한 CISO가 뉴스 헤드라인에서 자신의 회사 이름을 발견합니다.
우호적인 헤드라인은 아닙니다. 예를 들어 회사 데이터가 Pastebin에 흘러 들어가고 있다는 종류의 헤드라인입니다. 수많은 기관이나 조직이 겪었던 바로 그 악몽 말입니다. 싱가포르도 그중 하나였습니다. 2018년에 리셴룽 총리를 포함한 150만 시민의 의료 기록이 해커에게 도난당했습니다.
…실제로 기업 시스템이 해커나 국가 간 위협 그룹의 공격을 받지는 않을 수도 있습니다. 홍보 팀에서 “악의를 가진 직원이 불법 행위를 저질러 회사의 신용에 먹칠을 했다”고 발표하는 등 직원의 어리석은 행동에 관한 헤드라인일 수도 있습니다. 예를 들어 최악의 IT 관리 업체가 고객의 도메인을 포로로 잡고 1만 달러를 요구했다가 회사가 지불을 거부하자 해당 사이트를 teen[sexual orientation][bodypart].com으로 리디렉션한 사례가 있습니다.
무수히 많은 이런 스토리라인의 사례는 모두 불행한 사이버 보안 사건으로 이어지고, 회사 이름이 부정적인 헤드라인에 오르내리며, 종종 FBI의 전화로 끝을 맺거나 시작됩니다. 누가 어떻게 무슨 일을 겪었는지를 설명하는 스토리는 기자와 검사에게 좋은 먹잇감이 되지만, 기업의 SOC(보안 운영 센터)에서 그보다 훨씬 더 중요한 것은 공격이 어떻게 발생했는지, 누구의 소행인지, 아직 정리되지 않은 문제는 어떻게 해결할 것인지를 담은 스토리라인입니다. 이러한 스토리는 의심스러운 시스템 활동과 정상적인 시스템 활동의 넘쳐나는 데이터 속에서 포착하기가 어렵기 때문에 대개 겉으로 드러나지 않습니다. 보안 팀은 모래밭에서 바늘을 찾는 식으로 방대한 데이터를 추적해 보지만, 결국 무해한 시스템 이상으로 밝혀지고 맙니다.
이런 복잡한 스토리라인은 회사 시스템의 엔드포인트에서 시작되는 경우가 많습니다. 엔드포인트란 주차장에서 USB 디바이스를 주운 직원이 호기심에 그 디바이스를 꽂아 보는 위치를 말합니다. 직원이 이메일에 첨부된 악의적인 PDF 파일을 여는 것도 엔드포인트에 해당합니다.
따라서 많은 공격이 집중되는 엔드포인트를 살펴보고 파악해야 합니다. SANS Institute의 2018년 설문 조사에 따르면 응답자의 42%가 노출, 유출 또는 비즈니스 중단으로 이어진 엔드포인트 악용 사례를 한 건 이상 보고했습니다. 게다가 엔드포인트에서는 암호화가 문제가 되지 않습니다. 엔드포인트는 네트워크 및 프로세스 활동이 가능한 위치이자 외부 디바이스도 모니터링할 수 있는 위치이기 때문입니다. 예를 들어 그 USB를 꽂은 사람은 누구이고, 언제, 어디에서 꽂았는지 모니터링할 수 있습니다.
너무 많은 데이터 포인트, 부족한 해답
우리는 이미 해결책으로 엔드포인트 모니터링을 실행 중입니다. 지금은 바이러스 백신의 서명에 의존하면서 메모리 기반 맬웨어, 횡적 확산, 파일리스 맬웨어 또는 제로 데이 공격은 전혀 인식하지 못하는 EPP(엔드포인트 보호 플랫폼) 제품을 사용하던 시절보다는 공격을 훨씬 더 많이 모니터링하고 있습니다.
문제는 EPP로 엔드포인트를 보호할 수 있지만 위협을 모니터링할 수는 없다는 점입니다. 1세대 EDR(엔드포인트 감지 및 대응) 도구는 EPP가 제공하지 않는 모니터링 기능에 대한 요구에서 나온 부산물입니다. 한편 이 버전의 EDR(수동적 EDR)은 데이터를 제공하지만 컨텍스트는 제공하지 않습니다. 퍼즐 조각만 주고, 조각을 모두 합친 큰 그림은 보여 주지 않는 셈입니다.
