위협 애널리스트가 갖춰야 할 필수 스킬

산스(SANS)의 2023 위협 헌팅(2023 Threat Hunting) 설문조사에 따르면, 숙련된 위협 사냥꾼은 위협 행위자를 사냥하는 한편, 사냥 기능을 강화할 도구와 기술에 예산을 투입하는 2가지 역할을 수행하고 있다. 하지만 전 세계 총 564명의 SOC 애널리스트, 보안 관리자 등을 대상으로 실시한 이번 설문조사에서는 숙련 인력의 부족이 성공적인 위협 사냥을 저해하고 있는 것으로 나타났다. 위협 사냥꾼 역시 더 많은 훈련, 교육, 경영진의 지원을 요구하는 것으로 조사됐다. 

CISO의 관점에서 위협 사냥팀에 필요한 것은 무엇일까? 위협 사냥꾼이 역량을 강화하려면 무엇을 준비해야 할까? 

오늘날의 위협 애널리스트를 위한 기술 역량 그리고 발전 방향

많은 전문가는 위협 애널리스트가 전통적인 기술 역량과 최신 기술 역량을 조화롭게 갖춰야 하며, 아울러 효율적인 데이터 분석을 위한 파이썬도 필수적이라고 말했다. 이밖에 알아야 할 중요한 언어와 도구로는 C, C++, 자바스크립트, 루비 온 레일즈(Ruby on Rails), SQL, 파워셸(PowerShell), 버프 스위트(Burp Suite), 네서스(Nessus), 칼리 리눅스(Kali Linux) 등이 있다. 네트워킹 및 시스템 기초 지식, 데이터 분석 기술, 클라우드 아키텍처 지식, 리버스 엔지니어링도 유용하다. 

위협 사냥꾼은 제한된 정보를 바탕으로 복잡한 문제를 조사하고, 퍼즐을 풀며, 위험을 평가해야 한다. 보안 컨설턴트 겸 IANS 교수진이자 전 SANS 선임 강사 제이크 윌리엄스는 여러 가지 이유로 이 작업이 더욱 어려워졌다고 언급했다. 윌리엄스는 “엔드포인트 탐지 및 대응 같은 경계 방어가 개선되고, 위협 행위자의 실력이 늘면서 사냥이 더욱 어려워졌다. 더 고급스럽고 더 많은 기술이 필요하며, 일반적으로 데이터에서 이상 징후를 찾아야 한다”라고 전했다. 

버그 바운티 플랫폼 버그크라우드(BugCrowd)의 사이버 보안 디렉터 사지브 로하니는 위협 노출을 식별하고 확인하려면 MISP 같은 위협 인텔리전스 플랫폼 그리고 스플렁크(Splunk), 로그리듬(LogRythm), 매니지엔진(ManageEngine) 같은 보안 정보 및 이벤트 관리(SIEM) 도구를 잘 알아야 한다고 말했다. 로하니는 “또한 MITRE ATT&CK 프레임워크 실무 지식은 특정 공격에 사용되는 다양한 전술과 기법을 식별하는 데 유용하다. 다른 사람이 놓칠 수 있는 다양한 공격 패턴을 파악할 수도 있다”라고 설명했다. 

암호화폐 채굴 활동이 사이버 보안 문제로 대두되면서 위협 식별 및 관리를 위한 새로운 경량 도구(예 : Wazuh)가 널리 보급되고 있다.  

소프트스킬의 가치를 간과하지 말 것 

기술 역량과 더불어 소프트스킬도 중요하다. 다양한 이해 관계자에게 위협을 간결하게 설명하는 역량은 매우 중요하며, 아울러 세부 사항에 관한 주의력, 분석적 사고, 스트레스 관리, 창의성, 팀워크 모두 오늘날의 위협 사냥꾼에게 핵심적인 스킬이다. 

예를 들면 새로운 취약점을 여러 사람에게 긴급하게 알려야 하는 상황이 종종 있는데, 이때 기술팀, CISO, 이사회를 위한 맞춤형 커뮤니케이션이 필요하다. 윌리엄스는 특히 불확실하거나 오해의 소지가 있는 정보를 다룰 때 태스크 관리와 인내심 그리고 무엇보다 서로 다른 정보 출처 간의 조율이 중요하다고 언급했다. 

윌리엄스는 “오늘날 위협 사냥의 대부분은 악의적으로 보이는 것을 발견하고 가설을 세워야 하는 상황이 많으며, 여기에는 시스템 관리자와 상의해 해결책을 찾는 과정이 포함된다”라면서 “유연한 사고는 물론이고 한쪽에 치우치지 않는 것도 중요하다. 상반되는 관점을 머릿속에 담을 수 있는 사람이 최고의 인재다”라고 말했다. 

