위협 헌팅은 사이버 위협이 피해를 입히기 전에 이를 식별하고 완화하기 위한 선제적 접근 방식입니다. 본 가이드는 위협 헌팅의 원칙, 그 혜택, 그리고 보안 전문가들이 사용하는 기법들을 탐구합니다.
효과적인 위협 헌팅을 위한 위협 인텔리전스와 지속적인 모니터링의 중요성에 대해 알아보세요. 사이버 보안 태세를 강화하고자 하는 조직에게 위협 헌팅을 이해하는 것은 필수적입니다.
사이버 위협 헌팅이란 무엇인가?
사이버 위협 헌팅은 조직의 네트워크나 시스템 내에서 잠재적 사이버 위협의 징후를 능동적이고 체계적으로 탐색하는 것입니다. 이는 로그 데이터 분석, 네트워크 스캔 수행, 위협 인텔리전스 피드 활용 등 수동 및 자동화된 기법을 통해 수행될 수 있습니다. 사이버 위협 헌팅은 방화벽이나 침입 탐지 시스템과 같은 기존 보안 통제를 회피했을 수 있는 잠재적 위협을 식별하는 것을 목표로 합니다. 이러한 위협을 조기에 탐지하고 대응함으로써 조직은 사이버 공격의 영향을 받을 위험을 줄이고 시스템 및 네트워크의 보안과 가용성을 유지할 수 있습니다.
위협 헌팅은 공격자가 공격을 실행하거나 목표를 달성하기 전에 네트워크에 숨어 있는 적을 찾아내는 데 도움이 되도록 고안된 관행으로 정의할 수 있습니다. 대부분의 보안 전략과 달리 위협 헌팅은 고급 보안 솔루션의 데이터와 역량에 위협 헌팅 전문가 개인 또는 팀의 강력한 분석 및 기술 역량을 결합한 선제적 기법입니다.
위협 헌팅은 사고 대응이나 디지털 포렌식과는 상당히 다른 활동입니다. DF/IR 방법론의 목적은 데이터 침해가 이미 드러난 후 발생한 상황을 파악하는 것입니다. 반면 위협 사냥 팀이 위협 사냥을 수행할 때는 방어 계층을 이미 뚫고 들어온 공격을 탐색하는 것이 목표입니다.
위협 헌팅은 침투 테스트& 및 취약점 평가와도 다릅니다. 이러한 테스트는 외부에서의 공격을 시뮬레이션하는 반면, 위협 헌터는 공격자가 이미 네트워크 내에 존재한다는 전제 하에 작업하며 침해 지표, 측면 이동 및 공격 행위의 증거가 될 수 있는 기타 유의미한 흔적을 찾습니다.
위협 헌팅을 시작하려면 무엇이 필요할까요?
지금까지 살펴본 바와 같이, 사이버 위협 헌팅 프로세스는 침해가 발생했다고 가정하고 이상 활동을 탐색함으로써 숨겨진 IOC와 은밀한 행동을 적극적으로 찾아내는 데 목적이 있습니다. 이를 위해 보안 분석가는 일상적인 네트워크 트래픽의 잡음을 걸러내며 아직 알려지지 않은 활동을 찾아내기 위해 평범한 것과 비정상적인 것을 구분해야 합니다.
이를 효과적으로 수행하기 위해서는 네트워크에 대한 포괄적인 가시성과 엔드포인트에서 얻은 풍부한 데이터가 우선적으로 필요합니다. 장치 원격 측정에는 암호화된 트래픽, 파일 해시, 시스템 및 이벤트 로그, 사용자 행동 데이터, 방화벽 제어에 의해 차단된 연결 및 주변 장치 활동. 이상적으로는 SIEM(보안 정보 및 이벤트 관리)와 같은 도구를 사용하여 원시 로그를 수동으로 검토하는 작업을 최소화할 수 있도록, 강력한 검색 기능으로 모든 데이터를 명확하게 파악하고 맥락을 파악할 수 있어야 합니다.
관리되지 않는 엔드포인트를 보고할 수 있는 기능, IoT 기기, 모바일 기기를 탐지하고 네트워크에서 실행 중인 서비스를 발견하는 것은 큰 혜택입니다. 브라우저에 통합하여 위협 탐지 및 조사를 가속화할 수 있는 유틸리티 역시 마찬가지입니다.
