디셉션 기술, 네트워크 공격 시 보안 팀에게 주도권 줘
공격자가 미끼 물고 헤맬 동안 탐지하고 네트워크 분리

[보안뉴스 오다인 기자] 분산 디셉션 플랫폼(Distributed Deception Platform)은 기초적인 허니팟(honeypot) 기술을 훌쩍 능가하는 수준으로 발전하고 있다. 분산 디셉션 플랫폼은 강력한 상호 작용, 빠른 탐지, 횡적 움직임 분석을 고려해 설계됐으며 공격에 일방적으로 밀리던 사이버 보안 지형을 바꿔놓는 중이다.


디셉션 기술은 네트워크가 공격받을 때 보안 팀에게 주도권을 주고, 공격자가 공격을 감행하는 모든 순간에 100% 성공할 것을 요구한다. 이때 공격자가 한 치의 실수라도 저지르면 정체가 탄로 나게 된다. 이 기술은 엉뚱한 곳에 미끼를 놓아 공격 가능한 지점을 애매하게 가려놓기도 하고, 위협 첩보 및 방첩 활동을 통해 노련한 인간 공격자의 허를 찌르기도 한다.

현재 침해 사고가 양적으로나 질적으로 모두 성장하는 흐름을 생각하면, 디셉션에 주목하는 사람이 많다는 건 당연해 보인다. IT 시장조사 기업 가트너(Gartner)의 닐 맥도날드(Neil MacDonald)는 최근 2017년 최고의 사이버 보안 이니셔티브 10선 중 하나로 디셉션을 추천하기도 했다. 시장조사 기업 리서치 앤 마켓(Research and Markets)은 세계 디셉션 시장이 2021년 2조 3,000억 원(21억 2,000만 달러)까지 성장할 것이라고 전망했다.

현재 이용할 수 있는 디셉션 솔루션은 아주 단순한 덫부터 완전히 자동화된 디셉션 플랫폼까지 다양하게 나와 있다. 디셉션 솔루션의 접근법은 각 제품마다 다르지만, 본 글은 현재 시장에서 구입할 수 있고, 가장 많이 구입되는 대중적인 분산 디셉션 플랫폼 기능에 집중하려고 한다. 포괄적인 탐지 및 진화한 위협 대응이라는 그 기능 말이다.

디셉션은 어떻게 작동하는가
디셉션은 근본적으로 공격자가 기 침해한 시스템 위에서 횡적으로 움직이며 정찰 활동을 수행할 때, 그리고 기타 시스템에서 크리덴셜을 빼내려고 할 때 이를 탐지하도록 설계됐다. 디셉션 서버, 유인물, 속임수, 미끼에는 아무도 개입해선 안 된다. 디셉션 자원은 직원들을 대상으로 홍보되지 않는다. 이 때문에 약간의 정찰 활동도 경고로 나타나게 되는데, 공격자들이 침입 수준을 확장해나가는 걸 방지하기 위해 이 같은 경고가 뜨면 즉각적인 조치가 이어져야 한다.

일방적인 공격 지형을 바꾼다는 것
디셉션 기술은 공격의 비대칭성을 바꾸는 데 중요한 역할을 한다. 그러나 디셉션이 제대로 효과를 발휘하려면, 똑똑한 인간 공격자를 함정에 빠뜨릴 만큼 진짜처럼 보여야 하고 유인도 더해져야 한다. 엑티브 디렉토리(Active Directory)의 크리덴셜 확인은 디셉션 크리덴셜을 매력적인 타깃으로 보이게 한다. 디셉션은 실제 운영체제로 작동하면서 제품 환경에 적합한 맞춤화를 제공하는데, 이는 공격자가 자신의 존재를 드러낼 만큼 진짜처럼 보인다. 에뮬레이션으로 구축된 외관은 공격자에 의해 빠르게 식별되고 또 우회된다. 역동적인 행동 디셉션 기술은 네트워크, 애플리케이션, 기기 프로필에 최적화된 머신 러닝을 통해 디셉션을 향상시킨다. 그리고 계속해서 매력적인 미끼를 생산해낸다.

게다가 적응력이 좋은 디셉션을 통해 기업들은 디셉션으로 만들어낸 네트워크를 재설정할 수도 있다. 공격이 의심될 때 공격 지점을 재설정하는 건, 공격자가 미끼를 식별해서 우회하는 걸 차단하고, 공격자에게 불확실성을 높이며, 이에 공격자가 실수를 저지를 가능성을 높일 수 있다. 공격의 복잡성을 높이고 공격을 새로 시작하는 비용을 증가시킴으로써 공격은 속도가 늦춰진다. 공격자들은 계속해서 다시 시작해야 하는 데 피로해하고, 더 쉬운 타깃을 찾아 발길을 돌린다.

