감시망을 피하는 사이버 공격: Darktrace의 ‘눈에 띄지 않고, 천천히 수행되는’ 사이버 공격 탐지 방법

데이브 파머, 기술 총괄 | 2018년 12월 3일월요일

서론

오늘날의 최첨단 사이버 위협들은 엄청난 속도로 심각한 피해를 야기할 수 있다. 보안 분석가가 커피를 가져오려고 잠깐 스크린 앞을 떠난 그 몇 분 사이에, 랜섬웨어는 보안 인력이나 기존의 보안 툴들이 대응할 새도 없이 수천 대의 컴퓨터를 무력화시킬 수 있다. 물론 눈에 쉽게 띄고 속도가 빠른 사이버 위협들이 언론의 헤드라인을 장식하는 경우가 더 많지만, 정반대의 방식으로 일어나는 사이버 공격들도 그만큼 위험하다. 사이버 공격을 수행하는 이들은 최근 경쟁적으로 사이버 공격 역량을 강화하는 한편, 빠르고 무조건적인 혼란을 가져오는 공격 방식보다 은밀하고 교묘하게 공격하는 것을 목표로 움직이고 있다.

사이버 공격을 방어하는 보안 인력이 새로운 보안 기술 및 위협 탐지 기술들을 신속히 도입하고자 노력하는 가운데, 멀웨어 개발자들도 혁신을 추구하며 최신 보안 기술과 위협 탐지 기술들을 우회하는 방편을 찾고자 노력하고 있다. 눈에 띄지 않고 장시간에 걸쳐 은밀하게 수행되는 신규 공격 유형의 경우, 그 움직임이 너무 미세해 탐지되기 어려운 여러 행동을 취해, 종국에는 더 큰 위협을 가하는 방식을 활용한다. 따라서 이러한 공격들은 기존의 보안 툴들을 우회할 수 있다. 이러한 공격들은 장시간에 걸쳐 수행되도록 설계되었으며, 데이터 이동 및 연결도에 끼치는 영향을 최소한으로 줄였기 때문에 정상 트래픽처럼 보이도록 설계되었다.

지적 재산권이나 민감한 정치 관련 기록을 확보하려는 최첨단 기술로 무장한 공격자들에게 공격 대상 시스템의 눈에 띄지 않으면서 장시간에 걸쳐 노출되는 공격 방식은 매우 효과적이다. 매우 정교하게 설계된 위협들은 느리지만 꾸준하게 공격을 시도함으로써 결국 원하는 목표를 이뤄낼 수 있다.

하지만 최첨단 머신러닝 테크닉들을 활용하면 눈에 잘 띄지 않는, 느린 공격들도 탐지할 수 있다. 이를 위해서는 맥락에 대한 이해가 매우 중요하다. 즉, 사용자, 기기 및 네트워크별로 미묘하게 다른, 고유의 “활동 패턴”과 네트워크 전체의 “활동 패턴”을 모델링 해야 한다. 인공지능을 활용한 보안 솔루션을 통해 처음으로 이 부분에서 성과를 거두고 있다.

이 블로그에서는 공격자들이 궁극적 목표를 달성하기 위해 킬 체인(kill chain)의 각 단계에서 은밀하고 천천히 수행되는 공격 테크닉들을 어떻게 활용하는지 알아본다. 우리는 7천 건이 넘는 자사의 기업 면역 시스템의 구축 사례에서 발췌한 세 개의 실제 사례를 분석하여 사이버 인공지능이 어떻게 은밀하고 천천히 수행되는 정찰 활동, 데이터 외부 유출 및 명령 및 제어 활동을 탐지하는지 설명해 보았다.

은밀하고 천천히 수행되는 정찰 활동

Darktrace의 인공지능은 기기나 사용자의 행동 패턴을 감시함으로써 상시 변화하는 예상활동 패턴을 학습할 수 있다. Darktrace 인공지능은 이러한 특정 네트워크의 “정상 상태”에 대한 이해를 바탕으로 위협의 징후가 되는 중요한 특이점들을 식별할 수 있다. Darktrace 인공지능은 과거 데이터에 기반한 훈련 등에 의존하지 않고도, 다른 보안 툴들이 쉽게 놓치는 위협들을 식별할 수 있는 기술을 활용해 위협의 징후를 파악한다.

유럽의 한 금융 서비스 회사의 네트워크에서 Darktrace는 한 서버가 여러 내부 컴퓨터에서 포트 스캔을 수행하는 것을 발견했다. 이러한 유형의 네트워크 스캐닝은 관리자용 기기들을 이용해 테스트 목적으로 정기적으로 수행되곤 한다. 그러나 이러한 스캐닝은 사이버 공격자들이 공격의 초기 단계에 취약점들을 파악하고 보안 침해 가능 포인트를 파악하기 위해 활용하는 전략이기도 하다.

일주일에 걸친 기간 동안 해당 서버는 276대의 고유 기기에 약 21만4천 건의 연결을 시도했으나 실패했다. 하지만 해당 서버가 하루 단위로 시도한 포트 연결은 적은 편이었다. 해당 공격은 연속적이었으나, 오랜 시간에 걸쳐 천천히 수행되었다. 하루 기준으로 측정해 보면, 방해의 정도는 너무나 미미한 수준이어서 그 어떠한 규칙기반 보안 방어 솔루션에도 탐지되지 않았다. 하지만 전체 디지털 비즈니스에 대해 오랜 시간 학습해 온 사이버 인공지능은 각 기기, 사용자, 혹은 네트워크의 “정상 상태”에 견주어 보아, 아주 미세한 편차까지도 탐지할 수 있다. Darktrace는 네트워크 스캐닝이 평소보다 긴 시간 이어졌다는 것을 파악하고 해당 고객에게 즉시 경고를 보냈다.

