위협 헌팅이란?

사이버 보안 환경은 빠르게 변화하고 있으며, 위협은 점점 더 정교해지고 지속되고 있습니다. 방화벽 및 안티바이러스 소프트웨어와 같은 전통적인 조치는 더 이상 지능형 공격자를 방어하는 데 충분하지 않습니다. 새로운 위협에 대응하기 위해 조직은 대응적인 방어 이상의 방어가 필요하며, 위협이 확대되기 전에 예측하고 무력화하는 선제적인 전략이 필요합니다. 위협 헌팅은 위협이 피해를 입히기 전에 이를 식별, 조사 및 완화하는 선제적인 접근 방식입니다.

위협 헌팅을 통해 조직은 자동화된 툴에 대한 의존도를 넘어 인간이 주도하는 조사로 보안 업무를 수행할 수 있습니다. 사이버 공격의 수가 증가함에 따라, 위협 헌팅과 같은 선제적인 방어 메커니즘의 필요성이 그 어느 때보다 커졌습니다.

이 문서에서는 위협 헌팅, 위협 헌팅의 중요성, 기술 및 툴, 조직의 보안 태세를 강화하는 방법에 대해 다룹니다.

위협 헌팅이란?

위협 헌팅은 기존의 탐지 시스템을 회피하는 위협을 식별하고 제거하기 위해 설계된 선제적인 사이버 보안 전략입니다. 알려진 공격 시그니처에 의해 생성된 경보에 대응하는 대응 조치와 달리, 위협 헌팅은 악의적인 활동을 나타내는 이상 및 행동을 적극적으로 검색하는 것을 포함합니다.

이러한 접근 방식은 인간의 전문성과 직관에 기반을 두고 있으며, 종종 잠재적인 취약점이나 공격 벡터에 대한 가설에 기반합니다. 위협 헌팅은 자동화된 시스템이 남긴 격차를 메우고 진화하는 위협에 적응하여 기존의 사이버 보안 조치를 보완합니다. 방화벽, 침입 탐지 시스템(IDS) 또는 안티바이러스 소프트웨어를 대체할 수 없습니다. 대신 조직의 전반적인 보안 태세를 개선하기 위해 기존 조치를 개선하는 것이 중요합니다.

기존의 보안 조치와 비교할 때, 위협 헌팅은 선제적이고, 인간 중심적이며, 가설 생성, 조사 및 지속적인 개선의 반복적인 주기를 따름으로써 달라집니다. 이를 통해 자동 탐지와 수동 조사 간의 격차를 해소하고 추가적인 보안 계층을 제공합니다.

위협 헌팅의 핵심 요소

효과적인 위협 헌팅은 상호 연결된 여러 구성 요소에 의존합니다. 이러한 요소들은 위협 헌터가 지능형 위협을 발견하고 무력화할 수 있는 포괄적인 프레임워크를 만듭니다. 이러한 구성 요소 중 가장 중요한 것은 다음과 같습니다.

1. 위협 인텔리전스
   위협 인텔리전스는 모든 위협 사냥 노력의 기반이 됩니다. 새로운 공격 패턴, 알려진 취약점 및 공격자 전술에 대한 실행 가능한 인사이트를 제공합니다. 이러한 정보는 공공 위협 피드, 독점 데이터베이스 또는 산업별 소스에서 얻을 수 있습니다. 예를 들어, 위협 인텔리전스가 크리덴셜을 포함하는 공격의 증가를 나타내는 경우, 헌터는 로그인 활동 로그 분석의 우선순위를 정할 수 있습니다.
2. 가설 개발
   모든 헌팅은 가설에서 시작됩니다. 위협 헌터는 사용 가능한 데이터와 직관을 사용하여 잠재적인 취약점 또는 의심스러운 활동에 대한 교육적인 추측을 공식화합니다. 예를 들어, 일반적으로 조용한 서버에서 급증하는 아웃바운드 트래픽은 유출 시도에 대한 가설을 제시할 수 있습니다.
3. 데이터 집계 및 분석
   데이터는 위협 헌팅의 핵심입니다. 기업들은 네트워크 트래픽, 엔드포인트 활동 및 사용자 행동으로부터 방대한 양의 정보를 수집합니다. SIEM(보안 정보 및 이벤트 관리) 시스템과 같은 툴은 이 데이터를 실행 가능한 인사이트로 통합합니다. 위협 헌터는 이러한 정보를 엿보고, 가설에 부합하는 패턴, 이상 또는 편차를 찾습니다.
4. 자동화 및 툴
   위협 헌팅은 인간 중심이지만, 자동화는 효율성 향상에 중요한 역할을 합니다. 엔드포인트 탐지 및 대응(EDR) 툴은 프로세스를 간소화하여 위협을 더 빠르게 탐지하고 분석할 수 있도록 지원합니다. 예를 들어, EDR 툴은 비정상적인 파일 수정에 플래그를 지정하여 심층 조사를 촉발할 수 있습니다.
5. 사고 대응
   위협이 식별되면 이를 무력화하기 위해 즉각적인 조치가 필요합니다. 침해 사고 대응 팀은 위협 헌터와 협력하여 위협을 억제하고 피해를 평가하며 네트워크의 무결성을 보장합니다. 이 단계에는 종종 영향을 받는 시스템 격리, 멀웨어 분석 및 패치 구현이 포함됩니다.

