모든 보안 솔루션이 악성 프로세스를 걸러내기 위한 프레임워크를 갖추고 있듯이, 공격자 역시 인프라를 침투하거나 경계 방어를 우회하기 위한 프레임워크를 가지고 있습니다. 사이버 킬 체인은 정교한 공격이 확대되거나 조직에 영향을 미치기 전에 이를 식별하고 차단하기 위해 고안된 개념입니다. 이 공격의 여러 단계를 다루며 위협의 관련성을 보여줍니다. 사이버 킬 체인은 사고 관리 및 대응 모델을 개선하는 데 활용될 수 있습니다.
올바르게 이해하고 구현할 경우 보안상의 이점을 제공합니다. 보안 팀은 이를 통해 자신의 취약점을 파악하고 비즈니스에 도움이 되는 미래 지향적 질문을 할 수 있습니다. 또한 조직의 사이버 보안 전략 수립에 기여하고 방어 체계를 강화합니다. 본 가이드는 사이버 킬 체인이 무엇인지 설명하고, 일반적인 사이버 킬 체인 단계를 강조하며, 해당 프레임워크에 대해 더 깊이 논의할 것입니다. 사이버 킬 체인에 관심이 있다면 이 글이 훌륭한 출발점이 될 것입니다.
사이버 킬 체인이란 무엇인가?
사이버 킬 체인은 록히드 마틴이 최초로 개발한 정보 주도형 방어 모델입니다. 이 모델의 목적은 보안 팀이 사이버 공격을 분석하고 이해하며 단계별로 구분하는 데 도움을 주는 것이었습니다. 이는 공격자가 방어 체계를 성공적으로 뚫기 전에 거치는 단계를 도식화한 사이버 킬 체인 모델입니다.
사이버 킬 체인 단계는 고급 지속적 위협(APT)이 지속되는 기간을 설명하고 일련의 사건 흐름을 보여줍니다. 초기 정찰부터 공격자의 목표 달성까지 모든 단계를 포괄합니다.
사이버 킬 체인 vs MITRE ATT&CK
사이버 킬 체인은 적대적 행위와 전술에 대한 상세한 시각을 제공합니다. 레드 팀 활동, 포렌식 분석, 사고 대응에 자주 활용됩니다. MITRE ATT&CK 프레임워크는 다양한 위협에 대한 더 깊은 통찰력과 유연성을 제공하도록 설계되었습니다. 사이버 킬 체인은 견고한 기반을 구축하고 선제적 방어 전략을 개발하는 데 활용됩니다. 침입 탐지 시스템, 방화벽, 현대적 보안 솔루션을 혼합하여 사용하는 조직에 매우 효과적입니다.
기업이 클라우드 및 엔드포인트 환경 전반에서 공격자의 운영 방식을 보다 심층적으로 파악하고자 할 때 MITRE ATT&CK 프레임워크가 유용합니다. 사이버 킬 체인 프로토콜은 공격을 즉각 차단하고 보안 운영을 강화하는 귀중한 도구 역할을 할 수 있습니다. MITRE ATT&CK는 보다 세분화되고 유연하며, 실제 공격 기법, 기술 및 절차(TTP)를 매핑합니다. MITRE ATT&CK는 또한 공격 주기의 어느 단계에서 발생하든 상관없이 모든 공격 단계의 위협에 대응하는 데 사용할 수 있습니다.
사이버 킬 체인과 관련된 우려 사항
사이버 킬 체인 모델은 선형적인 접근 방식을 따르기 때문에 다중 벡터 공격을 탐지하는 데는 적합하지 않습니다. 예측 가능한 경로를 따르는 위협만 도출할 수 있습니다. 어떤 공격이 순서를 벗어나면 사이버 킬 체인 프로세스는 빠르게 무너질 수 있습니다. 또한 사이버 킬 체인은 내부자 위협과 웹 기반 공격을 고려하지 않습니다. 이는 외부 위협에만 초점을 맞춘 정적인 위협 탐지 모델입니다. 경계 보안과 악성코드 탐지에 의존하기 때문에 클라우드 기반 보안 환경에서는 효과적이지 않습니다.
