가장 강력하고 권위 있는 회사와 기업도 사이버 공격자의 정교한 위협에서 자유로울 수는 없습니다. 보안 팀에게는 네트워크 보안, 엔드포인트 보안, 위협 탐지, 이상 징후 탐지, 데이터 보호, 보안 모니터링, 애플리케이션 보안 및 정보 보안에 기여할 수 있는 강력한 보안 조치가 필요합니다.
선제적 위협 헌팅이란?
선제적 위협 헌팅은 조직의 네트워크와 시스템 내에서 의심스러운 활동, 악의적 활동 또는 잠재적 사이버 위협의 징후를 적극적으로 검색하는 고급 사이버 보안 관행입니다. 사후 대응적 보안 통제와 인시던트 대응에 크게 의존하는 기존의 사이버 보안 조치와는 달리, 위협 헌팅은 잠재적이거나 새로운 위협이 심각한 피해를 일으키기 전에 이를 식별하고 무력화합니다.
선제적 위협 헌팅은 자동 위협 탐지를 회피할 수도 있는 악의적 행동과 아직 탐지되지 않은 위협을 데이터 분석, 머신러닝, 위협 인텔리전스로 식별해냅니다.
숙련된 보안 분석가는 최신 SIEM 플랫폼으로 보안 데이터, 네트워크 트래픽, 사용자 행동 및 기타 관련 소스를 심층 분석하여 숨겨진 위협을 발견합니다.
SOC가 경고 알림 후에야 침해 검색을 시작해서는 안 되는 이유
대부분의 사이버 위협은 기존의 탐지보다 빠릅니다. 보안 분석 솔루션은 대량의 보안 데이터를 모니터링하고 분석하는 데 있어서 중요한 역할을 하지만 여전히 한계가 존재합니다. 사후 대응적 탐지는 이미 알려진 위협과 사전 정의된 공격 패턴에 대한 의존도가 크기 때문에 새로운 위협과 알려지지 않은 위협, 고급 위협이 숨어들 만한 틈이 생깁니다.
게다가 해커들이 더 은밀한 수단으로 네트워크에 침입하고 있다는 점을 고려한다면, 지금이야말로 조직들이 사후 대응이 아닌 선제적 예방 조치를 취하고 한발 앞서서 행동해야 할 때입니다.
사이버 범죄자는 탐지를 회피하면서 시스템에 침투할 수 있으므로 선제적 위협 헌팅에 특별히 중점을 두고 보안 위협 인식을 개선해야 합니다.
핵심 전략: 가시성 증대
SOC 팀이 알려지지 않은 문제를 예측하고 사이버 범죄자보다 한발 앞서 나가려면 시스템의 모든 잠재적 취약점을 경계할 수 있어야 합니다. 조직은 클라우드 기반 서비스와 환경으로 전환함에 따라 내부자 위협, 사이버 위험, MITRE ATT&CK®나 그 외의 다양한 사이버 공격의 잠재적 위협에 더 취약해집니다.
그리고 원격 근무의 증가로 인해 보안이 강화된 직장 네트워크 대신 안전하지 않은 개인 네트워크를 사용하는 직원도 늘고 있습니다. 네트워크가 점점 더 복잡해짐에 따라 SOC 팀에게는 더 큰 가시성이 필요해집니다.
의미 있는 가시성을 확보하기 위해 파악할 사항은 다음과 같습니다.
- 네트워크 액세스 권한이 있거나 있어야 할 사용자
- 사용 중인 애플리케이션
- 액세스 중인 데이터
효과적인 사이버 위협 헌팅은 보안 분석을 활용함으로써 기존의 도구로는 놓치게 되는 잠재적 위협과 취약점을 식별합니다. 선제적 위협 헌팅은 보안 이벤트가 경고 알림을 트리거할 때까지 기다리기보다는 잠재적 위협과 취약점이 심각한 피해를 일으키기 전에 적극적으로 찾아냅니다.