위협 사냥꾼의 역할 변화

위협 사냥꾼의 역할이 기존의 네트워크 모니터링에서 선제적 위협 사냥 및 인텔리전스 수집으로 바뀌면서 상당한 숙련도와 새로운 우선순위가 필요해졌다. 디지털 신뢰 전문가 겸 ISACA 비상임 이사 니엘 하퍼는 “과거와 달리 수동적인 블랙리스트 조사 및 입력이 줄어들고 침입 탐지 시스템 의존도가 낮아졌다”라며 “대량의 데이터를 분석할 수 있는 도구가 등장했다. 이런 위협 탐지 도구는 위협 사냥꾼에게 의미 있고 실행 가능한 인텔리전스를 제공하고, 위협의 우선순위를 정할 수 있게 해준다”라고 말했다. 

하지만 많은 오탐이 발생한 것도 사실이다. 위협 애널리스트는 오탐을 분석해 침해 지표를 찾아낼 수 있도록 훈련받아야 했다. 이제 ML과 AI 그리고 더 많은 자동화를 통해 위협 사냥꾼의 역할은 계속 진화하고 있다. 하퍼는 위협 사냥꾼의 연구 및 분석 역량이 큰 가치를 지닌다면서, “다양한 도구에서 얻은 정보를 실행 가능한 인텔리전스로 전환하는 데 도움이 된다”라고 설명했다. 

초서 그룹(Chaucer Group)의 보안 운영 전문가 크리스 스콧은 “또 클라우드 보안 모니터링과 로그 중앙집중화 및 분석에 대한 이해로 역할 범위가 확장됐다”라고 언급했다. 스콧은 “공격자는 클라우드를 더 자주 노리고 있다. 몇몇 대형 조직과 협력하면서 이 변화를 직접 목격했다. 누군가 클라우드에서 무언가를 실행하면 또 다른 공격 표면이 열리기 때문에 선제적으로 취약점을 찾는 사람이 있어야 한다”라고 말했다. 

아울러 위협은 매일, 때로는 매시간 변화하기 때문에 위협 사냥꾼은 고도의 적응력을 갖춰야 한다. 센티넬원(SentinelOne)의 위협 헌팅, 인텔리전스 및 DFIR 부문 부사장 브라이언 허시는 “위협과 함께 변화해야 한다. 융통성 없는 사고가 운영 방식에 스며들게 해서는 안 된다”라면서, “나무를 통해 숲을 볼 줄도 알아야 한다. 위협 행위자는 공격 패턴의 표면만 바꾸는 경우가 많다. 하지만 핵심 수법은 변하지 않기 때문에 (숲을 보지 않으면) 새로운 공격이 도착하기 전에 식별하고 제거할 수 있는 중요한 기회를 놓치게 된다”라고 조언했다. 

ML과 AI가 전부는 아니다

SANS 설문조사에 따르면 기업의 약 3/4이 더 많은 교육과 숙련된 인력을 필요로 하고 있다. 여기서 AI와 ML 기술이 역할을 할 수 있다. 많은 전문가는 위협 사냥 탐지 기능을 강화하는 데 AI와 ML의 중요성이 커지고 있다고 동의했다. 하퍼는 “단시간에 대량의 정보를 분석할 수 있고, 표적에 침투하기 위한 최선의 조치를 제시하는 등 더 많은 인텔리전스를 얻을 수 있다. 이를 통해 익스플로잇 효과를 최적화할 수 있다”라고 설명했다. 

윌리엄스에 의하면 과거에는 이상값 분석이 수작업으로 이뤄졌지만, 이제는 도구에 내장돼 있기 때문에 데이터 과학과 ML 도구 키트를 어느 정도 이해하고 있으면 위협 탐지 기능을 크게 개선할 수 있다. 윌리엄스는 “이런 도구를 즉시 활용해 매우 일반적인 위협 또는 매우 흔하지 않은 위협을 찾는 데 도움을 받을 수 있다”라고 덧붙였다. 

하지만 이와 동시에 전문가는 ML과 AI에 지나치게 의존하는 것을 경계해야 하며, 사람의 감독은 여전히 필요하다고 강조했다. AI는 스킬 장벽을 낮추지만, 기술은 인간처럼 추론하거나 의문을 제기할 수 없다. 스콧은 AI 및 ML 도구로 인해 ‘왜?’라는 질문을 던지는 인간의 호기심을 무디게 해서는 안 된다고 지적하면서, “이는 무언가가 왜 그렇게 하는지 묻는 것이다. 아무것도 가정하지 말고, 아무것도 믿지 말고, 모든 것을 확인하는 ABC 법칙이라고 할 수 있다”라고 전했다. 