위협 사냥 프로그램은 분석가에게 양질의 데이터를 제공하기 위해 적절한 보고 도구가 필요하지만, 동시에 네트워크를 보호하는 보안 솔루션에 대한 완전한 신뢰를 전제로 합니다. 위협 헌팅은 시간이 많이 소요되며, 귀사의 SOC(보안 운영 센터) 분석가는 귀사의 EDR 솔루션 가 자동으로 탐지해 주어야 할 위협을 수동으로 잡아내는 데 시간을 낭비할 여유가 없습니다. 특히 조직이 사이버 기술 인력 부족 에 시달리거나, 과도한 경보나 높은 오탐률로 인해 정보 보안(Infosec) 솔루션에 발목 잡힌 경우라면 더욱 그렇습니다.
분석가에게 또 다른 중요한 보안 도구는 우수한 위협 인텔리전스입니다입니다. 공개 또는 OSINT(공개 정보) 피드가 있으며, 여기에서 헌터들은 악성 IP 주소, 새로 발표된 CVE, 최신 악성 코드의 샘플 해시 등 최신 IOC를 최신 상태로 유지할 수 있습니다. 예를 들어, SANS 연구소는 의심스러운 도메인 목록을 정리하여 보관하고 있습니다.MITRE ATT&CK 프레임워크 도 고급 위협 행위자가 사용하는 도구, 전술 및 절차(TTP)를 파악하는 데 도움이 되는 강력한 도구입니다.예를 들어, MITRE ATT&CK 데이터베이스에서 귀하의 분야나 산업을 표적으로 삼는 것으로 알려진 그룹을 검색하고 그들이 사용한 기법에 대해 알아볼 수 있습니다. 이러한 정보를 바탕으로 해당 그룹의 TTP 증거를 찾기 위해 네트워크 전반에 걸쳐 위협 헌팅을 시작할 수 있습니다. 위협 사냥에 필요한 단계에 대한 자세한 내용은 당사 백서를 참조하십시오.
무엇을 찾아야 할지 어떻게 알 수 있나요?
OSINT 도구와 프레임워크를 효과적으로 활용하려면 무엇을 찾아야 하는지 알아야 하며, 이는 효과적인 위협 헌팅의 핵심 요소 중 하나인 가설 수립 및 검증으로 이어집니다.
위협 헌터는 조직의 프로필, 위협 행위자를 유인할 수 있는 비즈니스 활동(신규 직원 채용이나 신규 자산/기업 인수 등), 그리고 기본 사용 패턴에 대한 탄탄한 이해가 필요합니다.
공격자는 종종 일반 사용자와 동화되어 피싱 또는 스피어 피싱 캠페인을 통해 사용자 자격 증명을 획득하려고 합니다. 따라서 사용자의 일반적인 행동을 이해하는 것은 비정상적인 파일 접근이나 로그인 이벤트를 조사하는 데 유용한 기준이 됩니다. 이를 공격자에게 가치 있는 회사 데이터가 무엇이며 그 데이터가 어디에 위치하는지 이해하는 것과 결합하면 "공격자가 xyz에 위치한 데이터를 훔치려 하고 있는가?"와 같은 가설을 도출할 수 있습니다. 이를 통해 다음과 같은 질문에 대한 답을 얻을 수 있는 데이터 수집이 촉발될 수 있습니다.
“지난 n 며칠 동안?”
고급 위협 탐지 기법은 통계 분석과 머신 러닝을 활용해 가능한 한 많은 작업을 자동화하려 합니다. 예를 들어 사용자 행동을 모니터링하고 그 행동을 자체적으로 비교하여 이상 징후를 찾는 것은 개별 쿼리를 실행하는 것보다 훨씬 효과적이지만, 실제로는 두 기법 모두 필요할 가능성이 높습니다. SentinelOne과 같이 보안 소프트웨어 스택 전반에 완벽한 통합을 가능하게 하는 풍부한 네이티브 API 세트를 갖춘 도구를 사용하면 두 가지 모두 더 쉬워집니다.
위협 사냥은 얼마나 자주 해야 할까?
