사이버 방호기능 분석을 통한 지휘통제에 관한 연구
A Study on Command and Control Through Cyber Protection Function Analysis
Article information
Abstract
Abstract
Cyber threats can bypass existing cyber-protection systems and are rapidly developing by exploiting new technologies such as artificial intelligence. In order to respond to such cyber threats, it is important to improve the ability to detect unknown cyber threats by correlating heterogeneous cyber protection systems. In this paper, to enhance cyber-attack response capabilities, we proposed command and control that enables rapid decision-making and response before the attack objectives are achieved, using Lockheed Martin's cyber kill chain and MITRE ATT&CK to analyze the purpose and intention of the attacker.
1. 서 론
지금 우리 사회는 모든 것이 사물인터넷(IoT)으로 연결되어 시간과 장소에 구애받지 않고 원하는 정보를 클라우드(Cloud)에 보관하였다가 언제든지 불러올 수 있다. 또한 인공지능(AI)을 이용하여 빅데이터 기술을 누구나 손쉽게 일상생활에서 활용하고 있다. 산업현장도 실제공간과 사이버공간의 정보가 직 · 간접적으로 공유되고 있는 제4차 산업혁명 시대에 살고 있으며, 공공 · 민간기관, 국방 등 특정 영역에 구분없이 국가 전반에서 디지털화가 확산되었다. 모든 주체의 활동 기반이 사이버공간으로 확대됨에 따라 사이버 공격이 지능화 · 표적화 · 고도화 · 조직화를 통해 개인, 기업을 넘어 한 나라의 국가 안보까지 영향을 줄 만큼 사이버 위협이 심각하게 증가하고 있다[1]. 최근 사이버 공격은 현재 운용중인 사이버 방호체계를 우회할 수 있는 능력을 보유한 가운데 인공지능(AI) 등 신기술을 악용하여 지능화되고 있다. 금전 및 정보 탈취 목적의 표적화된 랜섬웨어와 사회적, 시기적 이슈를 활용한 고도화된 피싱 및 스미싱 같은 신종 사이버 위협이 조직화되어 대응의 어려움은 날로 증가하고 알려지지 않은 사이버 위협에도 노출되어 있다[2]. 이에 정부에서는 2019년 4월, ‘국가 사이버안보 전략’을 수립했으며, 사이버 공격에 대한 대응역량을 고도화하기 위해 사이버전 대비 전략 · 전술을 개발하고 사이버 전력체계 보강 업무를 추진하고 있다. 사이버 전력체계의 보강을 위해서는 사이버 방호기능을 분석하여 선제적으로 사이버 위협을 예측할 수 있는 대응역량이 필요하다.
따라서, 본 논문에서는 사이버 전력체계를 강화하기 위한 방안으로 록히드마틴이 2011년에 발표한 사이버 킬 체인(Cyber Kill Chain)[3]과 MITRE ATT&CK(Adversarial Tactics, Techniques and Common Knowledge) 등의 검증된 모델을 적용하여 현재 운용중인 사이버 방호체계의 한계점을 도출하고, 사이버 공격단계별 대응책을 검토하고자 한다. 또한 공격자의 목적과 의도를 파악하기 위해 사이버 방호체계에서 수집된 정보와 최신 사이버 위협 동향을 분석하고, 사이버 공격이 목적을 달성하기 이전에 신속히 대응할 수 있도록 사이버 상황관리 · 자산 통합평가 · 위협경보 분석 등과 같은 의사결정을 지원하는 지휘통제를 제안하고자 한다.
본 논문의 2장에서는 록히드마틴의 사이버 킬 체인 및 MITRE ATT&CK 모델과 사이버 킬 체인 개선 방안에 대한 연구 동향을 요약한다. 3장에서는 MITRE ATT&CK 모델과 공격기술(전술, 기법 및 절차: Tactics, Techniques and Procedures, 이하 TTPs)을 사이버 킬 체인 공격단계로 분석하여 설명한다. 4장에서는 사이버 공격에 대응하기 위한 방호기능을 분석하고 공격 단계별로 대응하기 위한 방호기능을 맵핑한다. 5장에서는 개별적으로 운용중인 사이버 방호기능을 통합하여 의사결정을 지원하는데 효과적인 지휘통제 방안을 제안하고 6장은 결론과 향후 연구방향에 대해 제시하는 순으로 논문을 구성한다.
