IOC 접근법에서 IOA로 옮겨가야 할 이유와 의미

멀웨어 사용해서 들어오는 공격은 전체 공격의 40%뿐

[보안뉴스 문가용] 대부분의 기업들이 주의를 기울이는 걸 꼽자면 멀웨어, 익스플로잇, 악성 웹 사이트, 패치가 안 된 취약점 등이다. 그런데 이런 태도에는 한 가지 중요한 오류가 있다. 모든 사이버 공격에 멀웨어가 동반되는 게 아닌데 이 점을 간과한 것이다.

그렇다면 멀웨어로 인한 공격은 얼마나 될까? 40%에 불과하다. 게다가 해커들 사이에서는 점점 멀웨어의 사용을 기피하는 현상이 늘고 있으며 오히려 내부인의 정식 ID와 암호를 훔쳐서 합법적으로 로그인해서 활동하는 법을 택하고 있다. 이제는 해커 관련 영화에서처럼 고난이도 기술을 총동원해 딱 한 번 뚫어내 대박을 치는 게 아니라 소리소문 없이 들어가 오랫동안 계속해서 잠복해 있는 게 대세가 된 것이다.

이게 무슨 말이냐, 예를 한 번 들어보겠다. 몇 달 전 대형 국방 기관에서 우리 크라우드스트라이크(CrowdStrike)와 협조 계약을 맺었다. 그 대형 국방 기관은 오래전부터 계속된 중국의 각종 해킹에 시달려오고 있던 상태였다. 분명 불순한 의도의 트래픽이 자꾸만 들어오는데 그 침입 지점을 도저히 알아낼 수가 없었다. 포렌식, 화이트리스팅, 스캐닝 등 가능한 검사 수단을 다 동원했는데도 말이다.

우리 크라우드스트라이크의 미션은 하나, 중국 해커들이 사용하고 있는 C&C 채널을 발견하는 것이었다. 결론부터 말하자면 C&C 채널을 찾아달라는 그들의 요구사항부터가 잘못된 것이었다. 해커는 국방 기관의 2중 인증 시스템을 뚫고 들어와 아예 여러 로그인 정보를 훔쳐갔었다. 그리고 계속해서 그 로그인 정보를 가지고 자연스럽고 태연하게 로그인을 해왔던 것이었다. 그러니 네트워크 내에서 자유롭게 움직이고 돌아다닐 수 있었다. 멀웨어? 비슷한 것도 동원되지 않았다.

공격법과 방어법의 추세에 커다란 격차가 존재한다는 게 문제의 요지다. 그렇기 때문에 공격자들은 기존 방어법을 우습게 농락하고, 그렇기 때문에 최근의 해킹 사고는 사건 발생일과 발견일 사이에 200일이라는 어마어마한 기간이 존재하는 것이다. 멀웨어에 대응하는 방어 전략이 무용지물이라는 소리가 아니다. 그것에 더해 이제는 멀웨어 없이 들어오는 공격에도 대응할 만한 무언가를 갖추는 것이 필수라는 거다.

이는 곧 침해지표(indicator of compromise) 위주의 전략이 공격지표(indicator of attack) 위주로 옮겨가야 한다는 걸 뜻한다. 침해지표 위주의 전략이란 멀웨어를 감지해 내고 그에 대한 대처를 꾀하는 것이고 공격지표 위주 전략이란 공격자의 의도를 파악해 내는 것을 말한다. 과연 우리 회사에서 공격자가 노릴 만한 게 무엇인지, 그걸 노리려면 어떤 방식으로 들어오는 게 가장 편할지도 예상하고 시나리오를 설계할 수 있다.

IOC가 멀웨어, 신호, 익스플로잇, 취약점, IP 주소에 집중했다면 IOA는 코드 실행, 지속성, 은밀한 정도 혹은 감지 회피력, 명령 제어, 수평 움직임 등에 집중한다. IOC는 특정한 때를 파헤치지만 IOA는 실시간이다. 확실히 보안 담당자 입장에서 IOA의 방식들은 어렵고 골 아프게 생겼다. 그러나 그게 현실이다. 쉽게 해서는 보안을 이룰 수가 없는 때이기 때문이다. 멀웨어라는 말이 어느새 구식이 되어간다.

글 : 드미트리 알페로비치(Dmitri Alperovitch)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>