2020-10-29 06:05 (목)
엔씨소프트 윤태영, NC만의 쓰렛헌팅 체계 구축 노하우와 효과 공개
상태바
엔씨소프트 윤태영, NC만의 쓰렛헌팅 체계 구축 노하우와 효과 공개
  • 길민권 기자
  • 승인 2020.02.10 11:18
이 기사를 공유합니다

“공격자보다 먼저 사내 위협 찾고 제거 해갈 수 있도록 발전시켜 나갈 것”
엔씨소프트 윤태영 발표자. ‘공격자보다 먼저 보안위협 찾기-Threat Hunting(쓰렛 허팅)’이란 주제로 K-CTI 2020 강연을 진행하고 있다.
엔씨소프트 윤태영 발표자. ‘공격자보다 먼저 보안위협 찾기-Threat Hunting(쓰렛 허팅)’이란 주제로 K-CTI 2020 강연을 진행하고 있다.

국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2020이 공공·기업 정보보안 실무자들이 대거 참석한 가운데 지난 5일 성황리에 개최됐다.

이 자리에서 엔씨소프트 윤태영 발표자는 ‘공격자보다 먼저 보안위협 찾기-Threat Hunting(쓰렛 헌팅)’이란 주제로 강연을 진행했다. 엔씨소프트에서 사내 자산을 외부 위협으로부터 보호하고 지키기 위해 도입한 쓰렛헌팅 프로젝트를 소개하는 자리여서 참관객들의 많은 관심을 끌었다.

그는 “최근 공격자들은 매우 고도화 지능화 되고 있다. 대표적 사례로 신뢰 관계를 악용한 서드파티 프로그램에 악성코드 유포를 진행하는 서플라이체인(공급망) 어택이 많이 발생하고 있다. 또 공격자는 기업을 타깃으로 짧게는 몇 일부터 길게는 수개월 동안 기업을 분석하고 정보를 수집한다. 심지어는 직원 신상뿐만 아니라 친구, 친인척, 가족관계까지 확인하고 공격을 시도한다. 이런 관계로 공격자에 의한 침해사고가 꾸준히 발생되고 있고 이를 방어하는 것은 더욱 힘든 상황이다”라고 전했다.

이어 “기술이 발전 하면서 업무 환경도 변화 하고 있다. 과거에는 기업 내 자산에 대한 보안이 주였다면 클라우드와 스마트 워크 환경이 발전하면서 기존에 사용하던 방화벽 IDS, IPS, 백신 위주로 구성 되었던 기업 보안 환경에서 샌드박스, 인텔리전스, EDR 등 다양한 보안솔루션으로 변화하고 있다. 특히나 공격자의 위협을 탐지하기 위한 가시성 확보에 중요성이 높아 지면서 최근 EDR이라는 솔루션이 이슈가 되고 있다”고 말했다.

이렇게 기업의 자산을 지키기 위해 도입한 보안솔루션이 늘어 나면서 탐지되는 이벤트들도 급증한 상황이다. 그는 ‘과연 방대한 이벤트에서 모든 위협을 제대로 보고 정확히 탐지하고 있을까’ 질문을 던진다.

그는 안전한 환경을 만드는 세가지 핵심사항은 △탐지 개선 △가시성 확보 △보안 설정 강화 및 취약점 제거라고 말한다. 이를 위해 공격자 입장에서 생각하면서 방법을 찾아 보자고 전했다. 기존의 수동적이면서 절차에 따른 보안에서 벗어나야 한다는 것이다. 그래야만 능동적이고 고도화된 공격을 막아낼 수 있다.

공격자들은 기업내 모든 시스템을 확인하고 접근 가능 한 곳을 찾아 공격을 시도한다. 그리고 보안 설정이 되어 있으면 그것을 우회 하거나 취약점을 사용해 공격을 진행한다. 또한 모든 공격 과정의 흔적을 제거하면서 은밀하게 활동한다.

엔씨소프트는 이런 공격을 막아내기 위해 공격자가 사용하는 우회공격이나 취약점을 먼저 찾아 내고 제거를 하는 쓰렛 헌팅 프로젝트를 시작하게 됐다.

