Threat Hunting
proactive approach to identifying previously unknown, or ongoing non-remediated threats, within an organization's network
오늘의 주제는 위협 헌팅이다. 일전에 정보보안 현직자 세미나를 들어볼 수 있는 기회가 있었는데, 당시 설명을 듣고 거의 반했던... 기억이 난다. 다만 정보보안 공부를 본격적으로 시작한 지금, 이 커리어에 대해 제대로 이해하고 있는지를 검토하고 싶어져 주제로 삼았다. 앞으로도 보안 관련 직무나 커리어, 분야 등에 대해 간간이 알아볼 생각이다. 진로탐색 느낌으로!
1. 위협 헌팅의 개요
1.1 위협 헌팅의 정의와 목적
위협 헌팅(Cyber Threat Hunting)은 기존의 자동화된 보안 시스템이나 탐지 규칙에 의해 탐지되지 않은 위협을 능동적으로 찾아내는 과정을 의미한다. 전통적인 보안은 알려진 위협에 대한 방어에 초점이 맞춰져 있지만, 위협 헌팅은 아직 탐지되지 않은 위협, 즉 "알려지지 않은 위협(Unknown Threats)"을 찾아내는 데 중점을 둔다.
위협 헌팅의 주요 목적은 네트워크 내부에 침투했지만 탐지되지 않은 공격자나 악성 활동을 발견하고, 이를 차단하여 조직의 보안 태세를 강화하는 것이다. 이는 다음과 같은 결과를 가져온다.
- 위협의 조기 탐지: 공격이 심각한 피해를 주기 전에 발견하여 대응할 수 있다.
- 조직 보안의 강화: 헌팅 과정에서 보안 체계의 취약점을 파악하고, 이를 개선할 수 있다.
- 지속적 학습: 헌팅 결과를 바탕으로 새로운 탐지 규칙을 생성하고, 보안 인텔리전스를 강화한다.
1.2 위협 헌팅과 전통적인 보안의 차이점
위협 헌팅은 능동적(Active) 접근 방식을 사용한다는 점에서 전통적인 보안 방어와 차별화된다. 특히, 위협 헌팅은 기존 방어 체계의 한계를 보완하고 더욱 정교한 공격을 탐지하는 데 중점을 둔다.
- 전통적인 보안: 방화벽, SIEM 규칙, IDS/IPS 등의 자동화된 시스템에 의존하여 알려진 공격 패턴을 탐지
- 위협 헌팅: 보안 전문가가 데이터를 직접 분석하거나 가설을 설정하여 탐지되지 않은 위협을 찾아내는 방식
| 항목 | 전통적인 보안 | 위협 헌팅 |
|---|---|---|
| 접근 방식 | 반응적 (Reactive) | 능동적 (Proactive) |
| 대상 위협 | 알려진 위협 (Known Threats) | 알려지지 않은 위협 (Unknown Threats) |
| 주요 도구 | SIEM, IDS/IPS | 로그 분석, 네트워크 트래픽 분석, 행동 기반 탐지 |
| 결과 | 탐지된 위협 차단 | 탐지되지 않은 위협 발견 및 대응 |
1.3 위협 헌팅이 중요한 이유
위협 헌팅은 조직의 보안 태세를 한층 강화하는 데 핵심적인 역할을 한다. 현대의 사이버 위협은 점점 더 정교하고 지능적으로 진화하고 있으며, 많은 경우 기존의 보안 시스템을 우회한다. 예를 들어, 파일리스(Fileless) 공격이나 APT(Advanced Persistent Threat)와 같은 공격은 네트워크 내부에 은밀히 침투하여 장기간 탐지되지 않는 경우가 많다.
따라서 위협 헌팅은 위협 탐지에 있어 최후의 방어선과 최전선 모두에 해당한다고 볼 수 있다. 특히 기존 보안 시스템의 맹점을 보완하는 수단으로서 기능할 수 있다는 점에서 그 가치가 엄청나다.