2. 사이버 킬 체인 관련 연구 동향
본 장에서는 서론에서 간략히 설명한 록히드마틴 의 사이버 킬 체인 공격절차와 방어유형, MITRE의 ATT&CK 모델을 소개하고 공격 원점지 타격을 위한 사이버 킬 체인 전략과 사이버 위협 분석 및 개선 방안에 대한 연구 내용을 요약한다.
2.1 록히드마틴의 사이버 킬 체인[4]
사이버 킬 체인(Cyber Kill Chain)은 군사적 개념의 킬 체인(Kill Chain)을 적용한다. 사이버 공격도 일련의 과정을 거치며, 방어자가 공격 과정에서 한 단계만 차단해도 공격자가 다음 공격 단계로 진행이 제한되는 것에 착안하여 공격절차와 방어유형을 제시했다.
공격절차는 정찰, 무기화, 전달/유포, 악용, 설치, 명령/제어, 목적 달성의 7단계로 Table 1과 같이 구성된다.
방어유형은 미국 합참 정보작전 교리 대응 방안을 적용하여 방어자가 사이버 공격에 맞춤식으로 대처할 수 있는 탐지, 거부, 교란, 약화, 기만, 파괴의 6가지로 구분하고 Table 2와 같이 유형별로 활용할 수 있는 기술을 제시했다[5].
2.2 MITRE의 ATT&CK 모델[6]
MITRE는 미국 연방정부의 지원을 받는 비영리 연구개발단체로 사이버 킬 체인을 이용하여 공격자의 각 행위들을 공격기술(TTPs)로 분류한 ATT&CK 모델[7]을 제안했다. 실제로 일어났던 사이버 공격 사례를 분석하여 최신 공격전술과 침투기술, 대응절차 등 사이버 위협 모델 및 방법론을 개발하기 위한 프레임워크를 제공해 주고 있다.
MITRE ATT&CK 모델과 공격기술(TTPs)은 지속적으로 업데이트 되고 있으며, 요약하면 Table 3과 같다[8].
요약한 내용을 포함해 2015년부터 2020년 10월까지 엔터프라이즈(Windows, MacOS, Linux, Cloud) 및 모바일(Android, iOS) 기술, 해킹그룹 및 소프트웨어가 13차례에 걸쳐 전체 또는 부분적으로 최신화되고 있다.
2.3 공격 원점지 타격을 위한 사이버 킬 체인 전략[9]
군사적 개념의 킬 체인(Kill Chain)과 동일한 절차인 감시정찰(Sensor) – 결심(Decision) – 타격(Strike)의 3단계에 연동체계(System of Systems)가 추가된 사이버 킬 체인 전략을 다음과 같이 제시하였다.
첫째, 감시체계는 통제 가능한 내부 네트워크 뿐만 아니라 통제가 제한되는 외부 네트워크에서 탐지되는 이상(anomaly) 현상도 수집한다. 둘째, 결심체계는 각종 감시자산으로부터 수집되는 다양한 정보를 빅데이터 기술로 분석하여 공격의 정당성을 확보한다. 셋째, 타격체계는 물리적 전쟁으로 확대를 방지하기 위해 위험이 낮은 공격원점 타격과 좀비 PC 같은 지원세력까지 공격하는 확대 타격 그리고 위협행위를 설계한 지휘세력까지 포함한 타격으로 구분한다. 마지막으로 넷째는 감시 – 결심 – 타격 체계가 유기적으로 작동하기 위해 연동체계가 구축되어야 한다고 제시했다.
2.4 사이버 위협 분석 및 개선 방안[10]
사이버 킬 체인에서 지능형 사이버 위협에 대한 기존의 사이버 방호체계의 한계점을 도출하고 효과적으로 개선된 대응방안을 다음과 같이 제시하였다.