가트너 애널리스트 안톤 슈바킨은 쓰렛 헌팅에 대해 ‘분석 기반 접근(Analyst-Centric Process)이며 기존 탐지 또는 차단 시스템이 인지하지 못했던 숨어있는 고도의 위협을 찾아내는 과정’ 즉 ‘사고가 발생하기 전에 피해를 예방하거나 피해 최소화를 위해 위협을 적극적으로 찾는 것’을 말한다.

“엔씨소프트만의 쓰렛헌팅 체계를 만들어보자”

NC 어텍 라이프 사이클
NC 어텍 라이프 사이클

그는 “처음 시작하려고 할 때 쓰렛 헌팅 관련 국내 적용사례가 거의 없었기 때문에 해외 기술 자료를 모아서 엔씨소프트 만에 쓰렛 헌팅을 만들어 보자고 생각했다. 우리의 쓰렛 헌팅 방법이 정답이 아닐 수 있다. 하지만 다른 기업에서 혹시 도입하고자 할 때 참고가 되길 바란다”고 전했다.

엔씨소프트의 쓰렛 헌팅 방법은 첫째 공격자의 공격 형태를 분석하고, 둘째는 공격 기술에 대한 내용을 조사한다. 이를 기준으로 내부 보안 상황과 실제 위협을 확인하는 단계로 진행하면서 엔씨만의 쓰렛 헌팅을 만들어 갔다.

우선 프로젝트를 진행 하기 위해 공격자를 알아야 된다. 그래서 공격자의 공격 형태는 어떻게 되는지 연구하기 위해 많은 보안전문가들이 정리한 사이버 위협 모델을 조사하기 시작했다. 록히드 마틴의 사이버 킬 체인 모델부터 마이터 사의 라이프 사이클까지 다양한 모델들을 참고했다.

그는 “많은 모델을 확인 해보니, 대부분 모델이 공격의 흐름을 기준으로 만들어 졌고 이를 기준으로 공격자의 공격 형태를 파악 하고 있었다. 비슷한 것 같지만 조금씩 차이가 있었다. 다양한 모델 중에서 우리는 무엇을 써야 할지. 그리고 기업보안에서 이 모델들이 정말 맞을지. 특히 게임사 엔씨소프트에 맞는 모델일지 고민하게 됐다”며 “그래서 기존 침해사고를 다시 확인했다. 직접적으로 공격을 한 공격자들의 공격 형태는 어떻게 되는지. 국내에서 대외적으로 공개된 공격자의 공격형태는 어떻게 되는지. 이외 APT그룹들은 어떻게 공격을 해 왔는지. 특히 게임사 타깃 공격 사례를 분석했다”고 밝혔다.

이어 “실제 보안성 강화가 필요한 위치 중심으로 다시 공격 모델을 우리만의 방법으로 재정의 해 어택라이프 사이클을 만들었다. 단계는 총 네 단계로 △사내 인프라에 접근을 시도하고 악성코드를 전달·실행하는 초기 접근 단계 △호스트에 거점을 확보하기 위한 장악 단계 △주요 정보를 찾기 위해 주번 호스트로 확산하는 확산 단계 △마지막으로 공격자가 최종적으로 원하는 목적을 달성하는 목적 달성 단계로 구분했다”고 설명했다.

다음은 공격자는 어떤 공격 기술로 공격을 하는지에 대해 분석이 필요했다. 엔씨소프트는 Tactics, Techniques and Procedures(이하 TTPs)를 활용한 공격자의 공격 기술을 정의했다. TTPs는 공격자의 전략, 전술, 절차를 기반한 IOC다. 예를 들어 공격자가 지속적인 공격을 하기 위해 어드민(admin)이라는 이름으로 관리자 계정을 생성했다고 하면, 기존 패턴 중심의 탐지 방법은 어드민이라는 계정이름 즉 밸류 값을 기준으로 탐지하고 주변에 동일한 공격이 있는지를 탐지를 하는 방식이다. 하지만 TTPs 방법은 전략과 기술을 기반으로 해 정의하기 때문에 공격자가 원하는 목표 즉 지속이라는 텍틱스와 관리자 계정생성이라는 테크닉을 기반으로 정의가 된다. 즉 공격자의 관점으로 의도와 기술을 파악해 탐지하는 방식이다. 침해 사고 사례를 TTPs 형태로 목록화한 것이 엔씨소프트 쓰렛 헌팅의 특징이다.