위협 헌팅이 필요한 이유
- 시그니처 기반 탐지의 한계 극복: 전통적인 보안은 알려진 공격 패턴에만 의존하므로, 새로운 위협에는 취약하다. 위협 헌팅은 비정상적인 행동 패턴을 분석하여 이러한 위협을 찾아낸다.
- 공격자가 내부에 존재할 가능성 탐색: 위협 헌팅은 조직의 네트워크 내부에서 이미 활동 중인 공격자를 식별하고 대응하는 데 도움을 준다.
- 사이버 복원력 강화: 위협 헌팅은 조직이 향후 유사한 공격에 더욱 신속히 대응할 수 있도록 보안 전략을 발전시킨다.
현대 위협 사례
- SolarWinds 해킹: 전통적인 보안 도구는 이 해킹을 탐지하지 못했으나, 위협 헌팅을 통해 악성 트래픽이 발견되고 분석되었다.
- 파일리스 공격: 악성 코드가 디스크에 저장되지 않아 전통적인 안티바이러스로는 탐지할 수 없으나, 메모리 분석을 통해 발견 가능.
2. 위협 헌팅의 절차와 프레임워크
2.1 위협 헌팅의 주요 단계
초기 데이터 수집
위협 헌팅의 첫 번째 단계는 네트워크, 시스템, 애플리케이션 등 다양한 소스에서 데이터를 수집하는 것이다. 이 데이터는 로그 파일, 네트워크 트래픽, 사용자 활동 기록 등으로 구성된다. 예를 들어, 특정 사용자의 비정상적인 로그인 시도 기록이 포함된 로그 데이터를 수집하여 초기 분석의 기반으로 활용하는 식이다.
-
주요 데이터 소스
- SIEM(Security Information and Event Management)
- EDR(Endpoint Detection and Response)
- 방화벽 로그
- DNS 요청 -
목적
- 가능한 한 포괄적인 데이터를 확보하여 위협을 탐지할 근거(실마리?)를 마련하기 위함
가설 설정
가설 설정은 수집된 데이터를 바탕으로 잠재적 위협 활동에 대한 추정을 마련하는 단계이다. 위협 헌터는 특정 패턴(예: 비정상적인 시간대의 로그인 시도, 고속 대량 데이터 전송 등)에 주목하여 "이것이 공격자의 행동일 가능성이 있다"는 가설을 수립한다. 다만, 이 과정은 추후의 프로세스에 생각보다 큰 영행을 끼칠 수 있다. 정확한 가설 설정은 분석의 방향을 결정하나, 잘못된 가설은 시간과 리소스를 낭비할 수 있기 때문이다.
- 추정 관련 질문 예시
- "이 네트워크 트래픽의 급증은 DDoS 공격의 징후일까?"
- "다른 지역에서의 연속된 로그인 시도가 있는데... 자격 증명 도용의 결과인가?"
분석 및 조사
분석 단계에서는 데이터를 심층적으로 분석하여 가설을 검증하거나 반증한다. 이 과정에서 데이터 시각화, 로그 분석, 네트워크 패킷 분석 등의 기술이 활용된다. 예를 들어, 공격자가 내부 네트워크에서 권한 상승을 시도했다면, 이와 관련된 로그와 파일 접근 기록을 조사하여 이를 확인하는 식이다.
- 가능한 조사 기법
- 행동 기반 탐지: 사용자의 행동 패턴을 분석하여 평소와 다른 활동을 식별
- 머신러닝 모델 활용: 비정상적인 데이터를 자동으로 분류하거나 예외적인 패턴을 식별
발견 및 대응
발견된 위협에 대해 적절히 대응하는 단계로, 조직의 보안 정책과 방어 체계를 강화하는 조치를 포함한다. 또한 이 단계에서는 발견된 위협을 제거하는 것뿐만 아니라, 향후 동일한 위협이 재발하지 않도록 예방책을 마련하는 데 주안점을 둔다.
