MITRE ATT&CK 등장
미국 연방정부의 지원을 받는 비영리 연구개발 단체인 ‘MITRE(마이터)’는
본래 국가안보관련 업무를 수행했다.
국가안보, 항공교통, 국토보안관리시스템 구축 등 인프라와 관련된 부문을 주로 연구했다.
그러나 점점 국가간 사이버공격의 영향력이 커지고 피해가 늘어나면서
자연스럽게 해당 부분에 대한 연구가 시작되었다.
그렇게 발간된 것이 ‘ATT&CK(어택)’이다.
‘ATT&CK’은 최신 공격 방법과 대응방식, 관련 솔루션을 총망라한 ‘사이버공격 킬체인 보고서’다.
의학으로 비유를 하면, 인체에 해를 끼치는 증상에 관한 치료법과
투약제품을 모두 정리해둔 자료라고 볼 수 있겠다.
MITRE ATT&CK, 예측과 탐지, 대응이 가능해지다
‘ATT&CK’은 실제 관측에 기반, 분석한 자료를 토대로 프레임워크를 구성했다.
11단계에 걸쳐 11개의 전술을 서술했다.
전술은 다음과 같이 정리되어 있다.
전술(Tactics)
1. 초기 접속(Initial Access):
악성코드를 유포하거나 첨부파일에 악성코드를 심어
공격 대상의 직접적인 파일을 실행하도록 유도하는 기법 등 악성행위를 위한 초기 진입방식.
2. 실행(Execution):
공격자가 로컬 또는 원격 시스템을 통해 악성코드를 실행하기 위한 전술.
3. 지속(Persistence):
공격 기반을 유지하기 위한 전술.
운영체제에서 사용하는 파일을 공격자가 만든 악의적인 파일로 대체하여 지속적인 악성 행위를 수행하거나
높은 접근 권한을 가진 계정을 생성하여 쉽게 재접근하는 방법 등이 해당.
4. 권한 상승(Privilege Escalation):
공격자가 시스템이나 네트워크에서 높은 권한을 얻기 위한 전술.
시스템의 취약점, 구성 오류 등을 활용.
높은 권한을 가진 운영체제로 악의적인 파일을 삽입하는 기법 또는 시스템 서비스 등록 기법 등으로 권한상승.
5. 방어 회피(Defense Evasion):
공격자가 침입한 시간 동안 탐지 당하는 것을 피하기 위해 사용하는 전술.
보안 소프트웨어 제거/비활성화, 악성코드의 난독화/암호화,
신뢰할 수 있는 프로세스를 악용한 악성코드 위장 기법 등으로 유지.
6. 접속 자격 증명(Credential Access):
공격자가 계정 이름이나 암호 등을 훔치기 위한 전술.
정상적인 자격 증명을 사용하면 공격자는 시스템 접속 권한을 부여받고,
목적을 달성하기 위해 더 많은 계정을 만들 수 있음.
7. 탐색(Discovery):
공격자가 시스템과 내부 네트워크에 대한 정보를 습득하여 공격 대상에 대한 환경을 파악하기 위한 전술.
공격자는 행동 방식을 결정하기 전에 주변 환경을 관찰하고 공격 방향을 정할 수 있음.
8. 내부 확산(Lateral Movement):
공격자가 네트워크에서 원격 시스템에 접근한 후 이를 제어하기 위해 사용하는 전술.
공격자는 자신의 원격 접속 도구를 설치하여 내부 확산을 수행하거나,
운영 체제에 포함된 도구를 이용하여 정상적인 자격 증명으로 접근함.
9. 수집(Collection):
공격자가 목적과 관련된 정보 또는 정보의 출처가 포함된 데이터를 수집하기 위해 사용하는 전술.
데이터를 훔치고 유출하는 것이 목적.
10. 명령 및 제어(Command and Control):
공격자가 침입한 대상 네트워크 내부 시스템과 통신하며 제어하기 위해 사용하는 전술.
11. 유출(Exfiltration):
공격자가 네트워크에서 데이터를 훔치기 위해 사용하는 전술.
공격자는 데이터를 탐지되는 것을 피하기 위해 데이터를 압축/암호화 후 전송하거나
데이터의 크기 제한 설정을 통해 여러 번 나누어 전송하는 방식을 사용.
12. 임팩트(Impact):
공격자가 가용성을 낮추고 무결성을 손상시키기 위해
운영 프로세스, 시스템, 데이터를 조작하고 중단시키고 나아가 파괴하는 데 사용하는 전술.
MITRE는 각 전술에 사용된 기법들을 일목요연하게 정리했다.
더 나아가 피해를 경감할 수 있는 방법, 해당 악성행위를 사용하는 공격그룹,
프로그램 샘플까지 제공하고 있다.
‘ATT&CK’ 공개 후 많은 EDR 기업들이 해당 보고서를 활용하기 시작했다.
대응체계 구성이 가능해지니 EDR의 완성도가 높아졌다.
수많은 사례와 기술에 대해 학습한 결과, 변종 악성코드와 공격 예측이 가능해진 것이다.
사전에 예견하고 대책을 세울 수 있게 되어 ‘Response’의 기능이 대폭 향상되었다.
만일 최초의 공격으로 이미 악성행위를 받은 상태라면
‘피해경감 기법’을 참고해 피해를 확산시키지 않고 최소화할 수 있게 되었다.
매일매일 바뀌는 공격기법 속에서 ‘ATT&CK’은
지속적으로 보안기술과 보안위협에 대해 업데이트 하고 있다.
지난 7월에만 해도 485개의 전술기법, 91개의 해킹그룹, 397개의 악성코드에 대해 업데이트 했다.
