사이버 위협 사냥의 본질은 위협 탐지...충분한 기반 닦여 있어야 빛 발해
위협 사냥보다 좋은 건 보안 위생이라는 기본기 다지기...‘섹시’해 보이지 않지만

[보안뉴스 문가용 기자] 사이버 보안 분야의 지도자들을 자주 만나는 편이다. 요즘 들어 이런 분들에게서 자주 나타나는 특징은 각종 신기술을 도입하려는 의욕과 목표 의식에 과몰입 되어 있다는 것이다. 그러면서 그런 신기술의 기본 사항들을 숙지하는 걸 잊어버린다. 그런 현상이 가장 두드러지게 나타나는 분야가 바로 ‘위협 사냥(threat hunting)’이다. 면허 필기 시험도 보기 전에 페라리 스포츠카를 몰고 싶은 분들이 그득하다.


안타깝지만 많은 기업들의 현실은 아직 사냥할 준비가 되어 있지 않다는 것이다. 심지어 사냥을 할 필요가 없는 곳들이 대부분이다. 위협 사냥이란 것에 막대한 가치가 있는 것은 분명하지만, 상황과 환경이 딱 맞물렸을 때의 이야기다. 사실, 세상 모든 것이 다 그렇지 않은가.

위협 사냥을 시작해 보고 싶어 하는 기업들 대부분 바로 이 ‘맞물리는 상황과 환경’에 대해 크게 고민하지 않는다. 간략하게 설명해 이 맞물리는 상황과 환경이란 ‘기술’과 ‘성숙한 보안 운영 체제’를 말한다. 전자는 관리가 잘 이뤄지고 있는 망분리 및 접근 통제 기술 같은 것을 포함하는 개념이고, 후자는 사건 대응 및 로그 수집과 같은 것을 말한다.

왜 굳이 ‘일단 시작하고 보자’는 느낌으로 접근하고 싶어 하는 걸까? 개인적으로 이는 굉장히 위험한 접근법이라고 생각한다. 물론 위협 사냥이 최근 보안 업계에 등장한 가장 ‘섹시한’ 개념 중 하나임에는 틀림없다. 데이터 유출 사고와 랜섬웨어가 끊임없이 기업들을 위협하는 상황에서, 미리 위협들을 탐지해 제거함으로써 능동적, 주도적으로 상황을 통제할 수 있다는데, 이게 섹시하지 않으면 뭐가 더 섹시할까.

그러나 ‘섹시함’을 좇다가 더 효율적인 보안 전략과 대처 방안들을 뒤로 하게 된다면 문제가 된다. 실제로 위협 헌팅보다, 조금 덜 섹시하고 심지어 케케묵은 것처럼 보일지 몰라도 보안 위생 관리가 투자 대비 고효율, 고효과를 보일 때가 훨씬 많다. 올바른 프로그램 안에서 잘 관리되고 진행되는 보안 위생 실천은 현존하는 모든 보안 강화 전략 중 최고라고 말할 수 있다.

그러니 기업들은 제일 먼저 ‘위협 사냥이라는 것이 우리에게 정말로 필요한 것인가’부터 면밀하게 조사해야 한다. 그런 후에는 ‘위협 사냥의 효과를 누릴 만한 환경을 갖추고 있는가’를 객관적으로 조사해야 한다. 개인적인 경험상, 덩치가 작은 조직은 이 두 가지에 대한 답이 모두 ‘아니오’다. 할 수도 없지만, 할 필요도 없는 곳이 태반이다.

이 두 가지 평가 기출 문제를 조금 더 상세히 설명해 보겠다. 위협 사냥이 정말 필요한지 평가하려면 다음 세 가지를 고려하라.

1) 기술 : 위협 사냥 전문가들이라고 해서 사이버 공간을 무작정 누비면서 사냥감을 찾는 게 아니다. 적대적 행위를 하는 세력들의 움직임을 추적하고 관찰할 수 있어야 한다. 그러려면 보안 텔레메트리 기술이 필요하다. 아무리 못해도 엔드포인트 탐지 및 대응(EDR) 데이터를 제공할 정도의 기술력을 갖추고 있어야 위협 사냥을 고려해 볼 수 있다.

위협 사냥꾼들에게 유용한 텔레메트리가 되려면 DNS, DHCP, 사용자 참여(제공) 데이터 정도는 기본적으로 포함되어 있어야 한다. 로그 정보도 유용하지만, 풍부한 데이터를 담고 있어야 한다. 엔드포인트에서 수집된 것만이 아니라 네트워크 트래픽 메타데이터까지 포함한 로그여야 한다. 이런 정보들을 최소 1년 넘게 저장 및 관리할 능력도 조직 차원에서 마련해야 한다. 또한 데이터를 제공했다면 그 다음은 빠르게 데이터를 검색할 수 있게 해주는 도구도 제공해야 한다.

