Daily CS) Cyber Kill Chain

goldenGlow_21·2024년 11월 27일
CSCyber Kill Chaincyber security
0

Daily CS

목록 보기
3/50

Cyber Kill Chain

process by which perpetrators carry out cyberattacks

아무도 몰랐겠지만, 이 시리즈의 제목인 CS는 Computer Science 보다는 Cyber Security를 염두에 두고 지은 이름이다. 물론 Computer Science에 가까운 내용들도 다룰 예정이니 아예 틀린 건 아니지만... 막상 짓고 보니 보안스러운 느낌(?)이 안 든다는 걸 오늘 발견했다. 아무튼 그런 의미에서, 오늘의 주제는 보안 분야에서 빠질 수 없는 내용인, Cyber Kill Chain 으로 정했다.

Cyber Kill Chain은 사이버 공격의 단계별 과정을 분석하고 대응 전략을 설계하기 위한 프레임워크이다. 이를 통해 공격자의 행동을 이해하고, 적절한 방어 및 탐지 방안을 마련할 수 있다는 점에서 의의를 가진다. 즉, 위협에 대응하기 위한 분석 체계 정도로 이해하면 될 것 같다.

1. Cyber Kill Chain이란 무엇인가?

정의와 개요

앞서 조사한 것보다 조금 더 지엽적으로 들어가 보자면, Cyber Kill Chain은 Lockheed Martin에서 개발한 사이버 보안 프레임워크이며 Intelligence Driven Defense 모델의 핵심 요소로 설계되었다. 이 모델은 사이버 침입 활동을 식별하고 방지하기 위한 체계적인 접근 방식을 제공하며, 공격자가 목표를 달성하기 위해 수행해야 하는 주요 단계를 분석한다.

Lockheed Martin에서의 개발 배경

Lockheed Martin은 방위 산업에서 축적된 경험을 바탕으로, 고도로 조직화된 사이버 공격(예: APT)에 대응하기 위해 Cyber Kill Chain을 도입했다고 한다. 이 프레임워크는 사이버 보안 팀이 공격의 각 단계를 체계적으로 분석하고, 탐지 및 대응 전략을 개선할 수 있도록 설계되었다.

APT: Advanced Persistent Threat

2. Cyber Kill Chain의 단계

Cyber Kill Chain은 다음 7단계로 구성된다. 일부 전문가들은 여기에 Monetization(수익화) 단계를 추가하여 총 8단계로 확장하기도 한다.

  1. Reconnaissance (정찰)
  2. Weaponization (무기화)
  3. Delivery (전달)
  4. Exploitation (취약점 공격)
  5. Installation (설치)
  6. Command and Control (C2) (명령 및 제어)
  7. Actions on Objectives (목표 실행)
  8. Monetization (수익화, 선택적 단계)

3. 단계별 상세 분석

1. Reconnaissance (정찰)

  • 목표: 공격자가 목표 시스템과 네트워크에 대한 정보를 수집
  • 기법:
    • OSINT(Open Source Intelligence) 활용
    • 네트워크 스캔
    • 소셜 미디어 분석
    • 조직의 공개 자료에서 취약점 탐색
  • 방어 전략:
    • 네트워크 모니터링
    • 직원 대상 보안 교육(정보 과다 공유 방지)

2. Weaponization (무기화)

  • 목표: 악성 코드를 개발하거나 기존 도구를 수정하여 목표를 공격할 준비
  • 활동:
    • 악성 문서 제작
    • 기존 악성코드 변조
    • Payload 준비 단계로 보면 될 듯
  • 방어 전략:
    • 이메일 필터링과 첨부파일 검사
    • 엔드포인트 보호 솔루션 마련

3. Delivery (전달)

  • 목표: 악성 페이로드를 목표 시스템에 성공적으로 전달하는 것
  • 기법:
    • 피싱 이메일, 악성 링크, USB 드라이브 사용
    • 악성 웹사이트를 통해 드라이브 바이 다운로드 유도
  • 방어 전략:
    • URL 필터링과 웹 보호 솔루션
    • 사용자 클릭 행위 분석 및 경고 시스템

4. Exploitation (취약점 공격)

  • 목표: 취약점을 악용해 악성 코드 실행
  • 기법:
    • 제로데이 취약점 공격
    • 권한 상승 공격
    • Lateral Movemnt
  • 방어 전략:
    • 취약점 스캐너 사용
    • 패치 관리 프로세스 강화

5. Installation (설치)

  • 목표: 악성 코드가 시스템에 지속적으로 자리잡도록 설치
  • 기법:
    • 백도어
    • 루트킷
    • 트로이 목마
  • 방어 전략:
    • 무결성 검사와 파일 동작 모니터링
    • 비인가 소프트웨어 설치 방지

