 것은 사이버공격이 진행 중이라고 밖에 볼 수 없다.

기만 기술의 사용은 성숙도 곡선을 따를 수도 있다. 먼저 기본적인 미끼로 미숙한 적들을 속이는 것으로 시작한 다음, 좀더 고급 용도인 사고 대응, 위협 지능 분석, 위협 사냥 등에 나서는 식이다.

앞으로 기만 기술이 더욱 똑똑하고 역동적으로 변할 것이며 따라서 가치가 더욱 높아질 가능성이 크다. 현대 기만 기술 분석 엔진은 다음 항목을 기준으로 지속적인 감시와 변경을 진행한다.

• 내부 네트워크만이 아닌 전체 공격 표면. 따라서, 클라우드 내부와 써드파티 웹사이트 상, 소스 코드 보관소 내부 등등에 있는 기업 자산 보호에 도움이 된다. 

• 위협 지능. 기만 기술은 공격과 악용에 대해 인지한 후 새로운 유형의 미끼나 수정된 미끼를 대책으로 추천하게 된다.

• 보안 테스트. 침투 테스트 실행자나 레드 팀원이 보안 취약점을 발견하면 기만 기술이 미끼를 보완 통제 장치로 추천하게 된다. 

애티보 네트웍스(Attivo Networks), 일루시브 네트웍스(Illusive Networks), 트랩엑스(TrapX)와 같은 주요 기만 기술 업체들은 이러한 기능을 위협 공격 방어나 중요 OT 시스템 보호와 같은 용도로 활용할 예정이다. 

2021년의 기만 기술
기만 기술은 이러한 요소를 바탕으로 인기가 더욱 높아질 가능성이 높다. 필자는 2021년에는 다음과 같은 동향 덕분에 주류 기술로 자리잡을 관측한다.

1. 마이터 실드(MITRE Shield). 마이터 홈페이지에 따르면 실드는 ‘적극적인 방어와 적의 교전에 대해 알게 되는 내용을 캡처하여 정리하기 위해 마이터에서 개발 중인 활성 지식 기반’이라고 정의되어 있다. 또한, 적극적인 방어란 ‘적에게 접전 지역이나 진지를 내주지 않기 위해 제한된 공격이나 역습을 이용하는 것’이라고 정의되어 있다. 여러 조직에서 마이터 어택(MITRE ATT&CK)을 도입 중이다. 따라서 보완책으로 실드를 선택할 가능성이 높다. 기만 기술은 실드 내에 여러 가지 적극적인 방어 용도가 있다.

2. SOC 현대화. 2021년에는 SOC 현대화 활동이 많이 이루어질 것이다. 여러 조직에서 운영 규모 확대와 자동화, 도구 통합(예를 들면 SOAPA 아키텍처 내부로의 통합), 공격 표면에 대한 가시성 개선, 고급 분석 기능 활용, 자동 보안 테스트 도구 실행 등에 나설 것이기 때문이다. 이러한 변화의 와중에 적극적인 감지 역할과 조정 가능한 보안 제어 역할을 하는 기만 기술은 매우 적합하다. 

3. 랜섬웨어 대책. 교육계, 의료계와 같은 업계와 주/지방 정부는 랜섬웨어와의 싸움에서 지원이 절실하다. 기만 기술이 만병통치약은 아니지만 서버 메시지 차단(SMB)와 같은 프로토콜 전반에 걸쳐 적의 내부 이동을 탐지함으로써 피해를 최소화할 수 있다. 기타 사이버 공격 전술이나 기법 또는 절차를 방어하기 위해 기만 기술 미끼를 배치하거나 조정할 수도 있다.
 
기만 기술은 한번 설치해 놓으면 더 이상 신경 쓰지 않아도 되는 해결책은 아니다. 그러나 기만 기술을 활용 중인 조직들의 보고에 따르면 즉각적인 효과를 발휘하곤 한다. CISO는 기만 기술을 신속히 배치하여 단기적인 이득을 얻을 수 있다. 이런 점만으로도 코로나19 종식 이후 기만 기술의 인기는 높아질 것이다. 

* Jon Oltsik는 보안 컨설팅 기업 ESG의 수석 애널리스트다. ciokr@idg.co.kr



2020.12.16

블로그 | 해커 낚는다··· ‘기만 기술’에 새롭게 주목해야 할 시점

Jon Oltsik | CSO
'기만 기술'(deception technology)을 보안 전문가에게 정의해 보라고 하면 허니팟(honeypot)이나 허니넷(honeynet)에 대한 이야기가 나올 가능성이 높다. 틀린 말은 아니지만 옛날 이야기다. 기만 기술이 복잡하며, 용도가 한정되어 있다는 평가도 마찬가지이다. 

최신 기만 기술은 분석과 자동화를 사용해 과거의 복잡성 문제를 극복하고 있다. 일단 설치된 기만 기술은 네트워크를 훑어보고 자산 현황을 파악한다. 그런 다음에는 서버, 파일, 네트워크 세그먼트, 가치 높은 서비스(예: 액티브 디렉터리)를 모방하는 다양한 종류의 기만 미끼/유인책을 추천한다. 노드가 약 1,000개 있던 네트워크에 갑자기 1만 개가 넘는 노드가 있는 것처럼 보이게 되는 식이다. 그러면 사이버 적들은 네트워크 정찰과 내부 이동이 훨씬 더 어려워지게 된다.