사이버 킬 체인은 2011년에 제정되었지만, 사이버 위협의 변화하는 특성에 적응하기 위해 프레임워크가 업데이트되지 않았습니다. 이 프레임워크는 서비스형 랜섬웨어(RaaS) 수준의 위협에 대해 특히 효과적이지 않으며 탐지 프로필이 제한적입니다. 사이버 킬 체인은 유연성이 부족하여 복잡한 공격 시나리오를 처리할 수 없습니다. 또한 다양한 출처에서 분석해야 하는 위협 인텔리전스도 부족합니다. 심지어 "무차별 공격" 전술이나 일반적인 패턴을 따르지 않는 위협과 같이 덜 정교한 공격도 놓칠 수 있습니다.
사이버 킬 체인의 작동 방식?
사이버 킬 체인은 공격을 여러 단계와 단계로 분해합니다. 공격자의 움직임을 인식하는 체계적인 접근 방식을 취하며, 각 단계에서 공격을 방해하는 방법을 논의합니다. 공격을 단일 사건으로 보지 않습니다.
공격 주기에서 가능한 한 조기에 공격자의 움직임을 탐지하고 대응합니다. 조직이 해당 조치를 시행하지 못할 경우 장기적으로 심각한 결과를 초래할 수 있습니다. 본질적으로 사이버 킬 체인은 조직이 최신 사이버 위협으로부터 보호받고 방어하기 위해 따를 수 있는 로드맵 또는 청사진입니다.
threat-intelligence-ops-report1-purple
사이버 킬 체인의 7단계
사이버 킬 체인은 다음과 같은 일곱 단계로 구성됩니다:
1. 정찰
정찰은 사이버 킬 체인 모델의 첫 번째 단계입니다. 잠재적 표적에 대한 통찰력을 제공하고 이를 연구합니다. 또한 대상의 취약점을 파악하고, 해당 대상이 연결될 수 있는 제3자를 찾아냅니다. 또한 다른 잠재적인 진입점을 탐색하고 새로운 진입점을 찾으며, 정찰은 온라인과 오프라인 모두에서 이루어질 수 있습니다.
2. 무기화
사이버 무기와 킬체인 도구를 사용하여 대상의 네트워크를 공격하고 침투합니다. 이러한 도구에는 악성 코드, 랜섬웨어 변종, 페이로드 및 기타 악성 변종이 포함될 수 있습니다.
3. 전달
적대자는 사용자에게 접근하여 악성 링크가 포함된 다양한 피싱 수단을 보낼 것입니다. 이러한 이메일의 제목은 피해자가 행동을 취하도록 유도하거나 촉발하기 위해 노력할 것입니다. 전달이 성공하면 공격자는 조직의 네트워크에 침투하여 하드웨어 및 소프트웨어 취약점을 더욱 악용할 수 있습니다.
4. 악용
공격자는 네트워크에 더 깊이 침투하여 이전 단계에서 발견하고 악용한 취약점을 이용하려고 시도합니다. 그들은 목표를 달성하기 위해 전진하고 네트워크를 가로질러 측면 이동을 시도하여 더 큰 목표물에 도달할 것입니다. 네트워크를 관리하는 책임이 있는 대상이 필요한 보안 조치를 배포하지 않은 경우, 공격자는 그들을 노릴 것입니다.
5. 설치
설치 단계에서는 대상 네트워크에 악성코드 및 기타 랜섬웨어 변종을 설치하려고 시도합니다. 공격자는 시스템을 장악하고 민감한 데이터를 유출하려고 시도할 것입니다. 또한 다른 사이버 무기, 트로이 목마, 백도어, 명령줄 인터페이스 등을 설치할 수도 있습니다.
