진화하는 사이버 공격,
어떤 대응이 필요할까?
세계 최초 악성코드로 알려진 모리스 웜(Morris Worm, 1988년)이 인터넷에 연결된 6천여 대 이상의 컴퓨터 시스템들을 사용 불가 상태로 만든 사이버 보안사고 이후, 다양한 목적과 더욱 정교해진 방법을 통해 사이버 공격이 지속적으로 진행되고 있다. 이에 따라 사이버 공격에 대응하기 위한 방법도 발전해왔는데, 지금까지 주된 접근법은 공격이 진행되는 시점에 이를 탐지하고 차단하기 위한 방어 기술들을 개발하는 것이었다.
더욱 복잡해지고 동적으로 변화하는 ICT 환경으로 인해 공격 노출면(Attack Surface)이 확대 되면서 특정 지점에서 공격을 탐지하고 차단하는 방어 기술만으로는 정밀한 타겟 공격을 막기 어려워졌다. 또한, RSA 컨퍼런스에서 실시한 조사에 따르면 많은 보안 전문가가 보안 장비와 서비스를 현재 이용하고 있지만, 실제 이러한 장비들이 의도대로 잘 작동하고 있는지, 구매한 보안 제품의 기능을 잘 활용하고 있는지에 대한 확신이 없다고 응답했다. 더불어 보안 장비가 너무 복잡하고 설정하기 힘들며, 이를 잘 활용하고 판단할 전문가가 없어 보안 기능이 제대로 동작하고 있을 것으로 간주한다고 한다. 이러한 문제를 해결하기 위해서는 조직의 ICT 환경에 어떤 보안 기능이 작동하고 있는지, 어느 부분을 보완해야 하는지, 네트워크와 장비 구성이 운영 시나리오에 맞게 적절하게 작동하는지 등에 대한 정보가 필요하다. 그리고 이를 확인할 수 있도록 보안 상태에 대한 지속적이고 일관된 테스트가 요구된다.
그래서 최근에는 반복적인 보안성 평가를 통해 공격 노출면을 파악하고, 대응 전략을 수립해 전체적인 IT 환경의 보안을 강화하는 접근법에 대한 중요성이 강조되고 있다. 사이버 공격 시뮬레이션 기술은 조직에서 운용 중인 보안 정책 및 상태를 점검하기 위해 사용할 수 있는 기술이다. 관리할 필요가 있는 공격 노출면을 미리 파악함으로써 보안 강화 전략을 수립할 수 있도록 한다. 이와 같은 사이버 공격 시뮬레이션 기술 분야에는 침투 테스팅(Penetration Testing) 기술, 공격 그래프 기술, BAS(Breach and Attack Simulation) 기술, 자유해킹기반 시뮬레이션 기술 등의 세부 기술들이 있다.
이러한 사이버 공격 시뮬레이션의 기술 동향과 전망을 살펴보자.
침투 테스팅 기술과
공격 그래프 기술 현황
현재 침투 테스트를 지원하는 오픈소스 및 상용 도구들이 많이 존재한다. 이러한 도구들은 침투 테스트를 위해 필요한 기능들을 패키지화해서 지원하지만, 대부분의 전문가들은 세부 공격 전술에 따라 특화된 기능을 이용하기 위해 하나 이상의 도구를 사용하고 더 전문적인 해커들의 경우, 모의 해킹 테스트를 위해 편의에 따라 자체적으로 도구를 제작 및 개선하여 사용하는 경우가 많다.
침투 테스팅 기술은 취약점 분석이나 모의 해킹을 위해 보편적으로 사용된다. 주로 공격 단계에서 주로 수동으로 사용해야 하며, 사용자의 전문성에 따라 활용 가치가 달라진다. 최근의 침투 테스팅 기술은 취약점을 찾아내기 위한 취약점 스캐닝 기능뿐만 아니라 실제 취약점에 대한 익스플로잇(Exploit)을 시도할 수 있는 기능을 함께 제공하는 추세다. 대표적인 도구는 Burp, Metasploit, Canvas, Core Impact Pro가 바로 그것이다.
이러한 도구들이 사용자의 편의를 위해 많은 부분을 자동화하고 있다고 할지라도 기본적으로는 취약점 분석을 수행하고, 모의 해킹을 수행하는 데 있어 전문 지식을 갖춘 사용자의 개입이 반드시 필요하다. 또한, 이렇게 인적 자원을 활용하는 방법은 많은 시간이 소요되고, 고비용이기 때문에 일회성 평가에 그칠 가능성이 많다. 이뿐만 아니라 점검 및 평가 시점에 발견된 취약점만을 대상으로 얻은 단편적인 결과이기 때문에 새로운 장비나 소프트웨어가 도입되거나 설정이 변경되면 그 결과가 더 이상 유효하지 않는다는 문제점이 있다.