대응 예시
- 감염된 호스트 격리
- 악성 프로세스 종료
- 탐지 규칙 업데이트(SIEM 시스템에서)
2.2 MITRE ATT&CK와 같은 프레임워크의 활용
MITRE ATT&CK는 위협 헌팅에서 공격자의 행동을 이해하고, 분석의 방향을 설정하는 데 중요한 역할을 하는 프레임워크이다. 이 프레임워크는 사이버 공격에서 사용되는 전술과 기술을 체계적으로 분류한 지식 기반으로, 헌팅 과정에서 공격자의 활동을 식별하고 대응 전략을 세우는 데 활용된다.
MITRE ATT&CK는 공격 과정을 전술(Tactic)과 기술(Technique)로 나누어 설명한다. 전술은 공격자가 목표를 달성하기 위해 사용하는 높은 수준의 계획을 나타내며, 기술은 그 계획을 실행하기 위한 구체적인 방법이다. 예를 들어, "권한 상승(Escalation)"이라는 전술은 "악성 서비스 설치"나 "토큰 조작"과 같은 기술로 구현될 수 있다.
위협 헌터는 MITRE ATT&CK를 활용해 가설을 설정하고 데이터를 분석하는 방향을 구체화할 수 있다. 예를 들어, 헌터가 네트워크 이상 징후를 탐지했다면, MITRE ATT&CK에서 관련 전술과 기술을 참조하여 이러한 활동이 공격의 어느 단계에 속하는지 확인하고 대응 전략을 수립할 수 있다. 즉, MITRE ATT&CK는 위협 헌팅 프로세스를 체계화하여 더 높은 수준의 통찰력과 효율적인 대응을 가능하게 한다.
MITRE ATT&CK의 실제 활용 예시
- 공격 전술 분석: 헌터가 악성 파일 다운로드 이벤트를 탐지했을 경우, 이는 "초기 접근(Initial Access)" 또는 "실행(Execution)" 전술에 해당할 수 있다.
- 기술 참조: 다운로드 이벤트가 "PowerShell 스크립트 실행"과 관련된 경우, MITRE ATT&CK의 "T1059.001(PowerShell)" 기술을 참조하여 추가적인 로그 분석 방향을 설정한다.
- 대응 방안 수립: 공격자가 PowerShell을 악용했음을 확인한 후, 추가 탐지를 위해 네트워크 트래픽과 실행 파일 접근 기록을 분석하고, PowerShell 실행 제한 정책을 적용한다.
2.3 위협 인텔리전스와의 연계
위협 인텔리전스(Threat Intelligence)는 위협 헌팅에서 외부의 공격 정보를 내부 환경과 연결하여 더 정교한 탐지를 가능하게 한다. 위협 인텔리전스는 공격자 프로파일, 악성 IP 주소, 해시 값(MD5, SHA-256), 의심스러운 도메인, 공격 기술 등 다양한 정보를 제공하여 헌팅의 품질과 정확성을 향상시킨다.
위협 인텔리전스는 특히 침해 지표(Indicators of Compromise, IoC)와 같은 정보를 통해 위협 헌팅의 초기 단서를 제공한다. 예를 들어, 외부 인텔리전스 데이터베이스에서 수집된 악성 IP 주소를 내부 네트워크 트래픽 로그와 비교하면, 조직이 악성 트래픽에 노출되었는지 신속히 확인할 수 있다. 이 경우 위협 인텔리전스는 단순히 정보를 제공하는 데 그치지 않고, 조직이 위협 헌팅의 방향성을 잡고 신속하게 대응할 수 있도록 지원하는 핵심 도구로 작동하게 된다.
위협 인텔리전스를 활용한 헌팅 과정
- 외부 위협 정보 수집: 위협 인텔리전스 플랫폼에서 악성 도메인, 공격자 TTP(Tactics, Techniques, and Procedures) 정보를 가져온다.
- 내부 데이터와 대조: 수집된 정보를 조직의 네트워크 로그, 엔드포인트 로그, DNS 요청 데이터와 비교하여 관련된 활동을 탐지한다.