초기 탐지, 정확한 탐지
디셉션 기반 탐지는 공격 매개와 상관없이 네트워크 내 공격자를 초기에 탐지하도록 설계됐다. 다른 탐지 형태와 다르게 디셉션 솔루션은 네트워크를 학습할 시간이 필요하지 않고 배치된 즉시 효과를 발휘한다. 네트워크, 엔드포인트, 데이터, 애플리케이션, 액티브 디렉토리 디셉션은 횡적 움직임, 크리덴셜 도난, 중간자 공격 시도, 액티브 디렉토리 공격을 종합적으로 탐지할 수 있다.

포괄적인 배치
현재 위협 지형과 공격 가능한 지점들은 계속해서 변한다. 이에 탐지 수단도 엔드포인트에 대한 위협을 초기에 탐지하기 위해, 그리고 공격자가 네트워크에서 활보하는 걸 빠르게 탐지하기 위해 계속해서 변화해야 한다. 포괄적인 디셉션 기술은 공격 지점을 바꿔놓고 사용자 네트워크, 원거리 사무실, 데이터 센터 등을 아울러 위협을 탐지할 수 있는 확장성을 갖고 있다. 또한, 클라우드로의 데이터 마이그레이션을 지원하고 포스(PoS: Point-of-Sale) 시스템 같은 특화한 네트워크를 지원하기도 한다. 대역 외 배치(out-of-band deployment)는 운영상 최고의 효과성과 확장성을 제공하고, 중개인 없는 엔드포인트 디셉션은 배치 및 관리를 단순화한다. 엔드포인트 탐지 및 대응 솔루션을 사용하고 있다면, 자동화된 배치와 통합된 관리 옵션을 제공하는 업체들을 찾아보라.

공격 분석, 포렌식 보고, 통합
공격 위협을 분석하는 디셉션 플랫폼은 분석 자동화 및 침해 정보 지표의 상관관계 자동화를 통해 시간을 절약해준다. 사건 대응을 가속화할 수 있다는 뜻이다. 위협 첩보와 포렌식 증거 보고는 기업들이 모든 공격 활동을 포착하고 목록화 할 수 있도록 해준다. 이로써 공격자의 목적을 이해하고 나아가 전반적으로 더 나은 보안을 구축할 수 있도록 해준다. 디셉션 솔루션은 공격자의 활동을 포착하고, 방화벽, 보안, 사고 관리 시스템, 네트워크 접근 제어 제품, 엔드포인트 기기에 개입되는 전략, 기술, 절차를 완전히 통합함으로써 공유하게 해준다. 이러한 통합은 자동화된 차단 및 감염된 엔드포인트의 고립을 강화한다.

허위 기밀정보가 들어 있는 파일을 사용하고, 공격자 접근 시 경고해주는 비커닝(beaconing) 기술을 사용함으로써 어떤 유형의 파일이 도난 됐는지에 대한 정보가 수집될 수 있고 공격자가 어디까지 정보를 확인했는지도 통찰을 얻을 수 있다.

상호 작용이 높은 디셉션 기술
디셉션은 공격의 속도를 늦춘다. 공격자들이 디셉션 환경에서 헤맬 수밖에 없기 때문이다. 이때 공격자들은 자신들이 공격을 확장해나가는 중이라고 믿게 된다. 적응력이 뛰어난 디셉션 기술을 사용하는 건, 공격자가 움직이는 공격 표면을 역동적으로 바꿈으로써 공격자에게 복잡성을 증가시키고 비용을 늘리며 궁극적으로 공격의 억제재로 쓰인다. 주목할 만한 건, 공격 지점에 혼란을 주는 능력이 침투 테스터들에 의해 입증됐다는 사실이다. 침투 테스터들은 디셉션 환경에서 미끼를 물었으며, 며칠 동안이나 추적당한 뒤 마침내 자신들이 패배했다는 걸 받아들였다.

이와 함께, 디셉션의 높은 상호 작용성은 랜섬웨어의 전파 속도도 25배 이상 늦춘다. 디셉션으로 설계된 장치들은 공격자를 유인한 뒤, 감염된 시스템이 네트워크에서 분리되는 동안 가짜 데이터를 줘서 공격자를 바쁘게 만든다.

운영의 난이도를 낮추고, 위험에 대한 통찰을 높이는 것
디셉션은 위협 탐지 및 대응 솔루션의 배치를 쉽게 해준다. 인력이 부족한 요즘 같은 시대에 이는 매우 중요하다. 디셉션은 초기 방어와 정확한 탐지를 강화할 뿐만 아니라 가시성 도구를 통해 공격을 억제하는 데도 핵심적인 역할을 한다. 공격 가능 경로를 파악하고, 공격자 움직임을 하나하나 확인하며, 가속화된 사건 대응 등을 통합하는 데도 도움이 된다.

사이버 공격이 그 양과 정교함에서 성장하는 한 편으로, 디셉션 기반 기술은 탐지의 정확도, 확장성, 네트워크 내 위협 대응 등을 제공해주고 있다. 점점 더 많은 기업들이 탐지를 강화하고, 첩보 수행 능력의 강화 및 공격 비용 상승, 그리고 공격 속도 저하로 공격자에 대한 우위를 얻게 하는 디셉션에 주목하고 있다.

글 : 캐롤린 크랜달(Carolyn Crandall)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>