뿐만 아니라 더 이상 사용하지 않는 전술과 기법에 대해서도 별도로 정리하기 때문에
항상 최신형상 유지와 동시에
‘죽은 기법의 변종 등장’에 대해서도 꾸준히 대응책을 마련할 수 있게 되었다.
대응에 중점을 둔 EDR, 이제 어떻게 진화할까
탐지(Detection)는 가능하되
대응(Response)에서는 확실한 해법을 내세우지 못하던 ‘EDR’ 이었지만
‘ATT&CK’의 공개는 흐름을 바꿔 놓았다.
EDR 기업들은 해당 프레임워크를 활용하기 시작했고,
그 결과 EDR은 높은 수준의 악성행위 대응전략을 사용자들에게 보장할 수 있게 되었다.
다시 말하면 모두가 일정 수준의 대응방식을 취할 수 있게 되었다
TI(Threat Intelligence: 위협 인텔리전스) 연동의 경우
EDR 기업 모두 정확도를 높이기 위해 타사의 DB를 구매/공유하므로 큰 차이가 없다.
해쉬차단 역시 서로 공유하는 구조이기 때문에 데이터의 품질은 동일하다.
머신러닝, 딥러닝은 현재 모두 같은 출발 선상에 있기에 비교하기에는 무리가 있다.
어떻게 보면 또 다른 경쟁시장이 등장했다.
독보적인 강점을 가진 EDR로 살아남아야 하는 시대가 온 것이다.
EDR은 인수합병 중
엔드포인트 보안의 흐름이 EDR로 굳혀진지는 오래됐다.
실제 환경에서 정보 탈취행위, 악성코드 주입, 데이터 파괴/암호화 행위 등
보안위협이 발견되면 빠르게 대응해 정보자산을 보호하고,
확산을 막는 방식이 가장 효과적임을 알게 된 것이다.
보안 기업들은 자신의 강점에 EDR을 결합하는 방식을 취하고 있다.
글로벌 보안기업 중 일부는 EDR 기업의 인수를 진행하고 있다.
포티넷은 ‘엔실로’를 인수했다.
엘라스틱은 ‘엔드게임’을 인수했다.
VM웨어는 ‘카본 블랙’을 인수했다.
SIEM이나 클라우드 보안 등 자신의 강점을 내세운 EDR이 출시될 것이다.
DLP와 EDR
질문을 던져 본다.
“왜 회사에서는 악성코드, 랜섬웨어 감염을 막기 위해 노력할까?”
컴퓨터가 느려지니까? 업무에 방해가 되니까? 업무효율을 따지면 맞는 말이긴 하다.
가장 중요한 것은 악성코드/랜섬웨어 감염으로 인하여
내부에 보관된 정보가 탈취되거나 변조되어 발생하는 후폭풍을
사전에 차단하기 위해서 일 것이다.
내부정보의 유출/변조 시
브랜드 이미지 하락, 신뢰도 하락, 고객이탈, 소송, 형사처벌 등
겪어야 할 풍파가 끊임없이 밀려올 테니까 말이다.
앞서 이야기했지만 최초의 공격은 아무도 막을 수 없다.
그저 가능한 효과적으로 신속하게 대응하는 것이 유일한 방법이다.
대응에 우선순위를 두어야 한다.
중요한 정보가 우선 보호되어야 한다는 의미이다.
데이터 중요도에 따라 보호수준을 차별화해야 한다.
주기적으로 중요정보를 식별해서 분류할 필요가 있다.
위협감지시 중요정보부터 우선 보호하도록 구상해야 한다.
사전에 대응전략을 설정해야 사내기술정보(도면, 기밀, 특허), 개인정보 등
중요정보가 랜섬웨어에 감염돼 암호화되거나
해커에 의해 탈취되는 위험이 발생할 경우 신속하게 대응할 수 있다.
해커는 정보를 탈취하거나 데이터 파괴, 변조, 암호화를 수행할 때 네트워크를 통해 잠입한다.
달리 말하면 네트워크만 잘 통제한다면 유출행위는 막을 수 있다.
제로데이 공격으로 인해 정보유출 위기에 놓여있다고 해도
해커가 유출을 시도할 수 있는 모든 네트워크 경로를 통제하고 있다면 최악의 상황은 면할 수 있다.
해킹이 교묘해질수록 보안기술도 고도화된다
초기 악성코드는 자신의 프로그래밍 능력을 과시하기 위한 수단으로 활용됐다.
이후 경쟁사, 경쟁자의 업무를 방해하는 목적으로 사용되었으며,
시간이 흘러 기밀정보, 개인정보 등 ‘정보탈취’ 수단으로 악용되었다.
현재는 기존 데이터를 파괴, 변조, 암호화하여 데이터를 볼모로 잡고 금전적인 이득을 취하고 있다.
악성행위를 차단하고 통제할 때 마다 해커는 더 교묘한 수법으로 권한을 획득해 위협한다.
해킹의 수법은 끝이 없어 하루에도 변조된 기법만 수백 수만개가 생성된다.
일일이 시그니처를 파악해 업데이트 하는 것은 시간이 오래 소요되고 인력소모가 크다.
샌드박스를 이용하는 것은 이미 회피능력이 탑재된 악성코드에게는 무용지물이다.
실제 상황에서 발생한 데이터를 토대로 그들이 더 이상의 전술을 펼치지 못하도록 대응해야 한다.
PC에서 발견한 악성행위 정보와 대응방식은
EDR 서버에 전송해 전세계 모든 PC에 악성행위가 전파, 확산되지 않도록 방어하는 것이
현재 개발된 보안기술 중 가장 효과적인 방식이다.
해커가 신박한 방법으로 기술을 개발해 우리를 교란시킬 수록, 우리도 진화한다.
정답은 EDR이다.