위협 헌팅이 필요한 이유

오늘날의 사이버 위협은 더 빈번하고 진보되어 있습니다. 공격자들은 제로데이 익스플로잇, 파일리스 악성코드, 기존의 방어 시스템이 쉽게 탐지할 수 없는 다형성 공격과 같은 정교한 기법을 사용합니다. AI 역량이 빠르게 성장함에 따라 위협 환경은 그 어느 때보다 복잡해졌습니다. 이로 인해 비즈니스의 이해 관계가 높아지고 사전 예방 조치가 필수적입니다.

위협 헌팅은 조직이 다음을 수행할 수 있도록 지원합니다.

• 지능형 위협 방지: 사이버 범죄자들은 정교한 기법을 사용하여 기존의 방어 시스템을 우회합니다. 위협 헌팅은 이러한 숨겨진 위험을 발견하여 위협이 피해를 입히기 전에 탐지할 수 있도록 합니다.
• 손상 최소화: 위협을 조기에 탐지하면 비용이 많이 드는 데이터 침해 또는 시스템 다운타임의 위험을 줄여 재무 리소스와 회사의 평판을 모두 절약할 수 있습니다. 또한, 조기 탐지는 데이터 유출이나 네트워크 내 측면 이동과 같은 추가 에스컬레이션을 방지할 수 있습니다.
• 침해 사고 대응 강화: 위협 헌팅은 보다 선제적인 사고 대응 전략을 수립하는 데 도움이 됩니다. 조직은 공격 방법을 파악하고 이해함으로써 보다 효과적인 대응책을 준비하고 실제 사고 발생 시 대응 시간을 줄일 수 있습니다.
• 진화하는 위협 환경에 적응하세요. 위협 환경은 끊임없이 변화하고 있으며, 공격자들은 정기적으로 새로운 기법과 전술을 개발하고 있습니다. 위협 헌팅은 적응형 접근 방식을 제공하여, 정적이고 오래된 솔루션에 의존하지 않고 이러한 새로운 위협과 함께 보안 전략이 진화할 수 있도록 합니다.
• 규정 준수 및 규제 요건 지원: 위협 헌팅은 조직이 사전 예방적인 위험 관리 및 보안 조치를 통해 규정 준수 요건을 충족할 수 있도록 지원합니다. 이는 헬스케어나 금융 등 규제가 심한 산업에 매우 중요할 수 있습니다.
• 실행 가능한 위협 인텔리전스 확보: 위협 헌팅을 통해 조직은 공격자 전술, 기법 및 절차(TTP)에 대한 심층적인 통찰력을 얻을 수 있습니다. 이러한 인텔리전스를 활용하여 방어 시스템을 강화하고 향후 탐지 기능을 개선하여 장기적인 가치를 제공할 수 있습니다.
• 팀 간 협업 강화: 위협 헌팅은 조직 내 다양한 팀과 부서 간의 협업을 촉진합니다. 이러한 시너지는 조직의 대응과 준비성을 향상시켜주는 정보 공유를 통해 위협이 전체적으로 해결되도록 합니다.

위협 헌팅 기법

위협 헌팅 기법은 탐지하려는 위협만큼이나 다양합니다. 각 접근 방식은 고유한 이점을 제공하며, 위협 헌터는 효율성을 극대화하기 위해 여러 가지 방법을 결합합니다. 다음은 널리 사용되는 위협 헌팅 기법입니다.

