사이버 킬 체인’ 해킹 분석 모델의 한계와 대안

현재 미국 라스베이거스에서 열리고 있는 블랙햇 2016 행사에서, 보안 컨설턴트 신 말론은 “공격자가 충분한 끈기를 갖고 시도하면 결국 시스템은 뚫리게 돼 있다. 따라서 일단 보안 허점이 있을 수밖에 없다는 가정하에 시스템을 운용해야 한다”라고 말했다.

그는 특히 ‘사이버 킬 체인’ 분석 모델에 비판적이다. 이는 사이버 공격이 이뤄지는 단계를 정찰-공격 코드 제작-배포-취약점 공격-설치-지휘/통제-목표 장악 등 7가지로 나눠 정의한다.

말론은 “사이버 킬 체인의 문제는 방화벽을 침입자에 대한 핵심 방어 수단으로 가정하고 있다는 점이다. 그러나 상황이 완전히 바뀌었다. 기업은 방화벽 내부에 대한 방어를 반드시 강화해야 한다”라고 말했다.

새로운 사이버 킬 체인
이는 기존 사이버 킬 체인에 새로운 단계를 더 추가해야 한다는 것을 의미한다. 전체적인 단계는 같지만 대신 그 앞에 ‘내부’라는 말이 붙는다. 즉 내부 정찰-내부 공격 코드 제작-내부 배포-내부 취약점 공격-내부 설치-내부 지휘/통제-내부 목표 장악이 된다. 예를 들어 내부 취약점 공격은 권한 확대와 네트워크 내부의 활동, 특정 장비 조작 등이 포함된다.

또한, 내부 정찰 과정에서 침입자는 개별 사용자의 워크 스테이션에 접속해 로컬 파일과 네트워크 공유, 브라우저 이용 기록 등의 데이터를 수집하고 위키와 쉐어포인트에 대한 접속 권한을 얻는다. 최종적인 목표는 이 기기를 이용해 네트워크 현황을 파악하고 더 중요한 장비에 침투하는 방법을 찾는 것이다.

따라서 보안 아키텍트는 내부 사이버 킬 체인의 각 단계에서 공격자가 선호하는 TTP(Tactics, Techniques and Procedures)가 무엇인지 알아내 이에 대한 방어 TTP를 만들어야 한다. 예를 들어 내부 취약점 공격이라면, 개발과 테스트 시스템 등을 모두 패치하고 효과적인 엔드포인트 보호 제품을 설치하는 것이 방법이 될 수 있다.

일단 공격자가 네트워크에 침입하는 데 성공하면 각 공격 단계는 적절하게 준비가 될 때까지 최대 몇 달이 걸릴 수도 있다. 말론은 “공격자는 타격 효과를 극대화하기 위해 최적의 시기까지 기다릴 것이다”라고 말했다.

실제로 내부 정찰과 내부 공격 코드 제작 과정은 각각 몇 달이 걸릴 수 있다. 보통 공격자의 사이트에서 오프라인으로 이뤄지기 때문에 방어자가 내부 공격코드 제작을 막는 것도 힘들다. 그러나 말론은 “시스템과 애플리케이션을 더 단단하게 만드는 절차를 통해 공격 코드 작성을 조금 더 어렵게 만들 수 있다. 네트워크에 가짜 기기를 추가해 작업을 더 어렵게 만드는 것도 방법이다”라고 말했다.

이런 새로운 킬 체인을 적용하면 설사 시스템이 뚫려도 효과적인 복구 절차를 마련할 수 있다. 기업 사이버 보안 팀은 해킹 사실을 보고하고 수사 당국에 신고하고 손상된 평판을 관리할 수 있 계획을 마련해야 한다. 각 단계를 검토할 때는 적절한 계획과 인력도 고려해야 한다.

새로운 킬 체인의 최종적인 목표는 기업의 회복력을 높이는 것이다. 모든 공격자를 막을 수는 없지만 피해를 최소화할 수는 있다. 그중 하나는 킬 체인의 모든 단계에서 공격자를 늦추고 공격을 계속할 경우 공격 비용도 계속 늘어나게 하는 방어책을 마련하는 것이다.

말론은 “공격자가 내부 네트워크와 사용자 이름, 암호, 모든 문서와 특정 기기, 시스템, 백업과 애플리케이션 등에 대한 권한을 획득했을 때 어떻게 대응할 것인지 끊임없이 스스로 질문해야 한다”라고 말했다.

그는 “네트워크에 침입한 공격자는 목표가 있고 이에 성공하기 위해 일정 수준까지는 돈과 인력, 시간 등 현재 가진 리소스를 기꺼이 쏟아부을 것이다. 따라서 만약 방어자가 이 리소스 소비를 공격자가 기대하는 것 이상으로 늘릴 수만 있다면 비용 대비 효과를 생각한 공격자가 공격을 중단할 것이다. ‘완벽한 방어는 없다’는 전제를 기반으로 한 경제적인 대응 모델인 셈이다”라고 말했다. dl-ciokorea@foundryco.com