고급 분석의 사례
사용자 및 엔티티 행동 분석(UEBA)은 고급 분석이 어떻게 위협 헌팅에 쓰일 수 있는지를 보여주는 좋은 예입니다. UEBA는 보안 정보 및 이벤트 관리(SIEM) 도구를 통해 수집되고 분류되는 보안·운영 데이터를 활용하여 보안 전문가가 내부자 위협을 탐지하고 그에 대응하는 데 유용한 필수 분석 작업을 수행합니다. UEBA 솔루션은 모든 사용자의 베이스라인 활동을 식별하며, 이례적으로 비정상적인 사용자 활동은 플래그가 자동으로 지정되어 관리자가 시정 조치를 취할 수 있도록 돕습니다.
일반적인 내부자 위협은 다음과 같습니다.
- 퇴사하는 직원
- 악의적인 내부자
- 부주의한 작업자
- 보안 회피자
- 타사 파트너
보안 운영 중에 이러한 위험에 대해 더 지능적이고 실행 가능한 인사이트를 확보할 수 있도록, UEBA 기능은 UEBA를 엔티티 타임라인과 상호 연관시켜 추가적 컨텍스트를 제공함으로써 보안 분석가가 현재 상황과 그 경위를 이해하는 데 도움을 줍니다.
이 타임라인과 연계되는 최초 탐지(first-seen) 및 이상값 규칙도 베이스라인을 벗어난 비정상적 사용자 활동을 식별할 수 있습니다. UEBA는 그룹 멤버십을 기반으로 사용자와 엔티티에 태그를 지정하여 컨텍스트를 추가할 수 있으며, 그에 따라 SOC 분석가는 데이터 유출이나 무단 액세스로 이어지는 행동의 우선순위를 정하고 조사를 진행할 수 있습니다.
SIEM의 위협 헌팅 향상 방안
최신 클라우드 네이티브 SIEM은 효과적인 위협 헌팅의 핵심 엔진이라 할 수 있습니다. 데이터를 중앙 집중화하여 보강하고 사용자, 기기, 워크로드, 애플리케이션 전반의 행동을 상관 분석합니다. SIEM은 사이버 위협 인텔리전스, 분석 및 엔티티 상관관계 분석과 연계하며 위협 헌터들이 보다 효과적으로 조사할 수 있도록 지원합니다.
위협 헌팅의 핵심 인에이블러
- 통합 SIEM 및 로그 분석: SIEM은 환경 전반에서 가설을 테스트하고 신호를 분석하고 의심스러운 활동을 탐색하는 데 필요한 보안 데이터 레이크를 제공합니다.
- 엔티티 중심 상관관계 분석: 고급 상관관계 분석은 호스트, 사용자 및 클라우드 자산 전반의 행동을 연결하여 여러 시스템에 걸쳐 있을지 모르는 숨겨진 위협을 찾아냅니다.
- UEBA: UEBA는 정상적인 활동 패턴을 학습하여 이상값, 편차, 이상 징후를 식별합니다.
- 위협 인텔리전스: 위협 인텔리전스는 “악성”이 어떤 양상을 보이는지에 대한 외부 컨텍스트를 제공합니다.
- AI 기반 어시스턴트 및 에이전트: Sumo Logic Dojo AI를 사용하면 쿼리에 속도를 더하고 로그를 요약할 수 있으며, 보안 분석가가 수작업식 업무에 들일 시간도 단축하여 조사와 문제 해결의 속도를 높일 수 있습니다.
이러한 모든 기능을 통해 사용자 환경의 모든 보안 위협을 신속히 탐지하고 대응할 수 있습니다.
너무 늦기 전에 선제적으로 위협 헌팅에 나서세요
선제적 헌팅이 없는 기업에선 알려지지 않은 위협이나 내부자 위협과 같은 기타 숨겨진 위협을 위협 헌팅 팀이 발견하기 불리해지므로 사이버 공격의 가능성이 커집니다.
선제적 위협 헌팅에는 다음과 같은 이점이 있습니다.
- 잠재적 위협과 취약점이 심각한 인시던트로 이어지기 전에 보안 팀이 해당 문제를 찾아낼 수 있도록 돕습니다.
- 경고 알림이 생성되기 전에 위협을 발견할 수 있어 침입 지속 시간(dwell time)이 단축됩니다.
- 헌팅 결과를 토대로 탐지 엔지니어링이 개선됩니다.
- SIEM에 새로운 규칙과 보강을 적용할 수 있는 지속적 피드백 루프가 확보됩니다.
SIEM의 선제적 위협 헌팅 지원 방안을 알아보세요. 데모를 예약해 보세요.
