2024-03-28 21:40 (목)
[가트너 서밋 2018] 보안분야 핫 트렌드 '위협 헌팅'은 무엇이고 어떻게 적용할까
상태바
[가트너 서밋 2018] 보안분야 핫 트렌드 '위협 헌팅'은 무엇이고 어떻게 적용할까
  • 길민권 기자
  • 승인 2018.06.08 08:20
이 기사를 공유합니다

"위협 헌팅과 위협 탐지는 달라...사람, 프로세스, 기술이 조화를 이루어야만 가능"

▲ 시큐리티&리스크 매니지먼트 서밋 2018에서 안톤 슈바킨(사진) 가트너 애널리스트가 시큐리티 위협 헌팅 방법에 대해 강연을 진행하고 있다. [데일리시큐=워싱턴]
▲ 시큐리티&리스크 매니지먼트 서밋 2018에서 안톤 슈바킨(사진) 가트너 애널리스트가 시큐리티 위협 헌팅 방법에 대해 강연을 진행하고 있다. [데일리시큐=워싱턴]
워싱턴DC에서 열린 가트너 시큐리티&리스크 매니지먼트 서밋 2018에서 안톤 슈바킨(Anton Chuvakin) 가트너 애널리스트는 시큐리티 위협 헌팅 방법(How to Hunt for Security Threats)에 대해 강연을 진행해 큰 관심을 끌었다.

그는 "위협 헌팅(Threat Hunting)은 최근 보안 업계에서 뜨겁게 떠오르는 기술 트렌드다. 하지만 실질적으로 잘 사용하는 고객은 아직 많지 않다. 이번 세션을 통해 실질적인 위협 헌팅의 기본 개념과 어떻게 효율적으로 시작 및 적용할 수 있는지에 대한 가이드라인을 제시해 보겠다"고 서두에 밝혔다.

세션에서 다룬 주제는 △위협 헌팅 정의 △기업의 SOC 프로세스에 어떻게 위협 헌팅을 적용할 것인가 △기본적인 위협 헌팅 기능을 어떻게 개발할 것인가 △어떤 위협을 헌팅할 것인지에 대한 아이디어를 어디에서 가져올 것인가 △위협 헌팅 결과의 성공적인 측정 방법 등이다.

안톤은 우선 “방어자는 모든 홀을 방어해야 하고 공격자는 한 개의 홀만 성공시키면 된다는 접근이 보안 체계를 어렵게하고 있다"며 “공격자는 공격의 과정을 숨기고 흔적을 지우지만 방어자는 숨어있는 공격의 흔적을 찾아야만 하는 프로세스를 적용하는 것이 새로운 보안 체계의 방향성"이라고 말했다.

이어 그는 "위협 헌팅은 분석 기반 접근(Analyst-Centric Process)이며 기존 탐지 또는 차단 시스템이 인지하지 못했던 숨어있는 고도의 위협을 찾아내는 과정이다"라며 "단순히 EDR(Endpoint Detection&Response) 시스템을 사용하고 있거나 특정 조건의 이벤트를 검색하는 것이 위협 헌팅이 아니라는 점을 먼저 인식해야만 한다. 우선 용어 자체 또는 기술에 대한 혼동을 없애기 위해 위협 탐지(Threat Detection)와 위협 헌팅(Threat Hunting)의 차이점을 알 필요가 있다"고 밝혔다. 그는 다음과 같이 이 둘을 구분하고 있다.

'위협 탐지(Threat Detection)'는 어떤 위협을 탐지할 것인지 미리 정책 또는 알고리즘이 존재하는 상태에서 동일하게 매칭되는 알람이 발생할 경우에 액션을 취하는 것이다.

반면 '위협 헌팅(Threat Hunting)'은 어떤 위협이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내는 과정이다. 즉 어디서부터 프로세스를 시작해야 하는지에 대한 첫 단추가 필요한데 이를 'Formulate a Hypothesis'(가설을 만들어 내는) 과정이라고 한다. 첫 단추 이후 환경 및 프로세스를 조사하면서 의심이 가거나 실제 숨어 있는 위협을 찾게 되고 결과적으로 액션을 취하거나 위협 탐지(Threat Detection)를 위한 정책 또는 알고리즘을 생성하도록 단서를 제공하는 역할을 하는 것으로 규정했다.

또 기업이 위협 헌팅을 적용해야 하는지 혹은 하지 않아도 되는지를 살펴보기 위해서는 아래 환경을 생각해 보면 된다고 전했다.

기업이 APT 등 고도의 위협에 타겟팅 대상이 되는지 여부다. 또 특정 컴플라이언스 관련 정책이 적용되어 있음에도 불구하고 이미 잠재되어 있는 리스크가 있는지 확인하고 싶은 경우 그리고 보안 관제시스템에서 알람은 발생하지 않았지만 특정 사고가 진행되고 있는지를 알고 싶을 때 위협 헌팅을 고려해 볼 필요가 있다. 즉 위협 헌팅은 지속적으로 위협의 존재 유무를 탐색해 나가는 과정이라고 설명했다.