지능형 사이버 위협은 공격대상의 잠재된 사회공학적 취약점을 공략하기 때문에 운용중인 사이버 방호체계로는 대응에 한계가 있으므로 방어가 100 % 완벽할 수 없다는 점을 인정해야 한다. 이를 개선하고 대응할 수 있는 사이버 방호체계 대책을 수립하고 구축해야 한다고 강조했다. 사이버 공격은 계획된 시나리오에 따라 진행되며 모든 공격단계가 실행될 경우 최종 목적이 달성되므로 사이버 방어의 패러다임도 알려진 패턴기반 탐지와 차단에서 공격 체인 분석과 연결 고리 차단으로 개선한다. 사이버 킬 체인 기반으로 사이버 방호체계의 대응능력을 향상시키기 위해서는 공격 준비 단계인 무기화단계, 방어 측면에서 사이버 공격을 초기 단계에 진압하는데 주요한 역할을 하는 약화단계, 공격을 무력화시킬 수 있는 기만단계에 대응하기 위한 사이버 킬 체인 지능형 방호체계 개선 방안을 제시했다.
3. 사이버 킬 체인을 활용한 공격기술 분석
공격단계는 록히드마틴의 사이버 킬 체인을 적용하고 공격단계에 적용된 기술은 MITRE에서 제안한 공격기술(TTPs)을 활용한다.
MITRE의 12개 공격영역에 속한 공격기술(TTPs)의특성을 기준으로 공격단계와 연계하여 재분류한 과정은 Fig. 1과 같으며, 2개 이상의 공격단계에 중복되어적용된 공격기술(TTPs)도 있다.
MITRE가 전세계 해커 그룹의 공격기술(TTPs)을 분석하고 유형화한 공격기술(TTPs)과 사이버 킬 체인의 공격단계, 공격대상을 분류하면 Fig. 2와 같이 구성된다.
사이버 킬 체인 공격단계로 분류된 공격기술(TTPs)로부터 방어해야 할 공격대상은 네트워크, 서버, 단말기(PC), 응용체계, 보호관리 등의 5가지로 구분하였다.
MITRE의 공격기술(TTPs)에 대응하기 위한 방호기능을 반드시 공격대상이 대응할 필요는 없다. 즉, 서버에 대한 공격기술(TTPs)이 반드시 서버에서만 대응하는 것을 의미하는 것은 아니며, 서버에 대한 공격을 사전에 네트워크에서 대응하거나 응용체계 및 보호관리 관점에서 대응할 수 있다는 의미이다.
4. 사이버 방호기능 분석
사이버 공격에 대응하기 위한 방호기능은 MITRE의 탐지, 거부, 교란, 약화, 기만, 파괴의 6가지 방어유형과 각 기능을 통합할 수 있는 지휘통제를 추가하여 Table 4와 같이 분류한다.
사이버 방호기능은 2019년에 국내 473개 업체가 정보보안 시스템으로 개발하고, 상용화된 사이버 방호체계가 가지고 있는 공통된 핵심기능을 기준으로 도출한다. 정보보호산업의 특성상 제품과 서비스의 통합 및 융합은 매우 빠르게 진행되고 있어 분류 기준을 과거의 하드웨어, 소프트웨어, 서비스의 3가지 분야로 구분하는 것은 모호해졌다. 그래서 한국정보보호산업협회(KISIA)에서는 정보보호산업 관련 학계 및 산업계의 전문가들로부터 상용화된 제품에 대한 심층적인 조사를 통해 정보보호산업을 재분류했다. 그 중에서 정보보안 시스템의 구성을 방어위치 기준으로 네트워크보안, 시스템보안(PC 포함), 정보유출방지, 암호/인증, 보안관리 5가지로 분류하고 Table 5와 같이 방호기능을 식별한다[11].
사이버 킬 체인의 공격절차 및 방어유형을 기준으로 공격기술(TTPs)에 대응하기 위한 방호기능을 상용화된 사이버 방호체계에서 식별하였다. Table 6과 같이 사이버 킬 체인에 기반한 사이버 방호체계를 맵핑한다.
5. 사이버 방호기능을 통합한 지휘통제 제안
알려지지 않은 사이버 위협 중 사이버 방호체계에서 우연하게 탐지된 하나의 위협 정보를 기준으로 피해를 분석하고 대응책을 판단하는 것은 제한된 정보로 인해 잘못된 상황 판단을 할 수 있다.
