사이버 침해 관련해 방어자는 공격자가 누구인지 알아내는 게임을 해야 합니다. 이때 위협 행위자의 속성(Attribution)을 파악하는 것은 중요합니다. 하지만 속성을 찾아내고 분류하는 것은 생각처럼 쉽지 않습니다. 조사 기간과 범위 그리고 측정하고 수집한 정보의 수준 그리고 속성을 가려낸 분석가나 조직의 신뢰성 등 고려야 할 것이 많은 복잡한 절차를 거쳐야 합니다. 관련해 본 포스팅을 통해 위협 행위자의 속성을 찾는 과정을 알아보고, 네트워크 방어자가 실무에 참조할 수 있는 속성 파악 관련 팁을 알려드리겠습니다.

위협 인자와 원인 분석 단계

보안 연구원이라 할지라도 침해를 놓고 특정 개인이나 조직의 행위로 단정하지 않습니다. 절차를 거쳐 객관화할 수 있는 속성을 추려내고, 이를 전술과 운영 그리고 전략 측면에서 분류하는 과정을 거칩니다. 첫 번째 단계는 전술적 속성 파악(Tactical Attribution)입니다. 이 과정에서 보안 연구원은 IP 주소, 도메인 같은 지표를 확인하여 유사 지표를 관찰할 수 있는 여러 위협 행위를 하나의 집합체인 클러스터로 묶습니다.

다음 하는 일은 운영 측면에서 프로파일링(Operational Profiling)을 하는 것입니다. 위협을 가하는 여러 행위자들이 사용하는 인프라와 운영 측면의 공통점을 찾아 아마추어 및 개인들이 느슨하게 연결된 공격 그룹인지 아니면 정교한 도구를 사용하는 조직적인 범죄자 그룹의 행위인지 결정하기 위한 작업이라 이해하면 됩니다.

앞의 두 과정을 거친 다음 보안 연구원은 전략적 속성(Strategic Attribution)을 파악합니다. 이를 통해 보안 연구원은 앞서 찾은 속성을 특정 위협 그룹 또는 위협 행위자와 연결합니다. 이 작업은 단순히 행위자를 찾는 것을 넘어 침해를 통해 이득을 보는 이가 누군지 배후를 밝히는 것까지 포함될 수 있습니다.

소개한 바와 같이 속성을 파악하고 분류하고 특정인이나 그룹을 지목하는 것을 일련의 과정을 거칩니다. 전술적 속성 파악을 건너 뛰고 운영이나 전략 속성을 파악할 수는 없습니다. 전술적 속성은 이후 단계로 나아가는 데 참조하는 중요 증거이기 때문입니다.

위협 행위자가 누구인지를 단계를 밟아 가며 찾는 것은 보안 연구자에게는 당연한 일입니다. 하지만 조직의 보안 운영을 담당하는 일선 관리는 전술, 운영, 전략 관련 속성을 파악하기 위해 시간과 노력을 어디까지 기울일지 결정해야 합니다.

속성을 찾는 것과 트레이드오프 관계에 있는 것들... 그리고 현실적인 절충안

자원 할당

속성을 평가하려면 조직의 보안 책임자는 팀의 역량과 주어진 목표 및 현실을 고려해 의사결정을 해야 합니다. 먼저 결정해야 할 것은 인적, 물적 자원 할당에 대한 것입니다. 속성 평가는 매우 많은 리소스가 투입되는 작업입니다. 사이버 위협 인텔리전스(Cyber Threat Intelligence)를 참조한다면 전술적 속성을 분석을 파악에 많은 리소스가 들지 않겠지만, 전략적 속성까지 알아내려면 다음과 같은 자원 투입이 필요합니다.

• 추가 인력 및 분석 시간
• 세부화된 위협 가시성 및 품질이 높은 수집 데이터
• 일관성 있는 작업을 위한 분석 프로세스 정립

탐지와 차단 작업만으로 벅찬 소규모 보안 팀이라면 전술적 속성 파악에서 멈추는 것이 현실적일 것입니다. 반면에 위협 헌팅 및 위협 인텔리전스 전담 인력이 있는 대규모 보안 팀이라면 운영 측면의 프로파일링을 통해 선제적으로 조직에 위협을 가할 수 있는 공격 그룹을 식별하고 이들이 주로 사용하는 TTP(Tatic, Technology, Process)로부터 중요 자산과 데이터를 보호할 수 있는 조치를 취할 수 있습니다. 한편, 정부 및 공공 부문의 보안 관련 조직이라면 정책적 대응을 위해 전략적 속성 파악이 필요합니다.

분석의 독립성

사이버 위협 인텔리전스를 제공하는 보안 기업, 정부 기관 및 독립적 기관의 보안 연구원 등 여러 주체가 위협 행위의 속성을 평가합니다. 그리고 각자의 채널을 통해 해당 정보를 공유합니다. 여러 조직이 각자 평가하는 속성은 어디까지 신뢰해야 할까요?