하지만 위협 헌팅을 시작하기 위해서는 다음 전제 조건들이 작동하는지 미리 살펴봐야 한다. △전담 보안 인력이 있는가 △위협 탐지(Detection) 및 대응(Response) 정책이 이미 작동하는지 △보안 위협 가시성이 이미 존재하는가(SIEM, EDR 등) 등이다.

▲ 위협 헌팅 발표자료 이미지
▲ 위협 헌팅 발표자료 이미지
그는 "위협 헌팅을 위한 전제 조건은 다른 보안 프로세스와 마찬가지로 사람, 프로세스, 기술이 조화를 이루어야만 가능하다. 이 중에서 중요하면서도 어려운 조건이 바로 위협 헌팅 기술을 보유 하고 있는지를 꼭 체크해야 한다. 특히 데이터 분석 능력과 창의적인 사고력을 바탕으로 모든 프로세스가 조직에서 작동할 수 있는지를 체크해야 한다"고 강조했다.

만약 위협 헌팅을 기업 자체적으로 구현하기 힘들다면 전문 서비스 기업을 통한 'Managed Threat Hunting' 서비스를 받는 것도 방안이 될 수 있다. 하지만 이 경우에도 두가지 이슈가 존재한다는 것이다.

첫째, 많은 서비스 기업들이 'Managed Threat Hunting'을 단순히 기존에 수행해 오던 MSSP(Managed Security Service Provider)로서의 역할을 재포장해서 접근하는 경우이다. 즉 진정한 위협 헌팅이 아니라 위협 탐지(Threat Detection)에 머물수 있다는 점이다.

둘째, 실질적 'Managed Threat Hunting' 기업이 존재하더라도 기업의 IT 및 보안 환경을 정확하게 이해하지 못한다면 제대로 된 서비스가 진행되기 힘들다는 것이다. 즉 두번째 경우는 프로세스에 대한 상호 협력이 중요하게 작동해야 한다는 것을 말한다.

다음은 위협 헌팅을 도와줄 수 있는 툴에 한 설명으로 이어졌다.

그는 "엔드포인트는 EDR, 네트워크는 NTA/SIEM, 통합로그분석은 SIEM, 분석 분야는 UEBA 등을 사용할 수 있다. 이 중에서 기업이 하나의 툴을 먼저 적용해 빠른 시간 안에 위협 헌팅을 시작해야 한다면, 우선 EDR(Endpoint Detection & Response) 툴을 적용하는 것을 먼저 권고한다. 단 EDR툴이 위협 헌팅 과정의 전부가 아니며 단지 하나의 툴로 사용될 수 있다는 것을 꼭 인지해야 한다"고 강조했다.

그렇다면 위협 헌팅 프로세스를 정립하고, 처음 시작하는 경우라면 어디서부터 출발할 수 있을까.

이에 대해 그는 "위협 헌팅을 처음 적용해 시작하는 경우, 이미 발생한 사고에 대해 하루 또는 일주일 정도의 시간을 할애해 현재 진행되고 있는 모든 이벤트를 추적하고 좁혀나가는 방법을 연습해야 한다. 운이 좋다면 현재 진행중인 실제 위협 관련된 프로세스를 탐지해 낼 수도 있다"고 전했다.

조금 더 다르게 시작하는 방법은 이미 존재하는 SOC에서 발생하는 특정 이벤트 또는 서트 팀에서 탐지한 특정 이벤트에 대한 상세 분석 및 추적 작업을 시작해 보는 것도 좋은 방안이라고 밝혔다.

또 내부 혹은 외부 MDR(Managed Detection and Response) 팀이 제안하는 방식을 실질적으로 내부에서 한번 시도해 보는 것도 처음으로 위협 헌팅을 시작해 보는 좋은 연습 사례가 될 수 있다고 조언했다.

한편 위협 헌팅을 시작할 때, 어떤 조건에서 시작해야 되는지 모르는 경우가 많다. 발표자는 최초 조건을 어떻게 설정하면 되는지 그리고 어디서부터 시작할 수 있는지에 대해 설명했다.

그는 "특정 보안 사고가 외부에서 발생한 경우, 공개된 위협 인텔리전스의 정보를 바탕으로 우리 기업에도 사고의 흔적이 있는지를 살펴보는 것을 시작할 수 있다. 또 과거에 발생했던 중요 보안사고에 대한 TTP(Tool, Techniques, Procedures)에 대한 정보를 사용해 시작할 수도 있고, 레드팀(Red Team) 등이 제시한 정보를 가지고 위협 헌팅의 첫 프로세스를 시작할 수 있다"고 말했다.

마지막으로 안톤은 “방어자는 모든 홀을 방어해야 하고 공격자는 한 개의 홀만 성공시키면 된다는 말은 잘못된 보안 개념이다. 현재의 공격자는 공격의 과정을 숨기려고 하고, 방어자는 공격의 흔적을 찾아야만 한다는 접근 방식으로 보안에 접근해야 한다"며 발표를 마무리했다.

이번 가트너 서밋 위협 헌팅 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★