스캐닝 기간 동안 규칙적으로 발생한 클로즈드(closed) 포트로의 연결을 보여주는 고급 검색 조회 화면

은밀하고 천천히 수행되는 데이터 유출

한 산업 제조회사에서 일주일의 기간에 걸쳐 한 데스크톱 컴퓨터가 평소에는 거의 연결하지 않던 호스트에 2천 건이 넘는 연결을 한 것이 발견되었다. 이 기간 동안 총 9.15 기가바이트의 데이터가 외부로 이동되었다. 한 번의 연결로 이동된 데이터의 용량은 절대 몇 메가바이트를 넘지 않았다. 이런 데이터 이동 용량만을 봐서는 우려할 수준은 아니었다. 그러나 이러한 연결이 도달하는 지점들은 해당 네트워크에 있어 100%의 희귀도로, 통상적으로 연결하지 않던 지점들이었고, 데이터 유출이 발생한 기간 내내 그러한 연결 희귀성을 유지했다. 이 활동은 처음부터 의심스러운 활동으로 표시되었을 뿐 아니라, 정상적 트래픽의 일부로 인식될 수 없었다. Darktrace의 인공지능은 네트워크 외부로 이동된 데이터의 축적된 용량을 고려해볼 때 이는 해당 기기의 정상 행동에서 상당히 벗어난 활동이며, 진행중인 위협을 의미한다고 식별했다.

7일 동안의 지속적 데이터 외부유출

지속적 데이터 외부 유출이 발생한 기간 동안(파란색 선) 나타난 보안 침해 모델들 (주황색 원)

은밀하고 천천히 수행되는 명령 및 제어

Darktrace는 오픈소스 위협 리스트 등에 멀웨어 감염내용이 올라오기도 전에 그러한 멀웨어 감염을 찾아내는 데 탁월하다. 이는 가장 심각하고, 이전에 나타난 적 없는 신종 위협들을 막는 데 필수적인 능력이다. Darktrace가 이러한 능력을 갖출 수 있었던 큰 이유 중 하나는 시그니처에 의존하기 보다는 비커닝(becaoning) 패턴들을 파악하기 때문이다. 비커닝은 악성 프로그램이 자신의 온라인 인프라와 연결을 시도할 때 발생한다. 네트워크 스캐닝이 그렇듯, 외부로 뻗어나가는 연결들이 급증하는 모습을 비커닝을 통해 보여준다.

한 기업 네트워크에 구축된 Darktrace는 해당 네트워크 내 한 기기가 악성 브라우저 확장자와 일정한 간격으로 지속적 연결을 하고 있음을 발견했다. 평균적으로 네 시간마다 11건의 연결을 하고 있어, 정상적 인터넷 트래픽의 일부로 쉽게 혼동되기 쉬운, 활동성 낮은 연결이었다. 이러한 규칙적 연결을 식별한 Darktrace의 인공지능은 높은 비커닝(beaconing) 스코어를 지정함으로써 자동화된 프로세스를 통해 구동된 연결일 확률이 높음을 알렸다. 연결의 도달 지점 또한 통상적으로 연결되던 곳이 아니라는 사실을 종합해 보니, 이 연결이 사용자 모르게 실행되고 있던 악성 백그라운드 프로그램에 의한 연결임이 더욱 명백해졌다.

7일 동안 규칙적으로 나타난 낮은 수준의 비커닝(beaconing)

사이버 보안 분야가 고도화됨에 따라, 공격자들은 감시망을 피해 공격을 감행하기 위해 점점 더 정교한 공격 방법을 개발할 것이다. 기존의 사이버 보안 툴들은 과거 데이터에 기반하여 사전 정의된 제한치를 초과했는지 여부만을 체크하는 등의 이분법적인 방법을 활용하기에 이러한 변화에 대응할 수 없다.

이러한 변화된 시대에서 인공지능은 지속적으로 변화하는 “정상 활동 패턴”을 학습할 수 있기 때문에 앞으로 없어서는 안 될 존재가 될 것이다. Darktrace의 인공지능은 이러한 학습능력을 이용해 악성 활동 혹은 보안 정책을 위반한 활동으로 인해 일어난 연결도의 지장을, 아주 미세한 정도의 지장이라도, 효과적으로 파악할 수 있다. 이것이 바로 Darktrace가 진행 중인 사이버 공격들을 발견한 후, 자율 대응함으로써 위기 상황으로 번지기 전에 사이버 공격들을 물리칠 수 있는 이유이기도 하다.

낫페트야(Notpetya) 랜섬웨어, 워너크라이(WannaCry) 랜섬웨어와 같이 잘 알려진, 빠르게 움직이는 공격의 발생으로 인해, 일부 기업은 특정 유형의 위협 방지에 노력을 집중하는 한편, 기타 위협에는 제대로 대비하지 못하고 있다. 그리고 해커들은 이런 현실을 악용하고 있다. Darktrace는 탁월한 인공지능을 활용함으로써 고객들이 빠르게 일어나는 사이버 공격들 뿐 아니라, 매우 느리게, 아주 미세하게 수행되는 공격들도 막을 수 있도록 돕는다.