6. Command and Control (C2) (명령 및 제어)

  • 목표: 피해 시스템과 공격자 간의 통신 채널 설정
  • 기법:
    • C2 서버와의 암호화된 통신
    • 데이터 탈취 및 추가 명령 전달
    • Mirai Botnet(감염된 장치를 C2 서버로 연결, DDoS 공격 실행)
  • 방어 전략:
    • 비정상적인 네트워크 트래픽 탐지
    • C2 서버 IP 차단

7. Actions on Objectives (목표 실행)

  • 목표: 데이터를 탈취하거나 시스템을 파괴하는 것
  • 기법:
    • 랜섬웨어 배포
    • 데이터베이스 추출
  • 방어 전략:
    • 데이터 손실 방지(DLP) 시스템
    • 정기적인 백업 및 암호화

8. Monetization (수익화)

  • 목표: 공격 결과를 금전적 이익으로 전환하는 것
  • 기법:
    • 다크 웹에서 데이터 판매
    • 랜섬 요구
  • 방어 전략:
    • 암호화폐 거래 모니터링
    • 중요한 데이터 암호화 및 보호

4. Cyber Kill Chain으로 보는 실제 사례

1. WannaCry

단계

Delivery → Exploitation → Installation

설명

WannaCry는 2017년에 전 세계적으로 대규모 피해를 발생시킨 랜섬웨어 공격이다. 이 공격은 주로 Microsoft의 SMB(서버 메시지 블록) 프로토콜의 취약점을 악용한 EternalBlue 익스플로잇을 통해 확산되었다.

공격의 Delivery 단계에서는 주로 스팸 이메일이나 악성 링크를 통해 초기 페이로드가 전달되었다. Exploitation 단계에서는 SMB 취약점을 활용하여 원격에서 코드를 실행하고, Installation 단계에서는 랜섬웨어가 설치되어 시스템 파일을 암호화했다. 이후 WannaCry는 네트워크를 통해 자가 복제를 수행하며 빠르게 확산되었고, 의료 시스템, 은행, 기업 등 중요한 기관의 데이터가 암호화되어 막대한 손실을 초래했다.

특징

WannaCry는 단순히 악성코드 배포에 그치지 않고, 네트워크를 통해 자동으로 확산되는 웜(Worm)의 특성을 가졌다. 이로 인해 초기 감염된 소수의 시스템에서 빠르게 수천, 수만 대의 시스템으로 전파되었다. 공격자들은 파일을 복구하는 대가로 비트코인 형태의 랜섬을 요구하며 수익을 창출한 것으로 알려져 있다.

2. SolarWinds 공격

단계

Reconnaissance → Weaponization → Delivery

설명

SolarWinds 공격은 2020년에 발생한 대규모 공급망(Supply Chain) 공격으로, SolarWinds사의 Orion 소프트웨어 업데이트를 악성코드로 감염시켜 이루어졌다.

Reconnaissance 단계에서는 공격자가 SolarWinds의 개발 환경에 접근하기 위한 정밀한 정보를 수집했다. Weaponization 단계에서는 정당한 소프트웨어 업데이트처럼 보이도록 악성코드를 삽입하여 백도어를 포함한 패키지를 제작하였으며, Delivery 단계에서는 고객이 이 업데이트를 다운로드하여 설치하게 함으로써 감염이 이루어졌다.

특징

이 공격은 전통적인 네트워크 보안 경계를 우회할 수 있는 공급망 공격의 대표적인 사례로, 정부 기관, 대기업 등 전 세계 주요 조직에 영향을 미쳤다. SolarWinds 사건은 공급망 보안의 중요성을 부각시키며, 기존 방어 모델의 한계를 여실히 드러냈다고 알려져 있다.

5. Cyber Kill Chain의 한계와 보완점

한계

Cyber Kill Chain은 외부로부터의 공격을 단계적으로 설명하는 데는 유용하지만, 현대 사이버 위협 환경에서는 몇 가지 한계가 있다.

우선, 이 모델은 네트워크 외부에서의 공격 방지에 초점이 맞춰져 내부 위협이나 사회공학적 공격에 대한 탐지가 어렵다. 또한, 제로데이 취약점이나 IoT 장치, 클라우드 환경과 같은 최신 기술을 활용한 공격에 대한 적용이 제한적이다.

특히 Reconnaissance와 Weaponization 단계는 피해 조직의 외부에서 이루어지기 때문에 선제적 탐지가 어렵고, 방어자는 사실상 공격이 시작된 이후의 단계에서만 대응할 수 있다.

보완책

이러한 한계를 극복하기 위해 MITRE ATT&CK 프레임워크와 같은 보완적인 모델이 사용된다. MITRE ATT&CK은 Cyber Kill Chain보다 세부적인 전술과 기술을 다루어, 공격의 다양한 변종을 탐지할 수 있도록 돕는다.

그 외에도 Unified Kill Chain은 Cyber Kill Chain과 MITRE ATT&CK의 강점을 결합한 일종의 확장 모델로, 현대적인 공격 패턴까지 포괄한다.