이러한 잘못된 판단을 보완하기 위해 신규로 탐지된 위협에 대해 소관 네크워크 환경에서 운용중인 사이버 방호체계, 시스템, 네트워크장비 등 사이버 자산에서 관련된 정보를 최대한 수집하여 위협 영향도를 분석하고 대응책의 우선순위를 자동으로 추천해 주거나 의사결정을 통해 지휘결심 할 수 있도록 지원하기 위해 다음과 같은 지휘통제가 필요하다.
5.1 사이버 상황관리체계
예방, 관제, 조사분석, 대응 등 현재 진행중이거나 완료된 모든 사이버 상황에 대해 업무별 진행 상황을 실시간으로 인식하고 상황평가, 의사결정, 업무통제 등 통합적으로 시각화할 수 있는 사이버 상황관리체계를 Fig. 3과 같이 구축한다[12]. 사이버 상황 및 위협상황을 효과적으로 인식하고 신속·정확한 상황판단을 통한 최적의 의사결정으로 직면한 사이버 위협에 대해 맞춤식 대응역량을 강화한다.
5.2 사이버 자산 통합평가체계
네트워크상에서 운용중인 모든 사이버 자산에 대해 자동으로 인식하고 동적으로 변동되는 자산 정보를 주기적으로 최신화하여 시각화할 수 있는 사이버 자산 통합평가체계를 Fig. 4와 같이 구축한다[12]. 사이버 방호체계, 시스템, 네트워크장비 등 모든 자산의 기본 제원과 업데이트 정보, 식별된 취약점 정보까지 데이터베이스로 구축하여 실시간 가시화를 통해 사이버 자산에 대한 상태평가 및 취약점 관리역량을 강화한다.
5.3 사이버 위협경보 분석체계
방화벽, IPS, 웹방화벽, APT대응, 바이러스방역체계 같은 사이버 방호체계와 라우터, 백본 등 네트워크장비에서 탐지된 모든 위협 정보는 SIEM으로 종합한다. 이러한 사이버 위협경보에 대한 상관관계를 지능형모델을 통해 공격 경로를 자동으로 제공하고, 공격기술(TTPs)에 대한 대응책을 평가 및 우선순위를 추천 할 수 있는 사이버 위협경보 분석체계를 Fig. 5와 같이 구축한다[12]. 심층분석된 위협 정보를 바탕으로 공격 경로를 구성하고, 수집된 사이버 위협간 연관관계를 분석하여 발생 가능한 사이버 위협상황를 시각화하여 제공한다. 이러한 사이버 위협상황에 대한 최적의 대응책을 추천하고 대응결과 분석 및 피드백을 통해 사이버 위협 분석역량을 강화한다.
6. 결 론
본 논문에서는 사이버 공격에 대한 대응역량을 고도화하기 위해 록히드마틴의 사이버 킬 체인과 MITRE ATT&CK 모델을 기반한 사이버 방호기능을 통합 분석하여 선제적으로 사이버 위협을 예측하고, 신속한 결심 및 대응이 가능한 지휘통제를 제안했다.
연관 분석을 통해서는 1개의 공격기술(TTPs)이 2개 이상의 사이버 킬 체인 공격단계에 일부 적용되었고, 또한, 1개의 공격기술(TTPs)에 대응하기 위한 사이버 방호기능은 1개 이상 존재하며, 방어유형과 사이버 방호체계가 다양하게 분포됨을 확인했다.
공격기술(TTPs)에 대응하기 위한 방호기능이 확인되었지만, 사이버 공격은 지능화 · 표적화 · 고도화 · 조직화되어 공격기술(TTPs)이 하루가 다르게 급속도로 발전중이므로 지속적인 국내 · 외 사이버 공격과 위협 사례를 분석하여 알려지지 않은 사이버 위협에 대한 방호기능을 확보하여 본 논문에서 제안한 사이버 지휘통제에 연동할 필요가 있다.
향후에는 공격기술(TTPs)에 대해 MITRE가 제안한 방어기능(Mitigation ID)을 기반으로 사이버 킬 체인 공격절차와 방어유형으로 세분화하고 운용중인 방호기능과 연관성 분석을 통해 사이버 방호체계에 대한 방호수준을 제시할 수 있도록 한다.