• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기존 보안이 놓치는 20% 위협 해결 위한 10가지 대응방안은? 2024.05.12

씨큐비스타, 고도화된 위협 예방 위한 ‘사이버 위협 헌팅 가이드’ 발표
놓친 20%, 300여일간 잠복하며 치명적 피해 초래...위협헌팅 솔루션 중요성 강조

[보안뉴스 김영명 기자] 전통적인 보안 방식이 놓치는 가장 큰 위협 3가지는 ‘비정상적인 아웃바운드 네트워크 트래픽 확인’과 ‘권한이 있는 사용자 계정 활동의 이상 징후’, 그리고 ‘지리적 불규칙성’ 등으로 꼽히고 있다.

[이미지=GettyImageBank]


위협헌팅 보안기업 씨큐비스타(대표 전덕조)는 최근 ‘사이버 위협헌팅 가이드’를 주제로 보안보고서 ‘씨큐리포트’를 발표하며 기존 보안이 놓치고 있는 20%의 위협을 해결하기 위한 위협헌팅 기술의 필요성과 핵심 보안요소를 공개했다. 씨큐비스타는 이번 보고서에서 네트워크에 잠재된 침해활동 징후까지 모두 헌팅할 수 있는 능동적인 ‘위협헌팅 솔루션’을 통해 보다 촘촘한 위협 가시성을 확보하는 것이 중요하다고 강조했다.

효과적인 10가지 위협헌팅 방안을 소개하면, 첫 번째로 ‘비정상적인 아웃바운드 네트워크 트래픽 확인’이 있다. 이는 네트워크를 통해 외부로 나가는 트래픽이 평소와 다르게 증가했거나, 의심스러운 목적지로 향하는 것을 의미하며, 데이터 유출이나 명령제어(C&C) 서버와의 통신을 나타낼 수 있다.

두 번째로 ‘권한이 있는 사용자 계정 활동의 이상 징후’는 관리자 계정과 같은 권한이 높은 계정에서 예상치 못한 활동이 감지됐을 때 내부 위협이나 계정 탈취를 의심해볼 수 있다. 세 번째는 ‘지리적 불규칙성’으로 사용자의 로그인 시도가 평소와 다른 지리적 위치에서 발생하면 계정이 해킹당했을 가능성이 있다. 네 번째로 ‘로그인 이상 및 실패’는 반복적인 로그인 실패나 이상한 시간대에 발생하는 로그인 시도는 무차별 대입 공격(Brute-Force Attack)이나 계정 탈취 시도를 나타낼 수 있다.

다섯 번째로 ‘데이터베이스 읽기 볼륨의 급증’은 데이터베이스에 대한 읽기 요청이 갑자기 많아졌을 때 데이터 유출 시도나 데이터베이스 스캐닝 공격을 의심해볼 수 있다. 여섯 번째로 ‘HTML 응답의 크기 변화’는 웹 페이지의 HTML 응답 크기가 평소와 다르게 변한다면, 웹 페이지가 변조됐거나 악성 코드가 삽입됐을 수 있다. 일곱 번째는 ‘동일한 파일에 대한 요청량의 증가’로 특정 파일에 대한 요청이 갑자기 많아지면 이는 파일이 악성 코드로 사용되고 있거나 분산 서비스 거부(DDoS) 공격의 일부일 수 있다.

여덟 번째로 ‘포트-애플리케이션 트래픽이 일치하지 않을 경우’는 특정 포트를 통해 예상치 못한 애플리케이션 트래픽이 감지되면, 이는 서비스가 변조됐거나 악성 트래픽이 포트를 통해 전송되고 있을 수 있다. 아홉 번째로 ‘의심스러운 레지스트리 또는 시스템 파일 변경 행위’에서는 중요한 시스템 파일이나 레지스트리 설정이 변경되면, 이는 악성 소프트웨어의 설치나 시스템 설정 변조를 나타낼 수 있다.

마지막으로 ‘DNS 요청 이상 징후’는 DNS 요청 패턴이 평소와 다르게 변하거나 의심스러운 도메인으로의 요청이 증가하면, 이는 악성 도메인과의 통신이나 도메인 생성 알고리즘(DGA)을 사용하는 악성코드를 의심해볼 수 있다.

IBM에 따르면 자동화된 보안시스템으로는 약 80%의 위협을 처리할 수 있다. 하지만 상위 1·2급 보안관제센터(SOC) 분석가들조차 정교한 20%의 위협 및 공격행위에 대해서는 처리하지 못한 것으로 나타났는데, 이는 자동화된 보안수단이 보안의 ‘구멍’이 되고 있기 때문이다. 20%의 위협은 중대한 피해를 초래할 수 있는 고도화된 위협요소일 가능성이 크고, 네트워크에 침입해 무려 300일간이나 잠복하며 치명적인 피해를 일으킬 수 있어 숨어있는 위협을 능동적으로 찾아 제거하는 위협헌팅 솔루션이 필수다.

최근 사이버 공격량이 늘어나고 단 몇 분 만에 인프라에 침투하는 등 공격속도도 빨라지는 추세다. 하지만 전통적인 보안방식으로는 침입자를 특정하는데만 몇 주~몇 달이 소요되기 때문에 위협헌팅 플랫폼과 병용해 대응능력을 향상하는게 중요하다. 씨큐비스타는 해커의 88%가 시스템에 침입해 12시간 이내에 사이버 보안망을 통과하고, 추가 12시간 안에 그 중의 81%가 가치 있는 데이터를 수집할 수 있다며 효과적인 위협헌팅을 위해서는 공격자의 마인드셋을 갖고 내부 네트워크를 바라봐야 한다고 설명했다.

씨큐비스타 전덕조 대표는 “최근 네트워크 공격량이 늘고 있고, 침입속도도 빨라지고 있어 각 보안조직의 각별한 주의가 필요하다”며 “이에 대응하려면 기존의 수동적인 보안방식에만 의존하기보다는 은닉돼 있는 위협요소를 능동적으로 추적해 제거해야 한다”고 말했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>