그는 “TTPs를 정리하고 ‘엔씨 어텍 라이프 사이클’에 정리를 해보니 기업을 공격할 때 가장 많이 사용 되는 TTPs를 확인 할 수 있었다. 또한 TTPs는 지속적으로 관리가 필요하고 변화가 이루어지기 때문에 텍틱스 기준으로 다시 매트릭스를 만들어서 관리할 수 있도록 했다”며 “어덱 라이프 사이클과 TTPs 매트릭스를 만들면서 쓰렛 헌팅에 기본이 되는 데이터 셋을 구성 하게 되었고, 이것을 기반으로 공격자처럼 공격 시나리오를 만들어 내는 밑 바탕을 만들게 되었다”고 설명했다.

이제 공격 라이프사이클과 TTPs를 활용해 공격 시나리오를 만들고 기업 인프라에 공격적인 테스트를 진행하는 단계가 됐다. 하지만 실제 공격을 사내 인프라에 바로 할 수 없는 상황이라 내부 구간마다 테스트 장비를 구축하고 업무와 동일한 환경을 만들어 테스트 랩을 구성했다. 그리고 다양한 내부망 APT 공격 시나리오를 만들고 체계적인 테스트를 진행하고 있다고 전했다.

공격 시나리오 테스트 과정에서도 많은 고민이 있었다고 한다. 방어하는 방법을 찾는 것이 아니라 보안 인프라를 우회 하는 방법을 찾아야 했다. 예를 들면 악성코드가 포함된 파일을 어떻게 전달 할 수 있을까. 확장자 별로 시도를 해보고 우회도 해보고, 악성코드가 백신이 탐지하지 못하도록 하는 방법, 보안 설정을 우회하는 방법, 관리자 계정을 탈취하는 방법 등 고민하고 시도하고, 우회하고 공격하고, 공격이 성공 할 때까지 지속한 것이다.

윤태영 발표자는 “이런 과정을 거쳐 테스트를 해 본 것과 안 해 본 것에는 많은 차이가 있었다. 정말 많은 것은 확인할 수 있었다. 알지 못했던 취약점과 지금까지 저장된 로그를 통해 침해가 진행되고 있는지를 실제로 확인할 수 있었다. 다행히 발견된 침해 흔적은 없었다”며 “또한 이러한 공격 방법을 탐지 패턴으로 만들어 탐지를 개선해 동일한 공격이 있을 경우 빠르게 탐지가 가능한 상황을 만들게 되었다”고 설명했다.

더불어 안전하다고 생각했던 곳에서 미흡한 설정부분을 찾아내 설정 상태를 재확인하고 설정을 강화하는 효과도 컸다고 한다. 이런 문제들을 발견하고 해결하면서 보다 안전한 업무 환경을 만들어 갈 수 있었다고 전했다.

끝으로 그는 “이 프로젝트 결과로, 실제적이고 위험도가 높은 취약점을 찾아 조치 할 수 있는 체계를 수립 할 수 있게 되었다. 그리고 데이터 수집 현황 및 상태 확인이 가능하게 되었고 추가적으로 수집이 필요한 데이터와 모니터링이 필요한 곳을 확인 할 수 있었다. 또 APT 등 고도화된 공격을 탐지하고 이틀 통해 탐지시간을 지속적으로 단축할 수 있는 방안이 마련 되었다”며 “향후 이 프로젝트를 더욱 발전시켜 공격자보다 먼저 사내 위협을 찾고 제거 해갈 수 있도록 발전시켜 나갈 것이다. 다른 기업들도 충분히 할 수 있다고 생각한다. 해외에 많은 자료를 활용해 시작하는 것도 도움이 될 것이다”라고 전했다.

그가 추천한 해외 자료는 마이터 어덱에서 EDR 솔루션의 성능 테스트를 하는 것이 있다. 이런 방법을 참고해 기업의 보안 수준을 확인하는 식으로 접근을 하면 도움이 된다.

또 추가로 래드카나리의 아토믹 레드팀에서 다양한 TTPs와 공격 기법을 기술해 놓았다. 이를 기반 기술로 정리해 활용하는 방법도 추천했다.

★정보보안 대표 미디어 데일리시큐!★