APT - 위협 헌팅

03.Security 2020. 6. 29. 13:34
728x90
반응형

[개념] 공격의 흔적을 찾아내고, 그 흔적을 추적해 위협을 찾아내는 것이며, 그 과정이 바로 기존에는 모르던 위협을 탐지하는 과정

 

최근 사이버공격이 정교해지면서 보다 능동적으로 위협을 찾아내고 대응 방안을 마련하기 위한 방법으로 위협 인텔리전스와 함께 부각된 용어입니다. 

 

설명을 들어보면 대부분 정상수준을 벗어나는 내부 위협요소를 찾아내 공격자의 TTP(Tactics, Techniques, Procedure), 즉 그들이 사용하는 도구와 기술, 프로세스 등의 활동을 추적하고 파악하는 과정으로 요약됩니다.    

 

분석해야 할 보안 이벤트와 데이터가 방대해지고 분석역량도 높아져야 하지만 빠르게 내부 환경에 침투하는 보안사고로 인한 피해를 막으려면, 특히 공격이 일어나기 전에 발생 가능성을 낮추기 위해서는 위협 헌팅 체계가 필요하다는 얘기를 종종 듣습니다. 

 

저는 전문가가 아니고 제대로 이에 대해 알아본 것도 아니라 더 그렇겠지만 사실 아직까지도 위협 헌팅이 무엇인지 잘 와닿지 않은 부분이 있습니다. 이걸 정확하게 어떻게 정의해야 하는지, 이를 위한 별도의 전문적인 툴이나 유형이 있는 것인지, 기존에 많이들 활용하고 있는 솔루션은 활용할 수는 없는 것인지 모르겠고, 잘 다가오지 않는 느낌이라 할까요? 

 

포티넷이란 보안업체는 시큐어 액세스와 SIEM 솔루션을 활용한 위협 헌팅 방법을 제시하는 것 같습니다. 

 

의심스러운 흔적 하나를 추적해 원인을 찾아냈다. 보안도 이렇게 해야 한다, 왜 이런 보안을 할 수 없을까 하는 생각이 들었다. 이게 가능해지려면 방대한 데이터를 분석할 빅데이터 분산처리 기술이 필요한데, 이전에는 기술적 한계가 있어서 할 수 없었던 것

 

알지 못하는 위협에 초점, 기존 보안 개념을 뒤바꾼다

노 대표는 위협 헌팅이 “기존 보안 개념을 뒤집는다”고 했다. 알고 있는 것을 탐지하는 것이 아니라 알지 못하는 것을 찾아내는 접근방식이라는 것이다. “위협 패러다임이 바뀌었다. 이젠 보안 패러다임도 바꿔야 한다”고 강조했다.

위협 헌팅은 공격의 흔적을 찾아내고, 그 흔적을 추적해 위협을 찾아내는 것을 말한다. 그 과정이 바로 기존에는 모르던 위협을 탐지하는 과정이다.

그동안 공격자는 단 한 번만 공격에 성공하면 되고, 이를 위해 하나의 취약점만 찾으면 됐다. 반면에 방어자는 한 번만 뚫려도 실패하기 때문에 모든 공격을 막아내야 했다. 이로 인해 공격자와 방어자는 비대칭 싸움을 벌인다는 인식이 있었다. 즉 공격자가 방어자보다 우위에 있다는 것이다.

노 대표는 “생각을 바꿔보자. 하나의 공격자 흔적만 찾게 된다면 이를 바탕으로 공격자를 추적해낼 수 있다면 반드시 방어자가 열세에 처해있는 것은 아니다”라면서 “위협 헌팅은 알려지지 않은 위협을 찾아내 고도화된 위협, APT 공격을 대응하는데 기반이 된다”고 말했다.

 

728x90
Posted by Mr. Slumber
,