6. 지휘통제(C2)
사이버킬 체인의 지휘통제 단계에서 공격자는 방금 네트워크에 심어 놓은 악성코드와 통신을 시도합니다. 공격자는 도구에 특정 작업을 원격으로 수행하도록 지시합니다. 공격자는 통신 채널을 사용하여 자신의 악성코드와 봇넷에 감염된 컴퓨터를 제어합니다. 웹사이트에 트래픽을 과부하시키거나 C2 서버에 임무를 수행하도록 지시할 수 있습니다.
7. 목표에 대한 행동
이것은 공격자가 목표를 수행하고 성공하기 위해 시도하는 마지막 단계입니다. 목표는 수행하는 사이버 공격 유형에 따라 달라질 수 있습니다. 일부 공격자는 서비스 중단, 서비스 정지 또는 조직의 완전한 온라인 전환을 시도할 수 있습니다. 민감한 데이터를 훔치기 위해 악성코드를 유포하거나, 서비스 거부 공격을 수행하거나, 조직을 협박하는 수단으로 랜섬웨어를 사용할 수도 있습니다.
사이버 킬 체인의 한계점
사이버 킬 체인의 단점과 한계점은 다음과 같습니다:
- 사이버 킬 체인 단계의 가장 큰 약점 중 하나는 내부자 위협을 탐지할 수 없다는 점입니다. 권한이 없는 당사자가 침해된 자격 증명을 사용하는 공격도 탐지할 수 없습니다. 웹 기반 공격은 사이버 킬 체인 프레임워크에 의해 감지되지 않습니다. 이러한 공격의 예로는 SQL 인젝션, DOS 및 DDOS 공격, 크로스 사이트 스크립팅, 제로데이 공격.
- 사이버 킬체인 모델은 너무 복잡하지 않은 공격도 놓칠 수 있습니다. 이러한 공격에는 많은 연구가 필요하지 않고 정교함이 부족한 공격 사례가 포함될 수 있습니다.
- 사이버 킬체인 프레임워크는 기본적인 변종, 특히 순전히 우연히 가장 잘 설계된 탐지 체계를 교묘하게 회피할 수 있는 무차별 대량 공격 전술을 놓칠 수 있습니다.
실제 사이버 킬 체인 사례
실제 사이버 킬 프로세스가 작동한 사례는 다음과 같습니다:
타겟 데이터 유출 사건 (2013년)
공격자들은 타겟의 제3자 HVAC 공급업체인 파지오 메카니컬(Fazio Mechanical)의 취약점을 발견하며 정찰을 시작했습니다. 피싱 이메일을 악성코드화한 후, 공격자들은 파지오 직원들에게 페이로드를 전달하고 합법적인 공급업체 자격 증명을 이용해 타겟의 네트워크에 침투했습니다. 메모리 스크래핑 악성코드가 POS(판매 시점) 단말기에 설치되었으며, C&C(명령 및 제어) 통신을 통해 7천만 건의 고객 기록과 4천만 개의 신용카드 번호를 탈취했습니다.
소니 픽처스 엔터테인먼트 해킹 사건 (2014)
공격자들은 소니 인프라에 대한 광범위한 정찰을 수행한 후, 데이터 삭제 악성코드와 백도어를 무기화했습니다. 스피어 피싱 메시지는 훔친 관리자 자격 증명을 이용해 악성 페이로드를 네트워크 전반에 확산시키는 악성 도구들을 운반했습니다. 수개월간 지속된 명령 및 제어 채널로 인해 데이터가 파괴되고 영화가 도난당했으며, 영화 <인터뷰> 개봉을 막기 위한 몸값 요구가 발생했습니다.