내장된 수동적 엔드포인트 모니터링의 예를 살펴보면 손상된 USB가 가상 키보드에서 PowerShell을 실행한 것이 Windows 이벤트 로그에 기록되었고, 그런데 그 공격이 로그 지우기 같은 고급 기술을 사용한 것 같고, 지속적 공격을 위해 백도어를 설치했고, 계속해서 자격 증명을 도용하여 로그인하는 데 성공했으며, 저런, 한번은 로그인에 실패했고, 권한을 높였고, 로그를 지웠고, 새 로컬 사용자를 추가하고 그 사용자를 관리자 그룹에 포함시키는 등 다양한 행동을 했다는 것을 알게 될 것입니다. 이런 상황을 파악하려면 운이 좋아야 합니다.
데모에서는 좋아 보였는지 모르지만, 일상적으로 사용할 때는 어떨까요? 그 모든 상황의 의미를 누가 파악할 수 있을까요? 소수의 숙련된 보안 분석가라면 가능하겠지만 안타깝게도 이런 인력은 아주 적습니다. 게다가 이들도 밥을 먹고 잠을 자야 합니다. 다시 말해, 한밤중에 공격하는 경우에는 분석가가 작업을 시작하여 누가 어디에서 무엇을 어떻게 했는지 파악하기까지 공격자는 훨씬 더 긴 체류 시간을 확보하게 됩니다.
CISO는 단절된 공격 데이터의 모든 조각을 찾아내고 말겠다는 열망에 불타는 것이 아니라, 마치 ‘클루: 응접실에 있던 사람은 머스터드 대령인가?’라는 게임에 뛰어든 것처럼 공격의 원인이 USB 드라이브를 사용한 계약업체였는지, 국가 차원의 위협 그룹이었는지를 밝혀내고 싶어합니다. 위협이 이제 완화되었을까요? 완화되었다면 그 위협은 얼마나 오래 계속되었을까요? 안 그래도 부족한 SOC의 분석가들 중에서 누가 수동적 EDR에서 홍수처럼 밀려오는 데이터를 분석하고 있을까요?
행동 AI란 무엇이고 어떻게 이용할 수 있을까요?
공격 이후의 상황은 두 가지 방향으로 진행될 수 있습니다. 심각한 문제를 야기하는 첫 번째 유형은 잘 알고 계실 것입니다. 이 경우 보안 분석가는 수동적 EDR에서 생성된 모든 경고와 변칙을 자세히 살펴봐야 합니다. 이런 조사에는 시간과 기술이 필요합니다. 시간과 기술은 귀한 리소스입니다. 보안 플랫폼을 운영할 전문 지식과 무작위 버그에서 진정한 익스플로잇을 가려내는 노하우를 가진 인력을 선발하고, 교육하고, 유지하기가 어렵기 때문입니다.
공격 이후에 발생할 수 있는 두 번째 상황에서는 스토리라인이 등장합니다. 즉 모든 개별 데이터 포인트를 간결한 이야기로 컨텍스트화하게 됩니다. SentinelOne에서는 이를 ActiveEDR이라고 합니다. ActiveEDR은 구하기 어려운 분석가 기술에만 의존하지 않을 뿐 아니라, 네트워크에 연결하는 모든 디바이스에서 발생하는 모든 상황을 지속적으로 컨텍스트화하고 기록하면서 24시간 분석하는 행동 AI 모델입니다.
SentinelOne의 행동 AI 엔진은 SentinelOne에서 스토리라인이라고 부르는 정보를 생성합니다. 스토리라인은 조직에서 인시던트를 역추적하여 IoC(손상 지표)가 누구의 소행인지 알아내는 일련의 과정입니다. 이것은 EDR이지만 기존과 같은 수동적인 EDR은 아닙니다. 전통적인 EDR은 단절된 활동 하나를 검색한 다음 오랜 시간과 기술을 투자하여 이를 다른 활동과 연결하고, 또 다른 활동과 연결하면서 사실 관계를 파악하는 방식으로 큰 그림을 그려 냅니다.
디바이스의 모든 상황을 추적하여 컨텍스트화하고, 악의적인 행위를 실시간으로 가려내고, 필요한 대응을 자동화하는 SentinelOne의 ActiveEDR 기술은 분석가 대신 머신이 자동으로 처리합니다. 분석가가 직접 개입하기를 원하는 경우에는 ActiveEDR의 단일 IoC(손상 지표)에서 전체 검색을 통해 손쉽게 위협 헌팅이 가능합니다.