공격 그래프는 공격자가 타겟 네트워크에 침입하는 데 사용할 수 있는 경로를 표현하기 위한 모델을 정의하고, 이 모델을 기반으로 공격자가 이용할 수 있는 모든 공격 경로를 찾아내기 위한 기술이다. 생성된 공격 그래프는 보안 평가와 네트워크 보안 강화 전략 수립 등 많은 분야에서 활용될 수 있다. 예를 들면, PMS(Patch Management System) 시스템에 대한 공격에 성공함으로써 PMS과의 신뢰 관계에 있었던 조직 내의 모든 시스템이 한 번에 공격을 당한 것과 같은 사례에 대해 공격 그래프 기술을 이용하면 취약점이 없어 보이는 시스템을 대상으로 하는 공격 경로를 찾아낼 수 있다.
이렇게 공격 그래프를 사용하면 네트워크 호스트에 한정된 로컬 취약점뿐만 아니라 호스트 간의 상호작용에 의해 발생할 수 있는 글로벌 취약점을 식별할 수 있다. 그러나 공격 그래프 기술을 이용해 찾아내는 모든 공격 경로들이 실제로 유효한지, 공격자가 해당 경로를 실제로 사용할지에 대해서는 보장하지 못한다. 따라서 실제 해커의 창의성에 기반한 공격 전략을 모방할 수 있는 자율해킹기반 공격 시뮬레이션 기술이 필요하다.
자동화, 지능화, 자율화
보안체제
자율해킹을 기반으로 하는 사이버 공격 시뮬레이션 기술은 자동적인 취약점 발견, 해당 취약점에 대한 익스플로잇 코드 자동 생성, 해당 취약점에 대한 익스플로잇 코드 자동 생성, 취약점에 대한 자동 패치 등의 핵심 요소 기술들의 개발을 필요로 한다. 이 중 제한된 환경을 타겟으로 취약점을 찾아내고 이를 익스플로잇하는 자동화된 혹은 자율해킹 솔루션을 위한 연구가 부분적으로 진행되고 있다.
그러나 아직까지 이러한 연구들은 초창기에 있으며, 취약점에 대한 자동화된 공격 해킹 방법을 제안하는데 초점이 맞춰져 있다, 기계 연산력의 강점이나 발전하고 있는 AI 기술에 기반하여 지능화된 해킹을 시도하고 있지만, 아직까지 자율해킹에 의해 다단계 공격을 시뮬레이션하기 위한 솔루션으로는 부족하다. 또한, 보안성을 강화하기 위한 목적을 갖는 자율해킹을 위해서는 취약점에 대한 자동 패치 기술에 대한 연구 개발이 진행될 필요가 있다.
사이버 공격 시뮬레이션 기술은 사용자의 능력에 의존적인 기존의 수동 분석 기술에서 점차 자동화된 분석 기술로 발전하는 단계에 있다. 이러한 변화의 이면에는 고비용이 많이 들고 의 빠르게 변화하는 IT환경에서 수동 분석에 의한 일회성 평가로는 버그와 보안 결함 등을 신속하게 파악하고, 진단하는 데 한계가 있다는 점에 기인한다.
따라서 특정 시점만이 아닌 반복적이고 지속적인 수행을 통해 보안성을 판단할 수 있으며, 전문가가 아닌 사용자가 보안 상태를 파악하는 데 도움을 줄 수 있는 기술이 필요하다. 이러한 요구사항에 따라 사이버 공격 시뮬레이션 기술은 더욱 자동화, 지능화, 자율화되는 방향으로 발전될 것으로 여겨진다. 하지만 여전히 사이버 공격 시뮬레이션에 의한 보안 평가의 가치와 정확성을 입증하는 것은 어려우며, 사회공학적인 기법과 직관적인 판단을 함께 사용하는 지능적인 휴먼 해커의 수준에 도달하는 것은 도전적인 과제다.
글 / 이주영 네트워크·시스템보안연구실 책임연구원,
문대성 네트워크·시스템보안연구실 실장,
김익균 네트워크·시스템보안연구실 본부장
본 내용은 ETRI가 발행한 전자통신동향분석 전자통신동향분석 35권 1호(통권 181)에서 인용 발췌해 재구성하였습니다.