자세한 활용 방법까지는 조사하지 못했지만 Threat Hunting 기술을 활용하여 내부망에서 발생하는 비정상적인 활동을 탐지하는 것도 보완책으로서 효과적이라고 한다.

6. Cyber Kill Chain 활용 방안

보안 솔루션 통합

Cyber Kill Chain은 SIEM(Security Information and Event Management)과 같은 보안 솔루션과 결합하면 더욱 효과적으로 활용할 수 있다. 이 경우 SIEM은 각 단계에서 생성된 로그 데이터를 분석하고 상관관계를 파악해 초기 공격 신호를 탐지한다.

예를 들어 Reconnaissance 단계에서 비정상적인 네트워크 스캔 패턴을 탐지하거나, Command and Control 단계에서 의심스러운 IP로의 통신을 차단할 수 있다.

사전 방어

Reconnaissance 단계에서 OSINT를 탐지하여 공격자의 초기 행동을 발견할 수 있다. 이를 위해 위협 인텔리전스(Threat Intelligence)를 적극적으로 활용하고, 알려진 악성 IP와 도메인을 차단하는 방법이 효과적이라고 한다.

사후 대응

공격이 진행된 이후에는 Command and Control 통신을 차단하여 공격자의 접근을 방해하고, 데이터 탈취를 방지하는 것이 급선무 과제일 것이다. 치밀하게 마련된 침해 사고 대응(IR) 계획을 통해 손상된 시스템의 복구 절차를 체계화하여 피해를 최소화할 수 있을 것이다.

SIEM을 활용한 Cyber Kill Chain 전략

SIEM은 APT 공격과 같은 고도화된 공격에 대한 상관분석 시나리오를 통해 방어자에게 실시간 경보를 제공한다. 예를 들어, SIEM은 네트워크 스캔(정찰 단계) 이후 특정 파일 실행(Exploitation 단계)과 같은 이벤트의 연속성을 파악하여 위협을 탐지한다. 이를 통해 공격의 흐름을 역추적하고, 추가적인 피해를 막을 수 있다.

7. Cyber Kill Chain과 MITRE ATT&CK

Cyber Kill Chain은 공격의 전체 흐름을 이해하고 주요 단계를 체계적으로 분석하는 데 유용하다. 그러나 MITRE ATT&CK은 각 단계에서 사용되는 구체적인 기술과 전술에 초점을 맞추어 공격 방어의 세부 전략을 수립하는 데 강점을 지닌다.

서로가 강점을 가지는 영역이 뚜렷이 구분되기에 두 모델은 서로의 우열을 가리는 대신, 상호보완적으로 사용될 수 있다. Cyber Kill Chain을 통해 전반적인 공격 흐름을 파악하고, MITRE ATT&CK은 세부적인 방어 전략을 강화하는 데 사용하는 방식으로 말이다.

8. Threat Hunting과 Cyber Kill Chain

Threat Hunting은 기존의 수동적인 로그 분석과는 달리, 공격자의 입장에서 시스템을 능동적으로 점검하여 알려지지 않은 위협을 식별하는 과정이다. 이 과정에서 Cyber Kill Chain은 Threat Hunting 활동의 방향성을 제공하며, 거점 확보 / 권한 상승 / 내부 정찰과 같은 소위 "내부망 단계" 에서도 유용하게 활용된다. 예를 들어, Threat Hunting 팀은 Command and Control 단계에서 비정상적인 네트워크 트래픽을 탐지하여 공격을 조기에 차단할 수 있다.

Threat Hunting과 Cyber Kill Chain을 결합하면 공격의 초반부터 내부 침투 단계까지 통합적인 방어를 제공할 수 있을 것이다. 이를 통해 알려지지 않은 위협이나 APT 공격을 대상으로도 능동적으로 탐지하고 대응할 수 있으리라 기대한다.

9. 마무리

Cyber Kill Chain은 사이버 공격에 대한 체계적 이해를 돕는 강력한 도구이다. 하지만 현대적 위협과 클라우드 환경 등, 가변적이며 복합적인 위협 환경에서의 한계를 극복하기 위해 MITRE ATT&CK Framework와 같은 보완적인 모델과 함께 활용하는 것이 중요할 것으로 보인다. 이를 통해 조직은 사이버 위협에 대한 탐지, 대응, 방어 전략을 더욱 효과적으로 설계할 수 있으리라 생각한다.

이로써 Cyber Kill Chain에 대한 전반적인 내용을 조사, 정리해 보았다. 다만 조사 주제가 하나의 개념보다는 프레임워크라 그런지 활용성 면에서 더욱 깊게 파고들 만한 여지가 충분해 보인다. 가능하다면 이후에도 연관된 주제나 Cyber Kill Chain을 활용한 기법 등에 대해서도 다뤄 보고 싶다.

profile
goldenGlow_21
안드로이드는 리눅스의 꿈을 꾸는가
이전 포스트

Daily CS) CORS

다음 포스트

Daily CS) Firewall

0개의 댓글