“침해지표란 호스트나 네트워크 상에서 침해 혹은 감염을 식별할 수 있는 포렌식 아티팩트다. 다만 네트워크단 침해지표는 IP나 도메인, 악성트래픽 정보 등은 알 수 있지만 실제 침해냐 아니냐는 호스트를 분석해야 한다. 호스트 기반 포렌식 침해 지표를 활용한 침해사고 프로파일링이 이루어져야 호스트 인테리전스 정보를 확보할 수 있고 이를 통해 사고의 원인과 과정을 밝혀내 원인제거와 대책마련이 가능하다.”
 
김진국 플레인비트 대표(사진)는 지난 15일 데일리시큐 주최 ‘대한민국 정보보호 인텔리전스 K-ISI 2015’에서 ‘침해자료를 활용한 침해사고 프로파일링’이란 주제로 발표를 진행했다.
 
김진국 대표는 이 자리에서 네트워크 보다는 호스트 침해지표를 중심으로 침해지표와 침해사고 프로파일링을 통한 사고 원인과 과정을 밝혀 사이버사고 대응을 해야 한다고 강조했다.
 
그는 전통적인 침해사고 대응에 대해 침해지표를 이용해 침해 시도를 탐지하거나 차단하고 감염 시스템을 식별 후, 식별 원인 및 공격 기제를 제거하는 것에 그친다. 하지만 이것만으로는 타깃 공격을 막진 못한다. 드러난 흔적만 볼 수 있기 때문이라고 지적한다.
 
김 대표는 “기존 침해사고 대응방법으로는 정교한 타깃 공격을 막을 수 없다. 자가삭제되는 악성코드를 어떻게 분석할 것인가. 분석할 대상이 사라져 분석할 수 없는 것이다. 이러한 한계를 넘어서기 위해 필요한 것이 바로 침해사고 포렌식이다”라며 “포렌식 침해지표를 이용해 사고의 원인과 과정을 밝혀내 근본적인 사고 원인을 제거할 수 있고 더 나아가 공격 행위를 사전탐지 해 미리 대책을 마련할 수 있게 된다”고 설명했다.
 
즉 전통적 침해지표였던 IP, 도메인 주소, 악성코드 체크섬, 해쉬값, 악성코드 정적, 동적 정보 등으로는 패스트 플럭스, 도메인 쉐도잉, 파일리스 악성코드, 자가삭제형 악성코드, 사전 조사를 통한 보안솔루션 우회 공격 등을 탐지하는데 한계가 있다는 것이다.
 
이러한 기존 침해지표를 보완한 포렌식 침해지표와 침해사고 프로파일링을 활용하면 정교한 공격과 우회공격들에 대한 사전 식별 가능성이 높아질 수 있다는 것이다.

 
김 대표는 “공격자들은 다양한 부분에서 흔적을 남기게 된다. 내부 시스템에 악성코드가 다운로드 되거나 내부로 전파되면서 생기는 흔적, 인증 취약점 흔적, 원격 접속 흔적, 실행 파일 실행 흔적, 비정상 폴더 사용 흔적, 은닉 및 삭제 흔적 등 다양하다”며 “포렌식 침해지표는 이러한 흔적을 찾아낼 수 있고 우회공격들을 사전에 탐지해 낼 수 있다. 또 오랜 기간 이러한 정보들을 관리하면 인텔리전스 정보가 된다. 백신이나 보안솔루션들이 진단하지 못하는 것을 포렌식 침해지표를 활용해 사전 탐지율을 높일 수 있는 것이다”라고 밝혔다.
 
침해사고 프로파일링에 대해서도 그는 “침해사고 현장은 오프라인 범죄와 유사하다. 현실세계의 범죄자들도 유사한 형태의 범죄방법을 쓰기 때문에 범죄 프로파일링이 중요한 것처럼 사이버 공격자들도 유사한 공격방법을 취한다. 공격자들의 침해지표 정보를 지속적으로 관리해서 프로파일링하면 중요한 인텔리전스 정보가 되고 사전대응과 빠른 차단이 가능할 것”이라고 설명한다.  
 
하지만 침해사고 현장을 가 보면 안타까운 일이 많이 발생한다고 한다. 공격자들의 흔적이 관리가 안되고 있다는 지적도 나왔다.
 
김 대표는 “실제 모 기업에 침해사고가 발생해, 사고후 2주 뒤 들어간 적이 있다. 공격자가 대부분 흔적을 안티포렌식으로 지운 상태였다. 또 회사는 보안프로그램 이벤트 로그를 한 달만 저장하고 있어 3개월에서 6개월 이상 지속된 공격 흔적을 찾기가 어려운 상태였다”며 현장의 어려움을 전했다.
 
기업에서 침해지표 관리를 잘 해두면 다양한 이점이 있다. 침해사고 사전 탐지율을 높일 수 있고 유사한 공격발생시 즉각적 대응이 가능하며 추가 감염 시스템을 식별하는데도 도움이 돼 불안감을 해소할 수 있다. 또 사고원인과 과정을 밝혀내 근본적인 문제점을 해결 할 수 있는 것이다. 더불어 재발 방지를 위해 기업에 위협이 되는 공격 조직에 대한 시야를 확보할 수 있다.
 
김진국 대표는 “호스트 포렌식 침해지표를 잘 관리하면 호스트 인텔리전스 정보가 된다. 이 정보를 활용하면 침해사고 및 정보유출 사고 탐지 뿐만 아니라 ICT 컴플라이언스 준수, 퇴사자 예측, 기타 정보 감사에도 유용하게 활용할 수 있다”고 덧붙였다.
 
인텔리전스 정보의 결합도 중요하다. 내부망 시스템 인텔리전스와 네트워크 인텔리전스 그리고 외부망의 공개, 비공개 인텔리전스 정보들이 결합됐을 때 판단 오류를 줄이고 사전 예측력과 사후 대응력을 높이고 폭넓은 시야를 확보할 수 있을 것이라고 김대표는 강조한다.
 
김진국 플레인비트 대표의 K-ISI 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com