• 침해 지표(IoC) 검색: 이 기법은 특정 IP 주소, 파일 해시 또는 도메인 이름과 같은 알려진 악성 지표에 중점을 둡니다. 위협 헌터는 이러한 지표를 네트워크 로그와 비교하여 잠재적인 일치를 식별합니다. 예를 들어, 알려진 악성 IP가 웹 서버의 로그에 나타나는 경우, 침해 시도 또는 지속적인 공격을 나타낼 수 있습니다.
• 행동 분석: 행동 분석은 사전 정의된 서명에 의존하지 않고 네트워크 내의 작업을 검토합니다. 사용자가 업무 외 시간에 민감한 파일을 다운로드하는 것과 같은 비정상적인 행위는 내부자 위협이나 계정 손상을 나타낼 수 있습니다. 이 기술은 제로데이 공격과 시그니처가 없는 다형성 악성코드에 특히 효과적입니다.
• 이상 감지: 이상 탐지는 확립된 기준선으로부터의 편차를 식별하는 것을 포함합니다. 예를 들어, 서버가 갑자기 CPU 사용량을 300% 증가시키는 경우, 헌터는 악의적인 활동을 배제하기 위해 원인을 조사합니다. 또한, 고급 머신러닝 툴은 이상 탐지를 지원하고 네트워크 동작에 대한 심층적인 통찰력을 제공하는 데 사용됩니다.
• 위협 모델링: STRIDE 및 PASTA와 같은 위협 모델링 프레임워크는 조직이 공격 시나리오를 예측하는 데 도움이 됩니다. 이러한 모델은 위협 헌터가 권한 있는 사용자 계정이나 패치되지 않은 시스템과 같이 표적이 될 가능성이 가장 높은 영역에 노력을 집중하도록 안내합니다.

위협 헌팅에 사용되는 툴

위협 헌팅의 효율성은 종종 사용 가능한 툴에 달려 있습니다. 현대적인 툴은 효율성을 향상시킬 뿐만 아니라 헌터가 잠재적 위협에 대해 더 깊이 파고들 수 있도록 지원합니다.

• SIEM 툴(예: Splunk, LogRythym): SIEM 툴은 네트워크 전반에서 로그를 집계 및 분석하여 중앙 집중식 가시성을 제공합니다. 헌터가 이벤트를 상호 연관시키고, 패턴을 식별하고, 잠재적 위협의 우선순위를 정하는 데 도움을 줍니다.
• 엔드포인트 탐지 및 대응(예: CrowdStrike, Carbon Black): EDR 툴은 엔드포인트 활동을 모니터링하여 무단 파일 액세스 또는 권한 에스컬레이션과 같은 의심스러운 행동을 표시합니다. 또한 실시간 복구를 지원하여 손상을 최소화합니다.
• 위협 인텔리전스 플랫폼(예: Recorded Future, ThreatConnect): 이러한 플랫폼은 새로운 위협에 대한 통찰력을 제공하여 헌터가 관련 지표와 공격 경로에 집중할 수 있도록 합니다.
• 네트워크 트래픽 분석 도구(예: Wireshark, Zeek): 이러한 툴은 네트워크 트래픽을 실시간으로 분석하여 비정상적인 데이터 흐름 또는 무단 액세스 시도와 같은 이상을 식별하는 데 도움을 줍니다.

각 툴은 조사를 지원하고 잠재적인 위험이 눈에 띄지 않도록 함으로써 위협을 발견하고 중화하는 광범위한 목표에 기여합니다.

결론

위협 헌팅은 사전 대응을 포용하는 사고방식입니다. 이러한 접근 방식은 지속적으로 숨겨진 위협을 찾아내어 조직들이 공격에 앞서 위험을 완화한 후 완전한 침해 사고로 확대할 수 있도록 지원합니다.

효과적인 위협 헌팅에는 전문 지식, 기술 및 툴의 올바른 조합이 필요합니다. 퓨어스토리지의 액티브DR™ 및 SafeMode™ 스냅샷과 같은 솔루션을 활용한 강력한 복원성 아키텍처에 통합되면 위협 탐지는 사이버 복원성의 초석이 되어 공격 후 조직이 빠르고 자신 있게 복구할 수 있도록 합니다.