| 초록 |
1. 개요 사이버위협이 지속적으로 고도화되고 있다. 피싱, 이메일, 랜섬웨어, 디도스, 크리덴셜 스터핑(Credential Stuffing) 등 각종 사이버공격이 활개를 치고 있으며 지능형 지속위협(APT: Advanced Persist-ent Threat) 역시 계속되고 있다. 이와 같은 사이버보안 사고의 시대별 변화를 기준으로 체크포인트(Checkpoint)사는 2017년 4월에 발생한 워너크라이(WannaCry) 공격을 경계로 하여 현재 시점을 4세대인 페이로드 및 타깃형 공격과 5세대인 메가공격과 실시간 대응으로 이행되는 과정으로 예측하고 있다. [그림 1] 사이버보안 기술의 세대별 진화 과정 및 특징 최근에는 알려지지 않은 취약점을 노리는 이른바 “제로데이(Zeroday) 공격”과 APT로 통칭되는 매우 정교한 사이버위협이 기승을 부리면서 사이버보안 분야에서 “위협헌팅(Threat Hunting)” 기술이 주목받고 있다. 사이버 위협헌팅은 기존 보안 솔루션을 우회하는 지능형 위협을 탐지하고 격리하기 위하여 네트워크를 능동적이고 반복적으로 검색하는 프로세스로, 잠재적인 위협이나 침해사고가 발생했음을 경고한 후에 조사를 수반하는 전통적인 위협관리 조치인 방화벽, IDS, SIEM 등과는 다르다. [그림 2] SIEM과 사이버 위협헌팅 비교 위협헌팅이라는 용어는 2008년 미국 국가안보국(NSA)이 사이버보안 세계에서 쓰기 시작했다. 원래 군사조직에서 쓰던 정보분석 기법을 지칭했는데, 당시 점점 다변화, 고도화하는 사이버위협에 대응하는 개념으로 이식됐다. IT 분야에서 보안 사고를 막기 위한 프레임워크로 적용하는 논의가 시작됐고, 최근 RSA 컨퍼런스에서도 이어지고 있다. 위협헌팅은 “모든 시스템은 침해당했다”라고 가정하고 시작한다. 위협헌팅은 이미 보안관제, 침해사고 대응, 보안 분석 등에서 활용되고 있으며, 최근 머신러닝, 위협 인텔리전스를 접목하면서 한 차원 더 높은 수준으로 발전하고 있다. 본고에서는 고도화되는 사이버위협에 대비하기 위해 새롭게 떠오르고 있는 보안 모델인 “사이버 위협헌팅”과 관련된 기술 및 동향을 알아보고 결론을 제시한다. ** 원문은 파일 다운받기를 해주세요 :-) |
