최근 현 정부에서 공세적 사이버 대응과 복원력 강화를 골자로 한 국가사이버안보전략을 발표했다. 정보통신기획평가원(IITP)에서도 사이버 공격을 억지하는 관점으로 공세적 역량을 확보하는 연구 과제가 기획·논의되고 있다. 이런 변화는 수세적으로 사이버 공격을 대응 해오던 기존 방식이 가지는 한계를 탈피하고 새로운 관점의 대응 전략을 도출해 볼 수 있다는 측면에서 가치가 있다.
공세적 사이버 대응이 효과를 보려면 사이버 공격자의 움직임에 대한 가시성을 확보해야 한다. 좀 더 구체적으로 말하자면 전문화하고 조직화해 있는 공격 그룹이 어떠한 인프라(자원)을 활용해서 공격을 준비하고 진행시키는지에 대한 정보를 사전에 반드시 확보해야 한다.
지금까지 공격 그룹의 인프라를 확보하는 방안은 크게 오픈소스인텔리전스(OSINT)나 인텔리전스 정보를 활용해 선제적으로 수집하는 방식과 사고 발생 후 사고 대응 단계에서 역학조사를 통해 찾아내는 방식을 활용하고 있다.
다만, 선제적으로 수집되는 정보는 이미 누군가에겐 알려져 있다는 측면에서 앞으로 진행될 새로운 사이버 공격과의 연결성이 낮을 수 있다. 또 이미 발생한 사고를 대응하는 단계에서 찾아낸 정보는 공격자 관점에선 이미 효용성이 끝난 정보라고 봐야 한다.
공세적 사이버 대응이 효과를 보려면 공격자가 현재 어떤 새로운 인프라(자원)을 활용해 사이버 공격을 준비하고 진행해 나가는지 파악하는 것이 중요하다. 다행히 사이버 공격이 고도화함에 따라 조직의 보안 수준도 많이 높아져 왔다. 그로 인해 공격자가 공격 목적을 최종 달성하기까지는 꽤나 긴 시간이 필요하게 됐다. 이는 결국 방어자에게도 공격의 과정을 식별하는 데 필요한 시간이 주어진다는 것을 의미한다.
공격자가 현재 활용하는 가치 있는 인프라(자원)를 확보하는 방안은 도입돼 있는 엔드포인트보안플랫폼(EPP), 엔드포인트탐지·대응(EDR), 네트워크탐지·대응(NDR), 확장된탐지·대응(XDR), 통합보안관제(SIEM) 등 솔루션을 활용하거나 제로 트러스트 관점에서 운용되고 있는 다양한 센서를 활용해 식별할 수 있다.
다만, 이런 솔루션이 이상적으로 운영되지 않는 경우가 많고, 모든 위협을 식별할 수 없다는 원천적인 한계가 있다. 이를 보완하기 위한 가장 좋은 수단이 정기적인 침해평가(CA·Compromised Assessment)를 진행하는 것이다.
침해평가는 조직 내에 현재 존재하거나 과거에 활동한 공격자를 찾기 위한 객관적인 활동으로 악의적인 행위가 있다고 판단될 때 수행하는 기술적인 검토 작업이다. 공격자는 공격 초기에 조직 환경을 완벽히 파악하지 못한 상태이기 때문에 매우 정교하고 은밀하게 이동하지만, 안전하다고 확신하는 순간부터는 수준 높은 공격자도 더 이상 정교하게 이동하지 않는다.
이 과정에서 다양한 보안 위협 이벤트가 탐지되는데 운영의 정상화에 초점을 맞춰 위협을 단순 제거하는 경우가 많다. 이렇게 단순 제거된 위협은 당장은 눈에 보이지 않을 수 있지만 탐지를 알아차린 공격자는 더욱 은밀하게 숨어버린다. 따라서, 조직에서 발생하는 모든 위협은 평가돼야 하고, 평가 결과에 따라 단순 제거할지 침해평가를 진행할지 결정돼야 한다.
침해평가 단계에서 식별된 공격자의 인프라 정보는 사전·사후에 식별된 정보에 비해 수명이 길고 공격자와 연관성이 높기 때문에 공세적 대응과 조직을 타깃으로 한 공격자의 흐름을 파악하는 데 효과적으로 활용할 수 있다.
김진국 플레인비트 대표 jinkook.kim@plainbit.co.kr