일부 기업은 임시방편으로만 새로운 위협을 사냥합니다. 이는 특정 이벤트(예: 특히 민감한 서비스나 파일 위치에 대한 접근 시도)가 발생하거나 직원이 다른 업무에서 여유 시간이 생겼을 때 실행될 수 있습니다. 임시방편 사냥은 인력과 예산이 제한된 조직이 이 추가 방어 계층을 유지할 수 있게 하지만, 제한된 행동 패턴에 대한 최소한의 사냥만 가능하다는 단점이 있으며 이 전략을 활용하는 가장 비효율적인 방법입니다.&
정기적인 위협 사냥은 직원이 정기적으로 사냥을 수행할 시간을 할당하는 방식으로 개선된 형태이며, 조직이 다양한 시점에 검색 우선순위를 정하고 효율성을 높일 수 있게 합니다. 그러나 예정된 위협 헌팅은 고급 공격이 해당 간격 사이에 작동할 수 있는 일정한 체류 시간을 제공한다는 단점이 있으므로, 간격이 짧을수록 좋습니다.&
인력과 예산이 충분한 조직은 지속적 노력의 일환으로 네트워크와 엔드포인트를 능동적으로 모니터링하여 네트워크 공격을 발견하는 실시간 위협 헌팅을 수행하는 것이 이상적입니다.
위협 헌팅은 누가 수행해야 할까?
지금쯤이면 위협 헌팅이 전문적인 작업이라는 점이 분명해졌을 것입니다. 이는 다양한 도구를 활용하고, 조직이 직면한 위험을 이해 및 분석하며, 고급 공격자들이 사용하는 방법과 도구에 정통한 보안 분석가가 필요합니다.
사내 위협 헌터 채용은 훌륭한 방법일 수 있지만, 조직은 이에 대한 예산과 관련 기술을 보유한 인력 확보가 필요합니다. 많은 기업에게 더 현실적인 접근법은 위협 헌팅 업무의 일부 또는 전부를 MSSP(관리형 보안 서비스 제공업체)로부터 위협 헌팅 업무의 일부 또는 전부를 위탁하는 것이 더 현실적인 접근법일 수 있습니다.
위협 인텔리전스 강화결론
위협 헌팅은 악성 활동을 선제적으로 탐지함으로써 최신 위협에 대비할 수 있게 합니다. 행동 기반 AI와 같은 고급 솔루션은 대부분의 사이버 공격을 차단하며 위협 헌팅에 필요한 가시성을 제공하는 필수 요소입니다. 그러나 악의적인 행위자들은 항상 혁신을 거듭하며 기업 네트워크 보안을 우회할 방법을 모색하고 있습니다. 조직은 내부자 위협 및 고도로 표적화된 공격과 같은 공격 경로를 방지하기 위해 경계를 늦추지 않아야 합니다. 인간 분석가의 전문성을 추가하면 조직에 추가적인 보안 계층을 제공할 수 있습니다.&
이 글이 마음에 드셨나요? LinkedIn, Twitter, YouTube 또는 Facebook에서 당사가 게시하는 콘텐츠를 확인하실 수 있습니다.
사이버 보안에 대해 자세히 알아보기
- 제로데이 생존 가이드 | 첫날 전에 꼭 알아야 할 모든 것
- 증가하는 원격 근무 인력을 보호하기 위한 7가지 팁
- &블루투스 공격 | 엔드포인트를 방치하지 마세요
- 현대 사회에서 네트워크 보안이란 무엇인가?
- 해커들이 소셜 미디어를 이용해 표적 프로파일링하는 방법
위협 헌팅 FAQ
위협 헌팅은 네트워크에 숨어 있는 사이버 위협을 적극적으로 탐색하는 작업입니다. 문제가 발생했다는 경고를 기다리기보다는, 위협 헌터들은 공격자가 이미 내부로 침투해 있다고 가정하고 악의적인 활동의 징후를 찾습니다. 자동화된 도구가 놓쳤을 수 있는 위협을 찾기 위해 보안 데이터를 깊이 파고듭니다.
이는 마치 보안 전문가가 네트워크를 지속적으로 순찰하며 의심스럽거나 이상한 점을 찾는 것과 같습니다.