솔라윈즈 공급망 침해 사건 (2020)
위협 행위자들은 SUNBURST 백도어를 통해 합법적인 업데이트를 무기로 삼아 SolarWinds 업데이트 프로세스를 간첩 활동에 이용했습니다. 악성코드는 침해된 빌드를 통해 18,000명의 사용자에게 확산되었으며, 무음 업데이트 벡터를 이용해 페이로드를 전달했습니다. 또한 명령 및 제어 통신은 회피 목적으로 도메인 생성 알고리즘을 활용하여 민감한 정보가 포함된 상업 및 정부 네트워크 모두에 접근할 수 있도록 했습니다.
콜로니얼 파이프라인 랜섬웨어 공격 (2021)
DarkSide 랜섬웨어 공격자들은 정찰 단계에서 콜로니얼 파이프라인의 VPN 취약점을 악용했으며, 운영 기술 환경에 맞춤화된 페이로드를 사용했습니다. 도난당한 자격 증명이 초기 접근을 제공했으며, 이는 비밀번호 재사용과 다중 인증 부재를 이용한 것이었습니다. 랜섬웨어 설치로 파이프라인 운영이 중단되었으며, 440만 달러의 몸값이 지불될 때까지 명령 및 제어 채널을 통해 암호화 상태가 관찰되었습니다.
사이버 킬 체인과 센티넬원(SentinelOne)으로 보안 강화하기
SentinelOne의 AI 위협 탐지 플랫폼은 사이버 킬 체인 모델을 적용하고 실행할 수 있습니다. SentinelOne의 네트워크 모니터링 기능을 통해 정찰 작전을 탐지할 수 있습니다. SentinelOne의 공격적 보안 엔진은 공격자보다 여러 단계 앞서 위협을 사전에 탐지하고 예측할 수 있습니다. 전달 및 무기화 단계에서는 SentinelOne의 행동 기반 AI 엔진이 악성 URL과 파일이 엔드포인트에서 실행되기 전에 식별합니다. 시그니처 없이 실시간으로 새로운 위협을 탐지할 수 있습니다.
공격자가 악용 단계에 도달하면, SentinelOne의 ActiveEDR 기술이 시스템 활동을 모니터링하여 악성 활동을 식별하고 차단합니다. 의심스러운 활동이 발생할 경우 즉시 영향을 받은 엔드포인트를 격리하기 위해 SentinelOne의 자동화된 대응 기능을 구현해야 합니다. 설치 단계에서는 SentinelOne이 악성 변경 사항을 되돌릴 수 있는 롤백 기능을 제공합니다. SentinelOne의 통합 관리 콘솔을 통해 모든 시스템 활동에 대한 포괄적인 가시성을 확보할 수 있습니다. SentinelOne은 전체 클라우드 환경에 걸쳐 자산, 리소스, 계정 및 기타 이벤트를 매핑할 수 있습니다.
공격자가 명령 및 제어 통신을 수행할 때 SentinelOne은 악성 서버로의 아웃바운드 연결을 탐지하고 차단합니다. SentinelOne은 네트워크 전반에 걸친 측면 이동을 차단하고 권한 상승을 방지할 수 있습니다. 위협을 격리하고 랜섬웨어, 악성코드, 섀도우 IT, 제로데이 공격, 사회공학 등입니다. 또한 SentinelOne을 사용하여 민감한 데이터를 안전하게 백업하고 강력한 데이터 보안을 보장할 수 있습니다. SentinelOne의 포렌식 도구는 상세한 사고 후 조사를 가능하게 하여 공격 패턴을 이해하고 향후 시도에 대한 방어 체계를 강화하는 데 도움을 줍니다.
결론
사이버 킬 체인을 이해하면 보안 팀이 공격의 어느 단계에서든 방해할 수 있어 진화하는 위협에 대한 보호를 극대화할 수 있습니다. 각 단계에 보안 통제 수단을 매핑함으로써 이 프레임워크를 실행 가능한 방어 전략으로 전환할 수 있습니다. 센티넬원은 자율 플랫폼을 통해 이 이론적 모델을 실질적인 보호로 전환하여 공격의 모든 단계에 걸쳐 가시성과 대응 능력을 제공합니다. 정교한 위협에 대한 포괄적인 보호가 필요하다면, SentinelOne은 현대적 방어에 필요한 도구를 제공합니다.
