[Silent Push] 발자국 대신 지문을 찾아야 합니다: 켄 배그널이 전하는 현재 사이버 보안 환경에 대한 솔직한 이야기

 

사이버 보안 분야에 종사하는 우리 대부분은 일종의 함정에 빠져 있습니다. 과거의 사례를 살펴보는 것으로 네트워크를 방어해야 한다고 배워왔기 때문입니다. 우리는 침해 지표(IOC)에 의존합니다. 악성 IP 주소나 파일 해시값 같은 것들이죠. 하지만 이러한 지표들을 주요 방어 수단으로 사용하는 것은 진정한 전략이 아닙니다. 그저 뒤늦게 대응하는 것에 불과합니다.

 

IOC는 이미 발생한 범죄에 대한 기록입니다. 화면에 IOC가 나타날 때쯤이면 이미 상황은 돌이킬 수 없게 되어 있습니다. 공격자는 이미 원하는 것을 달성한 후, 당신은 그 뒷수습에 급급하게 됩니다. 이것은 범죄 수사가 아니라 범죄 현장을 분석하는 것입니다.

 

첫 번째 피해자 문제

저는 수년간 사람들이 온갖 과대광고를 일삼다가 결국 아무것도 제공하지 못하는 기술들을 도입했다가 버리는 모습을 지켜봐 왔습니다. IOC 기반 보안도 이와 비슷합니다. 이는 실제로 보면 상당히 암울한, 사후 대응적인 악순환입니다. 이러한 모델에서 어떤 정보가 의미를 가지려면, 누군가가 먼저 공격을 받아야 합니다. 특정 도메인이 기업을 성공적으로 공격하는 데 사용된 후에야 비로소 지표가 되는 것입니다.

 

우리가 이러한 "알려진 악성" 자산 목록 업데이트를 기다리는 동안, 범죄자들은 ​​자동화 도구를 사용하여 순식간에 새로운 인프라를 구축하고 있습니다. 그들은 패스트 플럭스(Fast Flux)와 같은 기술을 사용하여 IP 주소를 변경하거나 AWS, Azure와 같은 대형 서비스 제공업체 뒤에 숨어 범죄 의도를 숨깁니다. 대부분의 보안 도구는 이러한 범죄 집단의 활동을 제대로 감지하지 못하고 있습니다.

 

우리가 힘든 일을 하는 이유

존 젠슨과 제가 사일런트 푸시를 개발할 때, 과거에 일어난 일에만 집중하는 것을 멈추고 현재 만들어지고 있는 것에 집중해야 한다는 것을 알고 있었습니다. 그러기 위해서는 제3자 피드나 재활용 데이터에 의존해서는 안 됩니다. 데이터 수집과 맥락화 과정을 직접 관리해야 합니다.

 

우리는 인터넷 인프라 전체와 그 변화하는 관계를 모니터링할 수 있는 가장 강력한 데이터 수집 플랫폼을 구축하는 과제를 맡았습니다. 이것이 바로 왜곡되지 않은 세상을 볼 수 있는 유일한 방법이기 때문입니다. 우리는 위협 행위자가 누군가를 공격할 때까지 기다리지 않습니다. 그들이 아직 준비 단계에 있을 때 남기는 흔적을 찾아냅니다.

 

지문을 찾는 것

저는 현재의 사이버 범죄 양상을 해적 시대와 비슷하다고 생각합니다. 이러한 범죄 조직들은 자국 정부로부터 은밀한 묵인 하에 범죄를 저지르는데, 그 조건은 범죄 수익이 본국으로 들어오고 국내 피해자가 발생하지 않는 것입니다. 하지만 이들은 습관의 노예입니다. DNS 레코드와 웹 서버 설정 방식에 자신들의 흔적을 남깁니다.

 

모든 인터넷 신호를 한 곳에서 추적함으로써 공격 준비 과정을 파악할 수 있습니다. 예를 들어, 파킹된 도메인이 갑자기 공격자가 제어하는 ​​서버로 전환되는 "활성화" 이벤트를 포착할 수 있습니다. 이를 통해 우리는 미래 공격 지표(IOFA)를 얻을 수 있습니다. 평균적으로 이 접근 방식은 104일의 사전 경고 시간을 제공합니다 . 즉, 공격이 시작되기 몇 달 전에 미리 경고를 받을 수 있는 것입니다.

 

더 이상 추측할 필요 없습니다 (가능합니다).

"의심스러울 수 있음"이라는 경고나 모호한 확률 점수를 제공하는 도구는 쓸모가 없습니다. 그런 건 경고 피로감을 유발하고 팀원들을 지치게 할 뿐입니다. 핵심은 명확한 데이터에 집중하는 것입니다. 공격자 인프라인지 아닌지 명확하게 구분해야 합니다.

 

이처럼 명확한 정보를 얻게 되면 추측할 필요가 없습니다. 공격자의 의도가 조직적으로 드러나는 순간을 파악하고 차단할 수 있습니다. 이는 '최초 희생자' 모델에서 벗어나 공격자보다 한 발 앞서 나가는 것을 의미합니다.