여러 조직의 위협 인텔리전스를 무시하는 것은 곧 다양한 시각과 통찰력을 무시하는 것과 같습니다. 그렇다고 너무 많은 정보를 참조하면 혼란에 빠질 우려가 있습니다. 예를 들어 카스퍼스키에서 처음 이름을 붙인 'Winnti'라는 공격 그룹은 여러 보안 분석 조직 간이 협업 부족으로 행위자가 누구인지를 특정하는 것이 무의미해졌습니다. 각자의 방법론, 클러스터링 기준 여기에 조직 간 협업이 원활하지 않아 생긴 일입니다.

맨디언트는 여러 조직에서 발표한 위협 연구에 주의를 기울이고 있습니다. 맨디언트의 보안 연구원은 직접 조사한 것과 다른 조직의 발표 간 겹치는 부분이 있는지 살핍니다. 더불어 맨디언트가 식별한 속성을 적극적으로 알리고 공유하고 있습니다.

신뢰 수준

속성 파악을 통해 위협 행위자가 누구인지 밝히는 것은 지나치게 신중하게 접근할 경우 오히려 중요 위협 행위에 대응하는 타이밍을 놓칠 우려가 있습니다. 가령 너무 높은 기준을 적용하다 보면 위협 행위를 특정 클러스터로 묶는데 너무 오랜 시간이 걸릴 수 있습니다. 그러다 보면 보안 일선 담당자들은 적시에 위협에 대응하는 데 어려움을 겪을 수 있습니다. 반면에 어느 정도 신뢰 수준을 확보할 수 있는 선에서 의심스러운 위협 행위자를 지목할 수 있으면, 이들의 TTP 정보를 바탕으로 효과적인 대응에 나설 수 있습니다.

맨디언트 인텔리전스(Mandiant Intelligence)는 분류되지 않은 위협 클러스터(UNC 그룹이라 칭함)를 통해 알려지지 않은 위협에 대한 통찰력을 신속히 제공합니다. 이는 어떤 공격 그룹의 짓인지 완벽한 분석을 마치기 전에 보안 현장에서 유용하게 활용할 수 있는 통찰력을 공유하기 위함입니다.

완벽한 분석을 마친 후가 아니라 어느 정도 수준의 확신이 드는 단계에서 UNC 그룹 정보를 공유해 피해를 줄일 대표적인 사례가 있습니다. 바로 그 유명한 2020년 SolarWinds 공급망 침해 사건입니다. 당시 맨디언트는 침해를 주도한 행위자들을 UNC2452로 명명하고 추적을 하였고, 분석 결과를 실행 가능한 위협 인텔리전스로 신속히 공유하였습니다. 이후 맨디언트를 비롯한 여러 보안 연구 조직은 SolarWinds 공급망 침해를 한 공격 그룹으로 APT29를 지목하였습니다. 이 사례를 통해 완벽을 기하는 분석도 중요하지만 시간을 지체하지 않는 것도 못지않게 중요함을 알 수 있습니다.

맨디언트는 신뢰 수준이 높지 않은 속성도 맨디언트 어드밴티지(Mandiant Advantage) 고객에게 공개합니다. 고객은 시간이 지남에 따라 깊이와 너비를 더하는 속성 평가 정보를 참조해 더 효과적으로 보안 운영을 할 수 있습니다.

참고로 위협 인텔리전스 팀은 신뢰 수준(Confidence Level)과 한정성(Specificity)은 개념을 구분할 필요가 있습니다. 가령 위협 인텔리전스 팀은 특정 위협의 배후에 러시아 정부가 있다는 확신을 가질 수 있습니다. 이를 신뢰할 수 있다고 해서 실제 공격을 하는 이들이 특정 러시아 공격 그룹이라고 한정할 수는 없습니다.

공개

모든 이들이 흥미진진한 사이버 위협 인텔리전스 관련 블로그 게시물을 좋아합니다. 그렇다고 해서 무분별하게 사이버 위협 인텔리전스 관련 내용을 공개하는 데에는 신중을 기해야 합니다. 출처의 민감도, 피해자의 반응, 지정학적 특수성, 위협 행위자의 반응 등을 충분히 고려한 후 블로그 등의 채널을 통해 정보를 공개하는 것이 바람직합니다.

분석 기법

잘 짜인 절차와 제대로 된 도구 그리고 전문성이 어우러진 분석 기법은 속성 평가에서 매우 중요합니다. 다만 이런 기법을 적용하려면 비용, 시간, 자원이 많이 듭니다. 따라서 조직의 역량과 주어진 조건을 고려해 탄력적으로 분석 작업을 해야 합니다. 가령 조직에 중대한 영향을 끼칠 우려가 있는 속성 평가에 우선순위를 높게 두는 것을 예로 들 수 있을 것입니다.

살펴본 바와 같이 속성 평가는 여러 측면에서 트레이드오프가 존재합니다. 속성 평가는 무거운 짐이 아닙니다. 보안 팀을 돕는 조력자로 보아야 합니다. 앞서 소개한 트레이드오프를 잘 고려해 우리 조직에 맞는 절충안을 찾는 지혜가 필요합니다.