지금 바로 SentinelOne을 배포하세요. 공격을 즉시 차단하십시오.
"FAQs
사이버 킬 체인은 록히드 마틴이 개발한 정보 주도형 방어 프레임워크로, 사이버 공격을 일련의 7단계로 구분합니다. 이 프레임워크를 적용하면 공격 순서를 이해하고 각 단계에서 맞춤형 방어 체계를 구축할 수 있습니다. 공격자가 초기 정찰 단계부터 목표 달성까지 어떻게 진행하는지 보여줍니다.
"7단계는 다음과 같습니다: 1) 정찰(Reconnaissance) – 대상 정보 수집, 2) 무기화(Weaponization) – 악성 페이로드 개발, 3) 전달(Delivery) – 대상에 무기 전달, 4) 악용 단계 – 악성 코드 실행, 5) 설치 단계 – 지속성 확보, 6) 명령 및 제어 단계 – 원격 접근 채널 생성, 7) 목표 실행 단계 – 데이터 절도나 파괴 같은 공격자 목표 수행입니다.
"조직은 방어 조치를 공격의 각 단계에 맞춰 킬 체인 모델을 구현합니다. 정찰 단계에는 조기 경보 모니터링 도구를, 전달 차단에는 이메일 필터를, 악용 및 설치 단계에는 엔드포인트 보호를, C2 탐지를 위한 네트워크 모니터링을, 마지막 단계에는 데이터 보호 통제를 설치할 수 있습니다.
"사이버 킬 체인은 각 단계에서 공격 지표를 체계적으로 탐색할 수 있는 방법을 제공하여 위협을 발견하는 데 도움을 줍니다. 비정상적인 스캐닝을 통한 정찰, 의심스러운 이메일을 통한 전달, 새로운 파일이나 레지스트리 변경을 통한 설치를 확인할 수 있습니다. 이러한 단계별 지표를 찾으면 공격 주기의 초기 단계에서 탐지할 수 있습니다.
"사이버 킬 체인의 어느 단계에서든 공격을 차단할 수 있습니다. 네트워크 강화로 정찰을 차단하거나, 악성 이메일 첨부 파일을 제거하거나, 취약점을 패치하여 악용을 방지하거나, C2 통신을 가로채면 공격이 완료되기 전에 차단할 수 있습니다. 최적의 보호를 위해서는 각 단계에 맞춰 설계된 다중 보안 계층이 필요합니다.
"비평가들은 사이버 킬 체인이 현대적 공격에 비해 지나치게 구조화되어 있다고 지적합니다. 내부자 위협, 웹 공격, 클라우드 환경 대응에는 효과적이지 않을 수 있습니다. 실제 공격은 단계 간 이동을 반복하는 반면, 이 모델은 선형적 진행을 전제로 합니다. 2011년 이후 크게 개정되지 않아 랜섬웨어 서비스(RaaS) 같은 신종 위협에 대한 대응력이 떨어진다는 점도 유의해야 합니다.
"록히드 마틴은 2011년 정보 주도 방어(Intelligence-Driven Defense) 이니셔티브의 일환으로 사이버 킬 체인 방법론을 개발했습니다. 이 모델은 군사 이론인 '킬 체인(kill chain)' 작전을 기반으로 하지만 사이버 보안에 맞게 조정된 것으로 기억하실 수 있습니다. 이 방법론은 공격을 구체적이고 대응 가능한 단계로 분해함으로써 조직이 APT(지속적 고도 위협)를 더 잘 이해하고 대응할 수 있도록 돕기 위해 개발되었습니다.
"