[기고]해커 속이는 '사이버 디셉션' 기술

  • 작은 글자
  • 큰 글자
  • 프린터
[기고]해커 속이는 '사이버 디셉션' 기술

기존 해커는 실력 과시를 위해 불특정 다수 시스템 공격을 시도했다. 지금은 특정 자산을 노리거나 금전상 이득을 취하기 위해 해킹을 시도한다. 목적 달성을 위해 대상 하나를 목표로 정한 후 내부에 침입해서 목적을 달성할 때까지 여러 보안 위협을 가하는 지능형지속위협(APT) 공격에 나선다.

공격 대상 선정도 바뀐다. APT 공격이 다수를 대상으로 진행됐다면 최근에는 특정 목표를 집요하게 공격한다. 침투 흔적을 남기지 않기 때문에 기업 내부 정보가 외부에 유출된 시점이 한참 지난 뒤인 실질 피해가 발생했을 때 해킹 사실을 알게 되는 경우가 많다.

기업이 강력한 보안 환경을 구축하고 있다면 '네트워크에 공격자가 있는지 어떻게 확인할 수 있고 어떻게 빨리 찾을 수 있는가' '그들의 의도는 무엇인가' '얼마나 빨리 비즈니스 운영을 정상화시킬 수 있나' 등을 걱정할 것이다.

오늘날 사이버 보안은 공격자가 목표를 정해서 APT 공격을 시도하면 결국 성공할 수밖에 없다. 보안은 공격자가 내부 망에 침입하느냐 마느냐가 문제가 아니라 이미 침입한 공격자를 어떻게 발견하고 조치를 취할 것인가에 대한 고민이 필요하다. 내부 망에 침입한 공격자를 조기에 발견, 처리하기 위한 유용한 방법 가운데 하나가 바로 공격자를 속이는 기만 기술인 '사이버 디셉션'이다.

디셉션 기술은 사이버상 공격자가 서버 또는 시스템을 공격할 때 유인하는 함정으로 만들어진 허니폿의 진화 및 변화 형태다.

초기 허니폿은 보안 담당자가 공격 정보를 수집할 수 있어 방어 기능 강화에는 유용했지만 라이선스 문제와 복잡성, 대규모 네트워크나 다양한 시스템 탐지에는 한계를 드러냈다. 그러나 최근 10여년 동안 허니폿은 기술 한계를 극복, 새로운 방어 솔루션인 디셉션 기술로 발전했다.

디셉션 기술은 기존의 수동형 방어 기술과 다른 능동 방식으로 공격 대상이 되는 모든 것을 모방 및 위장한다. 자동으로 확장해서 가짜 인터페이스를 만들고, 그곳으로 공격자를 유인해서 공격자를 실시간 탐지와 모니터링을 할 수 있다. 이러한 디셉션 기술은 미국 국토안보부가 인증한 차세대 보안 기술인 '이동 방어'를 적용했다. 공격자가 기업 자산에 접근할 때마다 트랩을 계속 변화시키는 방법으로 공격을 무력화시킨다.

이제 보안 담당자는 조직 네트워크 안에 원하는 만큼의 사이버 디셉션 기술이 적용된 트랩 장비들을 빠른 속도로 자동 설치가 가능하다. 이러한 트랩은 중앙 관리 형식으로 손쉽게 관리할 수 있다. 공격자가 실제 장비에 침투한 것처럼 느낀다. 그 안에서 공격자들이 하는 일련의 행위는 모두 기록된다. 이후 중앙관리 서버에 보고되기 때문에 공격자가 배포하려는 악성 파일들을 격리시키거나 공격 근원지와의 연결을 차단시킬 수 있다. 공격자들의 내부 움직임을 시각화를 통해 빠르게 판별할 수 있다.

보안 담당자들이 내부 자산과 똑같은 트랩을 설치해 놓으면 내부에 침입한 공격자가 트랩을 건드리는 순간 알람이 뜨고, 악성 행위를 곧바로 확인할 수 있다. 이는 오늘날 보안 장비들의 수많은 로그와 알람 가운데 보안 담당자들이 분석을 통해 의미 있는 악성 행위를 찾아내는 것과 차원이 다른 것이다. 특별한 보안 지식이 없는 사람도 매우 간단하게 공격자를 판별할 수 있으며, 오탐이 거의 없다는 것이 크나큰 장점이라 할 수 있다.

이 기술은 내부 위협자를 찾는 데 유효하다. 특정 권한이 있는 내부자는 내부 데이터를 더 쉽게 유출할 수 있기 때문에 위협 정도가 외부 공격자보다 더 큰 존재라 볼 수 있다. 사이버 디셉션 기술은 조직 네트워크 상단에서 외부에서 침투해 들어오는 것을 감시하는 것이 아니라 조직 네트워크 안에서의 이상 징후를 탐지한다.

디셉션 기술은 네트워크 추가 확장이 쉽고, 중앙집중식으로 관리 및 배포하기 쉽다. 특히 기존 보안의 약점으로 지적돼 온 사물인터넷(IoT) 시스템을 방어할 수 있다. 광범위한 자동화 스케일, 클라우드 지원, 모든 장치 지원, 자동 완화 트리커 등 장점으로 해외에서는 이미 다양한 분야에서 적용하고 있다.

최신 보안 위협 탐지 및 방어 기법을 도입해도 큰 효과가 발휘되지 않는다면 공격을 방어하는 대응책도 계속 찾아야만 한다. 이제 보안 환경 강화를 위해 네트워크 경계단에서 외부 공격을 차단하는 것도 중요하지만 네트워크 내부에서 일어나는 행위 분석이나 로그 분석을 통해 정상 행위에서 벗어나는 행위를 탐지하는 것도 중요하다.

방혁준 쿤텍 대표 joon@coontec.com

기고