"위협 헌터는 데이터 유출을 암시하는 비정상적인 네트워크 트래픽 패턴을 발견할 수 있습니다. 사용자 계정이 새벽 3시에 파일을 접근하는 이유나 여러 국가에서 의심스러운 로그인 시도가 발생하는 원인을 조사할 수 있죠. 또 다른 예로는 새로운 위협 인텔리전스 보고서를 바탕으로 특정 악성코드 시그니처를 찾는 것입니다.
또한 해커의 측면 이동 징후가 시스템에 나타나는지 확인하는 등, 알려진 공격 방법과 일치하는 지표들을 탐색할 수도 있습니다.
"위협 헌팅이 중요한 이유는 정교한 공격자들이 자동화된 보안 도구를 우회하여 네트워크에 수개월간 숨어 있을 수 있기 때문입니다. 침해 사고를 발견하는 데 걸리는 평균 시간은 194일로, 공격자가 데이터를 훔칠 수 있는 충분한 시간을 제공합니다. 위협 헌팅은 숨겨진 위협을 더 빨리 찾아내어 그들이 초래할 수 있는 피해를 줄이는 데 도움이 됩니다.
"위협 헌터는 위협 인텔리전스나 비정상적인 활동을 바탕으로 잠재적 위협에 대한 가설을 세우는 것으로 시작합니다. 그런 다음 네트워크 로그, 엔드포인트 데이터, 보안 경보를 검색하여 가설을 입증하거나 반증할 증거를 찾습니다.
의심스러운 점을 발견하면 실제 위협인지 확인하기 위해 추가 조사를 진행합니다. 이 과정은 지속적이고 반복적으로 이루어지며, 헌터들은 발견한 내용을 바탕으로 지속적으로 기법을 개선합니다.
"사이버 보안 위협의 네 가지 주요 유형은 시스템을 손상시킬 수 있는 바이러스 및 랜섬웨어를 포함하는 악성 코드입니다. 피싱 공격은 사용자를 속여 비밀번호를 유출하거나 악성 링크를 클릭하게 만듭니다. 분산 서비스 거부(DDoS) 공격은 트래픽으로 시스템을 마비시켜 사용 불가능하게 만듭니다.
지속적 고도 위협(APT)은 해커가 네트워크에 장기간 잠복하는 정교한 장기 공격입니다. 각 유형마다 다른 탐지 및 대응 전략이 필요합니다.
"일반적인 위협 헌팅 기법으로는 클러스터링이 있습니다. 이는 유사한 데이터 포인트를 그룹화하여 이상 현상을 포착하는 방식입니다. 스태킹은 데이터를 범주로 분류하고 의심스러운 특이점을 찾는 기법입니다. 기준 설정은 정상적인 네트워크 활동의 양상을 파악한 후 이를 벗어난 변동을 탐색하는 것을 의미합니다.
분석은 로그와 보안 데이터를 검토하여 위협을 암시할 수 있는 패턴을 식별하는 과정입니다. 그룹화는 여러 지표들을 결합하여 의심스러운 방식으로 함께 나타나는지 확인하는 기법입니다.
"위협 헌팅은 사전 예방적이고 지속적인 반면, 사고 대응은 경보 발생 후 사후 대응적입니다. 위협 헌터는 피해가 발생하기 전에 적극적으로 위협을 탐색하는 반면, 사고 대응 팀은 공격이 탐지된 후에 대응합니다.
위협 헌팅은 지속적인 순찰과 같고, 사고 대응은 화재에 대응하는 긴급 서비스와 같습니다. 포렌식은 사고 발생 후 원인을 파악하기 위해 수행되지만, 위협 헌팅은 사고 발생 자체를 방지하려 합니다.
"위협 헌팅 프로세스는 크게 트리거, 조사, 해결의 세 단계로 구성됩니다.
- 트리거 단계에서는 헌터들이 위협 인텔리전스, 이상 징후 또는 특정 가설을 바탕으로 조사할 대상을 식별합니다.
- 조사 단계에서는 데이터를 검색하여 자신의 가설을 입증하거나 반증하는 증거를 찾습니다.
- 해결 단계에서는 발견 사항을 문서화하고, 실제 위협은 사고 대응 팀에 에스컬레이션하거나 향후 사냥을 위한 지식으로 업데이트합니다.