- 분석 및 대응: 탐지된 의심스러운 활동을 분석하여 위협 여부를 확인하고, 필요한 대응을 실행한다.
위협 인텔리전스 연계의 실제 사례
- 악성 IP 탐지: 위협 인텔리전스를 통해 확인된 악성 IP가 네트워크 로그에서 발견되었다면, 해당 IP와의 통신을 차단하고 관련 트래픽을 조사한다.
- APT 그룹 추적: 위협 인텔리전스 보고서를 통해 특정 APT(Advanced Persistent Threat) 그룹의 공격 패턴을 식별하고, 내부 로그에서 관련 활동을 분석하여 위협 여부를 파악한다.
3. 위협 헌팅 기법과 접근 방식
3.1 데이터 기반 위협 헌팅 (Data-Driven Hunting)
데이터 기반 위협 헌팅은 대규모 데이터 분석에 중점을 둔 접근 방식이다. 조직 내에서 수집된 로그, 네트워크 트래픽, 사용자 활동 기록 등의 방대한 데이터를 활용해 비정상적인 패턴이나 이상 행동을 탐지한다.
이 접근 방식은 데이터를 체계적으로 분류하고, 통계적 분석이나 머신러닝 알고리즘을 통해 정상 활동과 비정상 활동 간의 차이를 식별한다. 예를 들어, 정상적인 업무 시간 외의 빈번한 로그인 시도나, 예상치 못한 지역에서의 접속이 데이터 기반 헌팅으로 탐지될 수 있다.
주요 단계
- 데이터를 SIEM과 같은 보안 정보 및 이벤트 관리 도구로 수집
- 데이터 분석 도구를 사용해 통계적 이상치를 탐지
- 탐지된 이상 징후를 정밀 조사하여 위협 여부를 판단
장점
- 방대한 데이터를 체계적으로 분석하여 숨겨진 위협 탐지 가능
- 자동화된 분석 도구와 결합하면 탐지 속도가 빠름
3.2 지표 기반 위협 헌팅 (Indicator-Driven Hunting)
지표 기반 위협 헌팅은 침해 지표(Indicators of Compromise, IoC)를 사용하여 위협을 탐지하는 방식이다. IoC는 악성 IP, 도메인, 해시 값, 의심스러운 URL 등으로 구성되며, 주로 위협 인텔리전스를 통해 수집된다.
이 기법은 기존의 위협 정보를 활용해 탐지의 정확도를 높이며, 빠른 탐지가 가능하다는 장점이 있다. 그러나 알려지지 않은 위협(Zero-Day Attack)에는 대응하지 못할 수 있다는 한계도 있다.
활용 예시
- 외부 위협 인텔리전스 플랫폼에서 수집한 악성 도메인을 조직의 네트워크 트래픽과 대조
- 악성 파일의 해시 값을 내부 파일 시스템과 비교해 침투 여부를 확인
IoC 예시
| IoC 유형 | 예시 |
|---|---|
| IP 주소 | 192.168.1.100 (악성 C2 서버) |
| 도메인 | suspicious-activity[.]com |
| 파일 해시 | SHA256: 3d2e483... |
3.3 행동 기반 위협 헌팅 (Behavioral Hunting)
행동 기반 위협 헌팅은 공격자의 행동 패턴을 분석하여 위협을 탐지하는 방식이다. 이 접근법은 MITRE ATT&CK 프레임워크와 같이 공격자가 사용하는 전술과 기술을 참조하여, 시스템이나 네트워크에서 나타나는 비정상적 활동을 식별한다.
예를 들어, 정상적인 사용자 활동과는 다른 패턴으로 특정 파일에 반복적으로 접근하거나, 다수의 시스템 간 lateral movement(횡적 이동)가 발생한다면 이는 공격자의 행동일 가능성이 높다.
