ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 지능형 사이버공격의 원리와 방지대책
    카테고리 없음 2016. 6. 22. 14:13
    반응형



    일반적인 회사는 매일 엄청나게 많은 사이버보안 경고에 시달리며 사이버공격을 통해 목표 시스템에 대한 맬웨어 침투의 성공가능성도 결코 작지 않다. 이렇게 보면 지능형 사이버공격 대응에는 왕도가 없다고 할 만하다. 최근 EMA 보고에 따르면 응답자의 88%가 하루에 받는 중요 사이버보안 경고는 최대 500건에 달하며 이들 중 80%는 이러한 경고를 일일 11~25건밖에 조사하지 못한다고 한다. 위협의 대부분이 조사조차 받지 않은 채 시스템에 머무를 수 있다는 의미다. IT부서에 수많은 인력을 투입해도 조사해야 할 위협의 양은 줄어들지 않으며 이는 잠재적 위협을 사전에 예상하기 위해 필요한 정보를 얻기가 대단히 곤란함을 뜻한다.

     

    맬웨어가 시스템에 침투하는 과정은 이하의 세 가지 방법을 통해 진행된다.

    파일기반 공격은 기존 파일을 변경하거나 또는 종래 탐지수단으로는 탐지되지 않는 위치로 옮김으로써 맬웨어를 숨긴다.

    파일 없는 공격은 맬웨어 배포 또는 실행 과정에서 파일에 의존하지 않고 메모리에 머무르기 때문에 탐지가 더욱 어렵다.

    맬웨어 없는 공격은 침탈된 계정정보를 활용하여 시스템에 접속하기 때문에 정상적인 사용자와 잠재적 공격을 분리해서 판단하는 데 어려움이 따른다.

     

     

    파일기반 공격(File-based Attacks)

     

    사이버공격의 대부분은 파일에 의존하는 방법을 사용하며 시그내쳐(signature) 탐지 엔진의 한계를 활용한다. 소프트웨어 패킹, 코드 다중변형, 코드 드롭/다운로드와 같은 지능형 수법의 경우 탐지코드의 신속한 변환을 방지할 수 있다. 이러한 공격이 통하는 이유는 침투대상의 보안전략에 사각지대가 존재하기 때문이다. 이렇게 시그내쳐 탐지를 우회할 수 있는 공격에 대해서는 행동기반 솔루션에 의한 실시간 탐지가 요구된다. 이 경우 다층방어대책이 큰 효과를 발휘할 수 있다.

     


    파일 없는 공격(File-less Attacks)

     

    파일 없는 공격은 기존 프로세스와 승인된 어플리케이션을 활용하여 공격을 실행한다. 파일 없는 공격은 별도로 파일을 유포하거나 기존 파일의 변경에 의존하지 않는 지능적 방식을 취하기 때문에 일반적인 엔드포인트 솔루션의 탐지를 피할 수 있다. 동적 맬웨어분석은 이러한 파일 없는 공격에 대한 방어를 강화할 수 있는 좋은 방법이다. 샌드박스를 사용한다면 행동관찰을 통해 탐지 및 예방을 동시에 챙길 수 있다. 하지만 고도로 지능화된 공격의 경우 가상화된 공간과 샌드박스를 탐지해 낼 수 있어서 이러한 동적 맬웨어분석을 회피해 버릴 수 있다. 이 경우 커널에서 구동되고 시스템 자체(네이티브)에서 작동하여 정교한 맬웨어와 VM탐지가능 코드의 탐지를 피할 수 있는 샌드박스가 가장 좋은 방법이다.


     

    맬웨어 없는 공격(Malware-less Attacks)

     

    차세대 맬웨어는 시스템 사이를 수평적으로 이동할 수 있기 때문에 가장 탐지하기 어렵다. 공격자는 침탈된 계정과 기존의 관계를 활용하여 탐지되지 않은 채 네트워크 내부에 침투할 수 있으며 계정정보와 툴을 조사, 판단, 수집하기 위해 자동수법과 수동수법을 모두 사용하게 된다. 대체로 공격자가 이 정도 단계에 이르고 나면 공격대상 환경에서 높은 수준의 자유도를 확보할 수 있기 때문에 기존 방법으로는 탐지가 대단히 어렵다.

     

    이 경우 이상적인 해법은 기존 방어대책의 사각지대를 해소할 수 있는 실시간 행동양상 탐지에 있다. 발견된 위협과 네트워크 이상활동의 연관성을 식별 및 판단할 수 있는 지능형솔루션은 위와 같은 공격의 수평이동을 밝혀내는 데 도움이 된다. 완전한 네트워크 가시성은 지능형 공격 방지를 위해 필수적이며 방화벽 안쪽에서 은신하는 맬웨어를 잡아낼 수 있는 유일한 방법이다.


     

    언제나 그렇듯 공격 탐지의 주안점은 정보를 최대한 많이 확보하는 데 있으며 이론적으로 생각하면 보안운영자는 이를 통해 유리한 고지를 선점할 수 있다. 하지만 현실적으로는 최대한 많은 정보의 수집은 지나치게 많은 정보로 이어진다. 하루에 주어진 시간도 제한될 뿐더러 보안인력도 제한되기 때문에 이렇게 많은 정보를 그대로 처리해서는 네트워크의 정확한 상황을 파악하기 곤란하다. 실제로 ThreatTrack에서 201510월 조사한 내용에 따르면 응답자의 44%는 기업보안에서 가장 어려운 부분으로 보안운영의 복잡성을 꼽았으며 또한 61%는 위협이 나날이 정교해짐으로 인해 기업의 공격에 노출될 위험이 늘어나고 있다고 응답했다.

     

    이렇게 공격자에게 끌려가는 판세를 바꾸는 길은 바로 올바른 정보를 획득하고 상황의 종합적 이해를 구함으로써 패러다임을 전환하는 데 있으며 이는 신속한 탐지와 우선순위에 따른 대응이 예방만큼 중요하다는 사실을 인지함으로써 실현될 수 있다. 이러한 패러다임 전환을 도와줄 수 있는 내용은 다음과 같다.

    사건을 단순히 알리는 데 그치지 않고 이들을 서로 연관시키는 서비스중심 관점을 채택한다.

    커널기반 샌드박스를 사용하여 맬웨어 공격을 파악하고 지능형맬웨어에 의한 역탐지를 방지한다.


    <참고: ThreatAnalyzer 맬웨어분석 샌드박스>


    지능형공격의 네트워크 내 수평이동을 탐지할 수 있는 보안전략을 수립한다. 발견된 위협과 네트워크 이상활동의 관련성을 판단하여 가시성과 맥락정보를 확보한다.

    지능형 보안솔루션을 평가하거나 또는 맥락정보와 반응시간 연장을 제공할 수 있는 솔루션 추가도입을 고려한다.

     

    보안전략에서 어떤 단계에 있든 패러다임 전환은 어려운 일이지만 빠를수록 바람직하다는 점은 분명하다. 사이버공격의 가능성은 상존하며 나날이 지능화되는 사이버공격을 방지하기 위해서는 회사보안에 빈틈이 없어야 한다. 맥락정보를 많이 확보할수록 공격위험을 보다 빠르고 효과적으로 판단할 수 있으며 반응시간을 연장할 수 있고 현재 혹은 장래의 사건을 예상할 수 있다.

     

     


    ThreatTrack Security CSO Blog, Advanced Attacks and How to Stop Them, 6. 8. 2016.

    https://blog.threattrack.com/cso/advanced-attack-methods-stop/

     

    번역: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.