2) 탐지 과정 : 오늘날의 탐지 기술들은 주로 규칙이나 시그니처를 기반으로 하고 있다. 로그나 텔레메트리와 매칭을 하는 위협 첩보도 흔한 것이 되었다. 이런 작업들은 조심스럽게 계획 및 실행된다는 전제 하에 자동화 도구로 충분히 해결이 가능하다. 실제 자동화 기술을 적용해 시그니처 기반의 탐지 활동을 실시하는 조직들은 꾸준히 증가하고 있다.

하지만 공격자들이 가만히 있는가? 이들은 계속해서 움직이며 스스로를 변화시킨다. 살짝 살짝 특징을 바꿔가며 시그니처 기반 탐지 기술들을 무력화시키는 것에 이미 도가 터있다. 그렇기 때문에 인간으로 구성된 위협 사냥 팀이 필요한 건데, 이게 정말로 당신 조직의 이야기인가? 공격자들이 돈과 시간과 노력을 투자하면서 자신들의 공격 수법을 가다듬을 만큼 당신 조직의 자산이 높은 가치를 가지고 있는가? 필자는 이 부분에서 대단히 객관적인 평가가 필요하다고 생각한다. 위협 사냥 팀 운영에는 적잖은 돈이 들어가기 때문이다.

또한 탐지 기술과 전략에 대해서도 냉정하게 평가하는 것이 중요하다. 위에서 말했듯, 최적화 된 자동화 기술까지 사용해도 막아지지 않는 위협들을 해결하는 게 위협 사냥 팀의 임무다. 즉, 최적화 된 탐지 기술을 갖추고 그것의 성능을 최대한으로 끌어올린 조직이 아니라면, 아직 사냥을 시작하기에 이르다는 것이다. 위협 사냥은 본질적으로 탐지 방법론의 일부라는 걸 잊지 말자. 기존 탐지 방법을 다 사용하고 있지 않다면, 위협 사냥은 돈 낭비만 될 뿐이다.

3) 사람 : 위협 사냥 전문가들에게 반드시 필요한 건, 고급 멀웨어와 위협 행위자들에 대한 최신 첩보다. 여기에 자신이 속한 조직에 대한 깊은 이해도도 필수 요소다. 의외로 이걸 제대로 충당하는 조직은 거의 없다. 왜냐면 1) 고급 멀웨어 최신 정보, 2) 위협 행위자 최신 정보, 3) 조직에 대한 깊은 이해도 모두 진득하게 앉아서 연구해야만 얻어지는 것들이기 때문이다. 지금 보안 담당자들의 상황이 그런 연구를 허락하는가?

물론 그래서 존재하는 게 첩보 전문 회사들이다. 보안 첩보를 외부에서 사들이는 조직들도 분명 다수 존재한다. 하지만 그 첩보들이 - 물론 없는 것보다 낫지만 - 우리 조직을 전담하는 위협 사냥 팀에게 얼마나 도움이 될지는 알 수 없다. 위협 사냥 팀에 필요한 건 어떤 나라의 A라는 조직이 요즘 무섭더라, 라는 내용이 아니라, 어떤 나라의 A라는 조직이 요즘 우리 조직이나 우리 조직과 유사한 조직을 노리더라, 라는 ‘맞춤형’ 정보이기 때문이다.

결국 균형의 문제
자, 그러면 위 세 가지 문제에 대해 깊은 고민을 한 후 어떤 방식으로 결정을 내려야 하는 걸까? 제일 먼저는 ‘수준 높은 고급 공격에 우리 조직이 노출되어 있는가?’를 최대한 객관적으로 평가해 답을 내려야 한다. 어떤 조직이나 해킹 공격을 받는 게 사실이지만, 여기서 말하는 건 ‘고급 해킹 공격’이다. 집요하게, 전략과 도구를 바꿔가면서, 피해가 발생할 때까지 당신 조직을 괴롭히는 사이버 공격자가 존재하는가를 묻고 답해야 한다. 그렇지 않다면, 위협 사냥보다는 일반적인 보안 솔루션과 정책으로도 충분하다.

누구나 스포츠 스타들의 하이라이트 장면에 열광한다. 하지만 그 장면이 멋있어 보인다고 해서 누구나 따라할 수 있는 건 아니다. 화면 뒤에서 그들이 수백~수천 시간 훈련에 몰두한다는 걸 잊지 말아야 한다. 위협 사냥이 멋져 보이는 게 사실이지만, 그렇다고 해서 아무나 할 수 있는 건 아니다. 보안의 기반이 충분히 닦여 있어야만 한다. 보안 팀장 한 사람이나 CEO의 새해 결단과 같은 변심을 통해 대충 이뤄지는 게 아니다.

글 : 안톤 슈바킨(Anton Chuvakin), Chronicle
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>