보안 공격 패러다임의 전환 및 공격 동향 분석

1. 공격 패러다임의 전환 배경

1) 공격의 변화

보안 기술이 발달함에 따라 방어 기법이 강화되면서 공격자도 자신의 공격 기법을 끊임없이 발전시키고 있다.

이전에는 자동화 공격 도구를 이용하여 홈페이지와 같은 외부 서비스를 공격했지만 현재는 사용자 개인용 컴퓨터(PC)를 공격한 이후 내부의 다른 정보 자산에 접근한다.

 

왜 사용자 PC를 통해 해킹을 하는 것일까?

외부 서비스 같은 경우 정보보안팀이 관리하고 방화벽, IPS, WAF 등 다양한 구간 보안 솔루션이 존재하지만 사용자 개개인 PC의경우 PC별 보안 적용 수준이 다르기 때문에 가장 약한 부분을 공격하는 공격자 입장에서는 더욱 더 손쉬운 공격방법이 된다.

 

2) 공격 방식

인터넷에서 내부망으로 접근하는 직접 침투 방식과 내부 자원을 점거한 후에 정보를 유출하는 간접 침투 방식이 존재한다.

 

2.1) 직접 침투

외부의 인터넷에서 구간 보안 솔루션을 통과하여 내부의 정보자산을 침투하는 방법이다.

구간 보안 솔루션에서 철저하게 보호하고 있기 때문에 공격자가 내부로 침투하기가 매우 어렵다.

 

2.1.1) 대응방안

보안 장비에서 공격자의 공격 행위를 찾는다.

 

 

 

2.2) 간접 침투

외부에서 내부 자원(사용자 PC)을 점거한 이후 내부망 이동을 통해 다른 정보자산에 접근하는 침투방법이다.

공격 대상에 특화된 악성코드 이용해 내부 자원을 감염시킨다.

 

사용자 PC를 접근할때도 구간 보안 솔루션을 지나기 때문에 똑같이 접근하기 어렵지 않나요?

사용자에게 악성 웹 링크를 전송하거나 이메일의 첨부파일에 악성코드를 넣어 사용자가 인터넷에 존재하는 공격자에게 접속하는 방법을 이용한다. 보통 구간보안 솔루션에서 정책을 적용할 때 Inbound 정책은 엄격히 적용하지만 Outbound정책은 그렇지 않은 경우가 많기 때문이다.

 

2.2.1) 대응 방안

Outbound 통신을 상세히 관찰한다.

Inbound 모니터링의 경우 불특정 다수에서 내부에 접근하기 때문에 주체를 파악하기 어렵지만, Outbound 모니터링은 내부의 사용자는 한정적이기 때문에 출발지와 사용자를 알 수 있는 충분한 가시성을 확보할 수 있다.

 

 

2. 공격 동향 분석

공격 동향 분석은 공격자 행위 중심 또는 방어자 행위 중심에 따라 분석 방식이 달라진다.

 

공격자 행위 중심: 사이버 킬 체인(Cyber Kill Chain), MITRE ATT&CK

방어자 행위 중심: 위협 사냥

 

1) 사이버 킬체인(Cyber Kill Chain)

공격자의 공격 행동을 7단계로 구분하여 공격 과정을 이해하기 쉽게 만들었다.

다음 단계로 넘어가기 위해서는 반드시 이전 단계가 성공해야하기 때문에 방어자는 7번의 기회가 주어지고, 공격자는 7단계를 모두 통과해야만 공격에 성공할 수 있다.

 

사이버 킬체인 7단계

① 정찰 → ② 무기화 → ③ 전달 → ④ 침해 → ⑤ 설치 → ⑥ 명령 및 제어 → ⑦ 목적 달성

 

① 정찰 

공격자가 공격 대상 정보를 수집하는 단계로 수동과 능동적 방식의 정보수집이 존재한다.

보통 수동적 방식을 통해 수집한 정보를 토대로 능동적 방식을 통해 정보를 수집한다.

 

수동적 방식: 구글 검색, Whois를 통한 도메인 정보 수집

능동적 방식: 포트 스캔, 애플리케이션 정보 수집, 취약점 스캐너

 

정찰의 목적: 공격에 필요한 약점을 찾는것이다.

 

② 무기화

정찰에서 수집한 정보를 토대로 공격에 필요한 무기(Exploit, 악성코드)를 제작하는 것이다.공격자 쪽에서만 일어나므로 탐지 자체가 거의 불가능하다.

 

무기화 목적: 적합한 무기(Exploit, 악성코드)를 제작하는것이다.

 

③ 전달

무기화를 통해 생성된 무기를 가지고 공격을 통해 공격 목표에 전달한다.링크 접속 유도, 파싱 메일, 악성 첨부파일 등을 이용해 악성코드를 전달한다.웹 콘텐츠 필터링, DNS 필터링을 통해 방어할 수 있지만 최신 악성코드에 대한 주기적인 업데이트가 필요하다. 또한 보안인식교육을 통한 일반 사용자가 스팸메일, 수상한 웹 사이트에 접속하지 못하도록 해야한다.

 

전달의 목적: 공격 대상에게 무기를 성공적으로 전송하는것이다.

 

④ 침해

공격 목표에 전달된 무기를 통해 공격 목표를 성공적으로 감염시킨다. 

성공적인 침해를 일으키려면 신규 취약점을 패치하지 않았거나, 취약한 구 버전을 사용하는 등 침해 조건이 필요하다.