ActiveEDR은 다른 EDR 솔루션과 달리 클라우드 연결에 의존하지 않고 감지할 수 있기 때문에 위협의 체류 시간을 런타임 정도로 줄이는 데 효과적입니다. 각 디바이스의 AI 에이전트는 클라우드에 연결하지 않고도 위협을 파악할 수 있습니다. 엔드포인트에서 발생하는 상황의 스토리를 지속적으로 도출하고, 악의적인 행동이 감지되면 악성 파일 및 프로세스를 완화할 수 있을 뿐만 아니라 전체 스토리라인을 자동으로 되돌릴 수도 있습니다.
ActiveEDR이 파일/파일리스 공격을 더 잘 막아내는 이유는 무엇일까요?
최근 공격자들은 예전처럼 파일에 의존하는 대신 인메모리 파일리스 맬웨어를 사용해 흔적을 남기지 않고 가장 정교한 보안 솔루션을 제외한 모든 방어막을 회피하는 방법을 알아냈습니다. 그러나 ActiveEDR은 모든 것을 추적하기 때문에 이미 사용자 환경의 자격 증명을 가지고 있는 공격자나 LotL(자급자족식) 공격을 수행하는 공격자를 감지할 수 있습니다. 참고로 LotL 공격은 맬웨어 없는 파일리스 공격을 설명하는 용어로, 시스템 자체의 완전히 적법한 네이티브 도구를 사용하여 악의적인 행동을 함으로써 네트워크에 섞여 들어간 후 적법 프로세스 사이에 숨어서 은밀하게 익스플로잇을 수행합니다.
행동 AI – 실제 시나리오
실제 시나리오를 통해 작동 방식을 알려 드리겠습니다. FBI에서 귀사의 자격 증명이 Pastebin에 공개되었다는 연락이 옵니다. 여러분은 어떻게 그런 일이 벌어졌는지 알기 위해 Deep Visibility 위협 헌팅 모듈을 검색합니다. Deep Visibility는 SentinelOne의 스토리라인을 출력한 것으로, 사용자는 참조(이 예에서는 Pastebin 참조)를 검색해서 신속하게 위협을 헌팅할 수 있습니다.
각 자율형 엔드포인트 AI 에이전트는 스토리라인을 사용하여 엔드포인트 인프라 및 실시간으로 실행되는 행동 모델을 구축하고 이 모델에 스토리라인 ID(관련 이벤트 그룹에 부여되는 ID)를 할당합니다. 이제 “Pastebin”에서 검색하여 스토리라인 ID를 찾고 관련된 모든 프로세스, 파일, 스레드, 이벤트 및 해당 쿼리와 일치하는 다른 데이터를 이 ID로 신속하게 확인할 수 있습니다. Deep Visibility는 완벽한 컨텍스트 데이터를 제공하여 모든 컨텍스트, 관계, 활동 등 위협 이면의 근본 원인을 빠르게 파악할 수 있도록 합니다.
각 디바이스 에이전트는 공격 후 자동 또는 수동으로 정리하거나, 시스템을 롤백하거나, 네트워크 연결을 끊거나, 시스템에 대한 원격 셸을 실행할 수 있습니다. 간단한 원클릭 방식으로 자동으로 수행됩니다. 몇 초밖에 걸리지 않고, 클라우드에 의존하지 않으며, 사람이 자세히 살펴볼 수 있도록 데이터를 업로드할 필요가 없습니다. 모든 것이 에이전트에서 이루어지므로 클라우드 분석도 필요 없습니다.
최대한 많이 자동화하면 여러 가지 문제가 해결됩니다. 우선, 서명을 사용하지 않고 악의적인 행동을 인식하여 손쉽게 파일 기반 공격을 판단합니다. 파일리스 공격도 방지하고 예측할 수 있습니다.
실행 전 단계에 작동하는 SentinenlOne의 엔드포인트 보호는 조작된 PDF, Word 문서 또는 기타 형태의 공격이 실행되기 전에 중지합니다. 먼저 대상을 분석하여 어떤 면에서든 이상한 점이 있는지 파악합니다. 이상이 있는 경우 격리합니다. 다음으로, 첫 번째 테스트를 통과하여 코드가 실행되기 시작하면 자동화된 자율형 위협 헌팅 메커니즘인 ActiveEDR과 감지 및 대응 기능을 갖춘 에이전트가 비정상적인 행동을 찾습니다. 예를 들어 누군가가 Word를 열어 PowerShell을 생성하고 인터넷에 연결하여 무언가를 가져온 행동을 찾아봅니다. 대부분의 경우 이것은 정상적인 행동이 아닙니다. ActiveEDR은 실행 중인 행동을 조회하고, 운영 체제에서 발생하는 모든 상황을 일련의 스토리로 추적합니다. 이 스토리는 개시부터 종료까지 1초가 걸릴 수도 있고, 1개월 또는 그 이상 걸릴 수도 있습니다. 이 기술로 지속적으로 행동을 평가하여 어떤 식으로든 “악성이 되었는지” 여부를 확인합니다.