주요 특징
- 정형화된 데이터 패턴이 아니라 행동의 맥락에 초점
- 알려지지 않은 위협에도 대응 가능
- 위협의 근본 원인을 파악하고 탐지 규칙에 반영
적용 사례
- 한 사용자가 평소에 접속하지 않던 서버에 접속한 후 권한 상승을 시도한 행동이 탐지됨
- 다수의 계정에서 유사한 시간대에 동일한 명령어가 실행되는 패턴 분석
3.4 머신러닝과 자동화 기술의 활용
머신러닝과 자동화 기술은 위협 헌팅의 효율성과 정확성을 높이는 데 필수적이다. 머신러닝은 대량의 데이터를 학습하여 정상 활동과 비정상 활동의 패턴을 구분하고, 비정상적 활동을 자동으로 탐지할 수 있다.
활용 방식
- 지도 학습(Supervised Learning): 레이블이 지정된 데이터(정상/비정상)로 학습하여 미래의 데이터를 분류
- 비지도 학습(Unsupervised Learning): 레이블이 없는 데이터에서 이상치를 탐지
자동화 기술의 장점
- 탐지 속도 향상: SOAR(Security Orchestration, Automation, and Response) 플랫폼을 통해 위협 탐지와 대응을 자동화
- 대규모 네트워크 환경에서도 효율적인 위협 관리
4. 위협 헌팅 도구와 기술
4.1 위협 헌팅에 사용되는 주요 도구
SIEM(Security Information and Event Management)
SIEM 도구는 보안 이벤트와 로그 데이터를 수집, 저장, 분석하여 위협을 탐지하는 데 사용된다. SIEM은 실시간 경고를 통해 위협에 신속히 대응할 수 있도록 지원하며, 대규모 네트워크에서 로그 데이터를 효율적으로 관리할 수 있다.
- 주요 기능: 이벤트 상관 관계 분석, 실시간 알림, 로그 중앙 관리
- 대표 도구: Splunk, IBM QRadar, ArcSight
EDR(Endpoint Detection and Response)
EDR은 엔드포인트(PC, 서버 등)에서 발생하는 활동을 실시간으로 모니터링하고 위협을 탐지하는 데 사용된다. 엔드포인트의 이상 활동을 탐지한 후 자동으로 차단하거나 보안팀에 경고를 보낸다.
- 활용 예시: 악성 코드 실행 탐지, 메모리 기반 공격 탐지
- 대표 도구: CrowdStrike Falcon, Microsoft Defender for Endpoint
네트워크 분석 도구
네트워크 분석 도구는 네트워크 트래픽을 실시간으로 분석하여 비정상적인 활동을 탐지한다. 이 도구는 주로 네트워크 계층에서 발생하는 DDoS 공격, C2 통신 등을 탐지하는 데 사용된다.
- 대표 도구: Wireshark, Zeek, NetFlow
로그 분석 도구
로그 분석 도구는 대량의 로그 데이터를 시각화하고, 이상 활동을 탐지할 수 있도록 돕는다. 로그 분석은 특히 사용자 행동, 시스템 이벤트의 패턴 분석에서 중요한 역할을 한다.
- 대표 도구: Elasticsearch, Kibana, Graylog
4.2 오픈소스와 상용 도구의 비교
오픈소스 도구는 비용 효율적이고 유연성이 높은 반면, 상용 도구는 사용자 친화적 인터페이스와 기술 지원을 제공한다.
| 항목 | 오픈소스 도구 | 상용 도구 |
|---|---|---|
| 비용 | 무료 또는 저렴 | 고가의 라이선스 비용 발생 |
| 기능 | 제한적 기능 제공 | 광범위하고 고급 기능 포함 |
| 기술 지원 | 커뮤니티 기반 | 공식 기술 지원 제공 |
| 유연성 | 높은 커스터마이징 가능 | 설정 및 변경에 제한적 |
예시
- 오픈소스: Wireshark, Zeek, Elastic Stack
- 상용 도구: Splunk, CrowdStrike Falcon
4.3 스크립트 및 커스텀 분석 도구 활용
위협 헌팅 팀은 상황에 맞게 Python, PowerShell 등의 스크립트를 사용해 맞춤형 분석 도구를 개발한다. 이러한 도구는 표준 도구에서 탐지하지 못한 위협을 찾거나, 특정 요구 사항에 맞는 데이터를 분석하는 데 유용하다. 특히 스크립트 기반 도구는 비용 효율성이 높고(가성비!), 특정 요구 사항에 따라 유연하게 대응할 수 있는 장점이 있다.