확대되는 용도
허니팟/허니넷은 주로 학자와 연구자들이 위협 분석에 사용했었다. 반면, 최신 기만 기술은 위협 감지 및 대응에 효과적으로 사용되고 있다. 기만 기술을 이용하여 해당 네트워크 전반에 걸쳐 미끼 계정(예: 권한 있는 사용자), 자산(예: IoT/OT 장치) 또는 데이터(예: 민감한 데이터 보관소)를 만들어 두는 식이다. 

악당이 사이버공격을 실행하거나 데이터를 빼내려고 뒤지고 다니다가 기만 미끼에 손을 대면 걸려들게 된다. 정당한 사용자라면 이러한 미끼의 존재 사실조차 모르기 때문에 누군가 미끼에 접근했다는 것은 사이버공격이 진행 중이라고 밖에 볼 수 없다.

기만 기술의 사용은 성숙도 곡선을 따를 수도 있다. 먼저 기본적인 미끼로 미숙한 적들을 속이는 것으로 시작한 다음, 좀더 고급 용도인 사고 대응, 위협 지능 분석, 위협 사냥 등에 나서는 식이다.

앞으로 기만 기술이 더욱 똑똑하고 역동적으로 변할 것이며 따라서 가치가 더욱 높아질 가능성이 크다. 현대 기만 기술 분석 엔진은 다음 항목을 기준으로 지속적인 감시와 변경을 진행한다.

• 내부 네트워크만이 아닌 전체 공격 표면. 따라서, 클라우드 내부와 써드파티 웹사이트 상, 소스 코드 보관소 내부 등등에 있는 기업 자산 보호에 도움이 된다. 

• 위협 지능. 기만 기술은 공격과 악용에 대해 인지한 후 새로운 유형의 미끼나 수정된 미끼를 대책으로 추천하게 된다.

• 보안 테스트. 침투 테스트 실행자나 레드 팀원이 보안 취약점을 발견하면 기만 기술이 미끼를 보완 통제 장치로 추천하게 된다. 

애티보 네트웍스(Attivo Networks), 일루시브 네트웍스(Illusive Networks), 트랩엑스(TrapX)와 같은 주요 기만 기술 업체들은 이러한 기능을 위협 공격 방어나 중요 OT 시스템 보호와 같은 용도로 활용할 예정이다. 

2021년의 기만 기술
기만 기술은 이러한 요소를 바탕으로 인기가 더욱 높아질 가능성이 높다. 필자는 2021년에는 다음과 같은 동향 덕분에 주류 기술로 자리잡을 관측한다.

1. 마이터 실드(MITRE Shield). 마이터 홈페이지에 따르면 실드는 ‘적극적인 방어와 적의 교전에 대해 알게 되는 내용을 캡처하여 정리하기 위해 마이터에서 개발 중인 활성 지식 기반’이라고 정의되어 있다. 또한, 적극적인 방어란 ‘적에게 접전 지역이나 진지를 내주지 않기 위해 제한된 공격이나 역습을 이용하는 것’이라고 정의되어 있다. 여러 조직에서 마이터 어택(MITRE ATT&CK)을 도입 중이다. 따라서 보완책으로 실드를 선택할 가능성이 높다. 기만 기술은 실드 내에 여러 가지 적극적인 방어 용도가 있다.

2. SOC 현대화. 2021년에는 SOC 현대화 활동이 많이 이루어질 것이다. 여러 조직에서 운영 규모 확대와 자동화, 도구 통합(예를 들면 SOAPA 아키텍처 내부로의 통합), 공격 표면에 대한 가시성 개선, 고급 분석 기능 활용, 자동 보안 테스트 도구 실행 등에 나설 것이기 때문이다. 이러한 변화의 와중에 적극적인 감지 역할과 조정 가능한 보안 제어 역할을 하는 기만 기술은 매우 적합하다. 

3. 랜섬웨어 대책. 교육계, 의료계와 같은 업계와 주/지방 정부는 랜섬웨어와의 싸움에서 지원이 절실하다. 기만 기술이 만병통치약은 아니지만 서버 메시지 차단(SMB)와 같은 프로토콜 전반에 걸쳐 적의 내부 이동을 탐지함으로써 피해를 최소화할 수 있다. 기타 사이버 공격 전술이나 기법 또는 절차를 방어하기 위해 기만 기술 미끼를 배치하거나 조정할 수도 있다.
 
기만 기술은 한번 설치해 놓으면 더 이상 신경 쓰지 않아도 되는 해결책은 아니다. 그러나 기만 기술을 활용 중인 조직들의 보고에 따르면 즉각적인 효과를 발휘하곤 한다. CISO는 기만 기술을 신속히 배치하여 단기적인 이득을 얻을 수 있다. 이런 점만으로도 코로나19 종식 이후 기만 기술의 인기는 높아질 것이다. 

* Jon Oltsik는 보안 컨설팅 기업 ESG의 수석 애널리스트다. ciokr@idg.co.kr

X