사람의 개입 + 행동 AI 지원
이 방식은 효과적이지만 충분하지는 않습니다. 세상에 모든 것을 포착할 수 있는 사람은 없기 때문입니다. 이런 이유로 ActiveEDR의 위협 헌팅 기능이 필요합니다. SentinelOne이 파일/파일리스 공격에 효과가 탁월하다고 인정받는 이유는 바로 이 기능 덕분입니다.
Pastebin과 여러 번 통신한 디바이스 한 대를 발견했다고 가정하겠습니다. SentinelOne 콘솔에서 스토리라인 ID를 클릭하면 관련된 모든 컨텍스트를 담은 전체 공격 스토리로 연결되며, 여기서 공격의 출처와 생성된 프로세스를 나타내는 프로세스 트리 타임라인을 대강의 다이어그램으로 그려 볼 수 있습니다. Microsoft Word 문서가 열렸고, Windows PowerShell이 생성되었으며, 이 셸이 다른 프로세스를 일곱 개 생성했습니다. 스토리라인에는 연구원이 공격을 완전히 파악하는 데 필요한 전체 명령줄 인수도 들어 있습니다. 스토리라인은 공격의 전체 컨텍스트를 제공하며, 이 컨텍스트는 모두 인시던트 대응 팀 전체에서 생성하는 것이 아니라 쿼리 하나로 생성한 결과입니다.
AI 지원(네트워크 연결이 필요한 모든 디바이스에 상주하는 AI 에이전트)을 활용하면 확실히 시간이 많이 절약됩니다. AI를 이용하면 아무런 결과도 얻지 못할 때가 있는 분석 작업을 인력에만 의존하여 처리하지 않아도 됩니다.
가서 주무세요. 저희가 맡겠습니다.
야단법석은 이제 그만둘 때가 되지 않았나요? SentinelOne이면 가능합니다.
자동으로 위협을 완화하도록 행동 AI를 설정하면 됩니다. 정말 혁신적인 변화입니다. 이 기술은 클라우드에 의존하거나 사람이 개입하지 않고도 디바이스에 대해 수행할 조치를 결정하여 알려 줄 수 있습니다. ActiveEDR을 감지로 설정하면 컨텍스트화된 경고를 보내 주고, 보호로 설정하면 부비트랩 같은 그 Word 문서가 차단됩니다. 사람이 개입할 필요가 없습니다. 사용자가 문제의 Word 파일을 열려고 시도하면 위협이 감지되고, 차단되고, 신속하게 삭제됩니다. ActiveEDR을 보호로 설정하면 공격이 외부와 통신하기 전에 차단하여 멀리 확산되지 못했다고 공격 스토리라인에 표시됩니다.
모든 엔드포인트 디바이스에 행동 AI 에이전트가 내장되어 있기 때문에 악의적인 행동을 즉시 중지할 수 있습니다. 차단하면 안 되는 항목이라고 나중에 마음을 바꾸는 경우에는 간편하게 롤백을 시작할 수 있습니다. 또한 SentinelOne의 행동 AI인 ActiveEDR은 사람과 달리 잠을 자지 않으며 5시에 퇴근하지도 않습니다.
행동 AI로 위험을 자동으로 완화하세요. 데이터가 유출되지 않고, 헤드라인을 장식할 일이 없으며, FBI의 조사도 받지 않게 됩니다.
SentinelOne의 행동 AI에 대한 자세한 내용과 이 기술로 조직을 보호하는 방법을 알아보려면 문의하거나 무료 데모를 요청하세요.
Like this article? Follow us on LinkedIn, Twitter, YouTube or Facebook to see the content we post.
Read more about Cyber Security
- Feature Spotlight – Enhanced USB & Bluetooth Device Control
- Four Distinct Families of Lazarus Malware Target Apple’s macOS Platform
- GDPR Turns Two! Has Anything Really Changed?
- Kubernetes Security Challenges, Risks, and Attack Vectors
- Feature Spotlight – Introducing the New Threat Center
- Look Who’s Back – It’s DDoS!
- “EvilQuest” Rolls Ransomware, Spyware & Data Theft Into One