침해를 예방하기 위해서 최신버전 업데이트 및 신규 취약점 패치가 필요하다.

 

침해의 목적: 접근 권한 또는 경로를 획득하는것이다.

 

⑤ 설치

공격 대상에 악성코드를 설치한다.

악성코드는 대부분 단일 실행파일로 작성되는데 공격자가 지속적으로 사용하기 위해서 시작 프로그램에 해당 파일을 등록하거나 원격 접속 도구를 설치하여 지속적으로 공격 자원에 접근할 수 있도록 설정한다.

 

설치단계의 목표: 지속적으로 공격자원에 접속하는것

 

⑥ 명령 및 제어

감염 자원이 공격자와 통신하는 채널을 구축하는 것이다.

공격자는 공격 자원을 통해서 내부망 통신을 통해 내부 전산 자원에 접근하여 공격 목적을 실행한다.

 

명령 및 제어단계의 목표: 감염 자원을 거점삼아 공격 대상을 확대하는것이다.

 

⑦ 목적 달성

공격 대상을 통해 원하는 정보를 확보했다면 이 정보를 외부로 유출해야한다. 왜냐하면 얻은 정보가 외부로 유출되기 전 까지는 공격자에게 정보가 전달된게 아니기 때문이다.

목적 달성 단계를 거치면 모든 공격은 끝나고 공격자는 원하는 정보를 얻을 수 있다.

 

2) MITRE ATT&CK

ATT&CK 매트릭스는 공격 기법에 대해 프로파일링을 진행해, 카테고리별로 목록화 해 놓은것이다.

공격자가 빈번하게 사용하는 공격 코드와 공격 기법을 분석한 결과로 작성되었다.

공격 기법과 방어 현황을 비교 분석하는데 좋은 자료이다.

매트릭스는 공격, 기업, 모바일, 산업통제시스템으로 구분해서 제공하지만 보통 기업 매트릭스를 많이 본다.

 

매트릭스를 보는 방법은 https://attack.mitre.org에 접속해서 확인하면 된다.

 

 

매트릭스는 TTPs(Tactics, Techniques and Procedures) 개념을 이용해서 공격 기법을 나열한다.

공격자가 사용하는 전술은 총 12단계가 있고 각 전술별로 공격자가 사용한 기술들을 나열한다.

 

2.1) 기술정보 확인

Initial Access 전술의 Phising 기술을 살펴보면 공격 기술과 공격자가 실행하는 공격 절차를 확인할 수 있다. 보통 상위의 4개 정보가 보안 업무시 많이 활용된다.

 

ID: 고유 번호

Tactic: 전술 명

Platform: 공격 기술이 적용되는 플랫폼

Data Sources: 이 공격을 볼 수 있는 로그 종류

 

해당 로그를 Splunk와 같은 로그 수집장비에 저장하여 모든 기술마다 데이터 소스를 나열한 이후 지금 수집중인 데이터 소스와 비교하면 어느 부분이 로그 수집이 미비한지 확인할 수 있다. 추가로 탐지할 수 있는 기술과 탐지할 수 없는 기술들을 파악할 수 있다.

 

3) 위협사냥

기존 보안 업무가 탐지/발생한 위협에 대한 대응을 하고 사전에 정의된 탐지 규칙(시그니처 기반)에 주로 의존한다.

위협사냥은 숨어있는 위협을 탐지해 공격 기법과 공격자를 식별하고 제거하고 공격자의 공격 행위에 맞춤 대응을 수행한다.

수집한 로그를 Splunk에 저장하여 SPL(Search Processing Language)를 이용해 원하는 결과를 도출할 수 있다.

 

위협사냥이 등장한 이유는 무엇인가요?

공격자는 방어자의 탐지를 회피하려고 항상 변화하기 때문에 알려진 공격을 피해 새로운 공격을 시도하기 때문이다.

 

위협 사냥에서 가장 중요한 항목은 다양한 로그를 분석하는것이다.

주로 이벤트 기반 로그보다는 통신 내역 전체 로그를 분석한다.

수집 대상은 최소 애플리케이션의 헤더 정보이고 트래픽이 충분하다면 전체 네트워크 트래픽을 저장하는것이 가장 좋다.

 

3.1) 로그 수집 대상

위협사냥의 로그 수집 대상은 크게 4가지가 존재한다.

 

① 네트워크 계층 로그

네트워크 증적을 추적하는데 사용한다. (접속정보, 공격관련 정보 전송)대표적으로 방화벽, 웹 프록시, 전자우편, DNS 로그가 해당된다.

 

② 엔드포인트 계층 로그

실제 공격은 엔드포인트에서 실행되기 때문에 프로세스 동작 정보, 프로세스 소유자, 레지스트리 등의 정보는 공격 현황을 파악할 수 있다.

대표적으로 백신, DHCP, 윈도우 이벤트, 호스트 IDS, 호스트 방화벽 로그가 해당된다.

 

③ 사용자 인증 로그

네트워크에 로그인한 사용자를 추적할 때 필요하다.

해당 로그를 수집하려면 통합 인증 시스템이 구축되어 있어야한다. (로컬 PC와 도메인을 통한 로그인은 다른 인증으로 간주)

대표적으로 Active Directory, VPN, SSO(Single Sign On) 로그가 해당된다.

 

④ 위협정보 로그

외부의 신뢰하는 기관 또는 사이트로부터 수집되는 위협 정보이다.

잘 알려진 C&C, 악성코드 유포 사이트, 감염정보 등을 수집한다.