위협 사냥꾼은 변화하는 위협 환경을 어떻게 따라잡아야 할까?

지속적인 학습과 적응력은 최신 정보를 파악하는 핵심이다. 이제 경력을 시작했다면 네트워킹과 보안의 기본부터 시작해 점차 더 복잡한 영역으로 이동해야 한다. 온라인 커뮤니티에 참여하고 온라인 리소스를 활용하는 것도 정보를 얻는 효과적인 방법이다. 

사이버 보안 실무 경험도 중요하다. 윌리엄스는 보안 운영 센터에서 2년 정도 근무하거나 사고 대응 업무를 담당한 후 위협 사냥으로 이동하는 것이 좋다고 조언했다. 하퍼는 온라인과 커뮤니티에서 제공되는 리소스를 활용해 네트워킹과 보안의 기본부터 시작하라면서, “실무자 커뮤니티 및 전문 협회에 참가하는 것은 도구와 정보를 공유받고 학습 경로를 따라 발전하는 방법이다”라고 권고했다. 

위협 사냥꾼이 직면한 윤리적 책임

위협 사냥꾼이 간과하는 측면이 있다. 민감한 비즈니스 정보를 누설하거나 익스플로잇 또는 기타 잠재적 취약점 정보를 오용하지 않고 강력한 개인 윤리적 프레임워크를 갖춰야 한다는 점이다. 

허시는 “위협 사냥꾼으로 일하면서 여러 윤리적 고려 사항에 부딪히게 된다. 이를테면 위협 행위자를 상대로 한 해킹 또는 공격적인 조치, 공격자의 암호화폐 탈취, 랜섬웨어 위협 행위자와의 협상 등이 있다”라면서, “동료 및 법무팀과의 소통이 중요하다. 좋은 사람들이 올바른 일을 하기 위해 모이면 어려운 주제를 훨씬 더 쉽게 정의할 수 있다. 민감한 정보를 책임감 있고 투명하게 처리하고, 법적 기준을 준수해야 한다. 강력한 액세스 제어를 통해 정보를 안전하게 보호 및 저장해야 하며, 이런 정보를 제3자와 공유할 때는 신뢰할 수 있는 업체인지 확인해야 한다”라고 말했다. 

또 위협 사냥꾼은 기업 스파이 활동이나 개인 조사 등의 특정 조사에서 중립을 유지하는 것이 중요하다. 특정한 가정을 가지고 시작하지 않아야 하며, 어떤 가정도 하지 않는 대신 편견 없는 태도를 유지하는 데 집중해야 한다. 스콧은 위협 헌팅의 잠재적인 윤리적 책임을 강조하면서, “편견 없는 태도를 유지하고 민감한 정보를 보호해야 한다. 즉, 어떤 가정도 하지 않고, 데이터 집중하며, 미리 정해진 결론에 도달하지 않도록 더 넓은 범위의 데이터를 확보해야 한다”라고 전했다. 

위협 사냥꾼을 채용할 때 고려해야 할 사항 

숙련된 인력 부족은 위협 사냥팀을 가로막는 큰 장애물이다. 스킬 격차에 직면한 다른 사이버 보안 분야와 마찬가지로 다양한 인재 채용이 해결책이 될 것이다. 하퍼는 사이버 보안 업계의 포용적인 접근 방식을 지지하며, 다양한 배경을 가진 사람이 사이버 보안에서 뛰어난 역량을 발휘할 수 있다고 말했다. 하퍼는 “컴퓨터 과학이나 정보 기술 분야에 관심이 있고, 배우고자 하는 의지와 열정만 있다면 엄격한 컴퓨터 과학이나 정보 기술 배경이 필요하지 않다고 본다”라고 덧붙였다. 

위협 메커니즘을 넘어 공격자의 더 큰 목표나 동기까지 고려할 수 있는 인재를 확보하는 것도 중요하다. 로하니는 “공격의 ‘이유’를 파악함으로써 ‘방법’과 ‘시기’를 더 잘 이해할 수 있고, 그 결과 공격자를 더욱 효과적으로 프로파일링하고, 특정 위협 벡터를 대상으로 한 보안 조치를 강화할 수 있다”라면서, “위험 평가, 방어 조치 우선순위 지정, 사용자를 위한 맞춤 보안 교육 프로그램 개발 등에도 도움이 될 수 있다. 사이버 보안의 인적 요소를 파악하는 것은 포괄적인 방어 전략에 필수적이다”라고 설명했다. 
editor@itworld.co.kr