활용 예시
- Python으로 로그 데이터를 필터링하고 이상 징후를 분석
- PowerShell을 사용해 윈도우 이벤트 로그에서 비정상적인 권한 상승 시도를 탐지
5. 위협 헌팅의 실제 사례와 응용
5.1 위협 헌팅 성공 사례
사례: 쿼드마이너의 '네트워크 블랙박스'를 통한 내부 위협 탐지
사이버보안 기업 쿼드마이너는 2017년 설립 이후, 기업 내부 네트워크의 모든 패킷을 수집하고 분석하는 '네트워크 블랙박스'라는 NDR(Network Detection and Response) 솔루션을 개발하였다. 이 솔루션은 내부 직원의 비정상적인 행위까지 분석할 수 있어, 내부 위협 탐지에 효과적이다. 특허받은 고성능 패킷 스트림 저장 기술을 통해 모든 네트워크 패킷을 빠르게 수집하고 전수 검사하여, 사고 원인을 파악할 수 있는 증적 자료와 데이터 원본을 확보한다. 이를 통해 침해나 위협 관련 다양한 분석이 가능하며, 침해사고 후 심층 조사와 원인분석을 통해 향후 선제적으로 대응할 수 있도록 지원한다.
5.2 위협 헌팅의 실패 시나리오?
예시 시나리오: SIEM 시스템에 의존한 위협 탐지 실패
한 기업은 SIEM(Security Information and Event Management) 시스템을 도입하여 보안 이벤트와 로그 데이터를 수집하고 분석하였다. 그러나 SIEM 시스템의 탐지 규칙이 최신 위협 정보를 반영하지 못하고, 자동화된 탐지 시스템에만 의존한 결과, 새로운 유형의 공격을 놓치게 되었다. 이로 인해 공격자는 장기간 네트워크에 잠입하여 데이터를 유출할 수 있었다.
(예시에 대한)교훈과 개선점
- 지속적인 탐지 규칙 업데이트: 위협 환경은 빠르게 변화하므로, SIEM 시스템의 탐지 규칙을 최신 위협 정보에 맞게 지속적으로 업데이트해야 함
- 인간의 적극적인 개입 필요: 자동화된 시스템에만 의존하지 말고, 보안 전문가의 적극적인 위협 헌팅 활동을 통해 잠재적인 위협을 선제적으로 탐지해야 함
5.3 위협 헌팅이 조직의 보안 태세에 미치는 영향
위협 헌팅은 조직의 보안 태세를 강화하는 데 핵심적인 역할을 한다. 선제적인 위협 탐지를 통해 잠재적인 공격을 조기에 발견하고 대응함으로써, 보안 사고의 영향을 최소화할 수 있다. 또한, 위협 헌팅 과정에서 수집된 인사이트는 보안 정책과 방어 전략을 개선하는 데 활용되어, 전반적인 보안 역량을 향상시킨다. 이를 통해 조직은 빠르게 변화하는 위협 환경에 유연하게 대응할 수 있으며, 보안 사고로 인한 재무적 손실과 평판 훼손을 방지할 수 있을 것이다.
6. 마무리
이로써 위협 헌팅에 대한 조사를 마친다. 사례와 분석 보고서 등을 찾아보다 보니, 정말 엄청나게 연구/개발이 많이 이루어지고 있으며, 또 실시간으로 발전하고 있는 분야라는 점이 느껴졌다. 보안 공부를 이어나가고 있는 시점에서 특히 관심이 가는 분야이긴 하지만, 아직은 초심자 수준인 만큼 다른 분야에 대해서도 공부를 게을리하지 말아야겠다는 생각을 하게 되었다.
그럼... 오늘은 여기까지!
