[SK쉴더스 루키즈 24기] AI 보안관제 및 통합로그 분석(4) 사이버위협정보

정보와 사이버위협정보(CTI)

1. 정보의 이해

• 과거: 사이버보안 업무 -> 기술적으로 접근
• 최근: 정책적인 측면이 합해진 거버넌스 문제로 접근
  • 국가 차원의 사이버보안 업무로 확장
• 정보기술이 발전 -> 디지털 전환 이루어짐 -> 정보통신망 & 정보시스템 의존도 증가
  => 사이버보안은 국가안보에도 영향을 줄 수 있음
• 사이버위협정보: 정보기관 전직 요원(OB)들이 정보기관에서 일했던 방식을 상업화하며 등장함

정보기관

국가의 정책결정권자(대통령) 및 정책공동체가 정책을 결정할 때 참고할 수 있는 유가치한 정보를 생산하는 기관

• 정보수집(Collection)
• 정보분석(Analysis)
• 국외 비밀공작(Covert Action)
• 보안 및 방첩(Security and Counterintelligence)

정보기관의 이해

정보순환주기: 기획 및 지시 -> 수집 -> 가공 -> 분석 및 생산 -> 배포

• 정보 업무: 정보기관에서 정보순환주기대로 수행하는 정보 생산 업무
• Information: 일상에서 지칭하는 정보 <-> Intelligence: 정보 업무에서의 정보 (Information -> 첩보)
  • 같은 정보가 아님

• 자료(Data): 가공되지 않은 단순한 형태 -> 쌩 자료(Raw Data)
• 첩보(Information): 목적성 O, 의도적으로 수집하였으나 평가/가공되지 않은 자료나 자료들의 집합
  • 정보공학 -> 지식으로 지칭
• 정보(Intelligence): 목적성 O, 의도적으로 수집하여 평가/분석/검증함 -> 의사결정에 활용, 비밀성 O
  • 첩보 -> 처리/가공하여 만들어짐
  • 정보사용자의 수준, 관심 등 감안한 맞춤형 지식
  • 정보공학 -> 지식으로 지칭

정보의 효용과 한계

NCND(Neither Confirm Nor Deny): 어떤 사안에 부정도 안하고 긍정도 하지 않는다는 원칙

• 정보기관은 NCND 원칙에 따름 -> 정보성공 사례도 홍보 X
  => 알려진 효용 사례 적음
• 효용 사례
  • 2006.10: 뉴욕 맨하튼 고층 아파트에 소형 비행기 충돌 -> 테러 연관성 X
  • 2007.02: 이라크 염소가스 폭탄트럭 공격 -> 급조폭발물(IED)에 대한 정보 공유
  • 2008.11: 인도 뭄바이 테러 -> 정보를 공유하여 분석에 활용
• 한계점
  • 정보기관 -> 행정부 귀속 -> 정책결정권자에 의해 악용되어 정보실패 가능성 존재
  • 정보 실패(Intelligence Failures): 정보기관 실책으로 잘못된 정보 생산 시 -> 국가안보에 이익을 해침
  • 정보의 정치화(Politicization of Intelligence): 정보를 객관적으로 판단하는게 아니라 정책결정권자의 성향에 맞게 판단하는 현상 -> 정보 실패의 원인
  • 집단사고(Groupthink): 집단 내에서 갈등을 피하기 위해 의견 일치를 유도 -> 정보 실패의 원인
    • 정보기관 -> 응집력이 강함

2. 사이버위협정보(CTI)

사이버정보(CYINT, Cyber Intelligence)

사이버공간에서 수집 가능한 모든 유형의 정보

• 사이버정보 != 사이버위협정보
• 사이버위협정보 보다 큰 범위

사이버위협정보(CTI)의 정의

• 사이버정보 보다 좁은 범위
• 협의의 정의: 사이버정보 중 사이버보안과 관련된 기술정보 및 기술분석정보로 한정
  ex. IP, Domain, 악성코드 샘플 등
• 광의의 정의: 협의의 정의 + 비기술정보를 포함
  ex. 해커 조직, 사이버위협 트렌드 등

• Gartner의 위협정보(TI): 자산에 대한 위협/위험에 대한 의사결정에 활용 가능한 맥락, 메커니즘 등을 포함한 근거 기반 지식
• 사이버위협정보(CTI): 정보자산에 대한 사이버보안 위협이나 위험 완화를 목적으로 수집/분석 -> 의사결정에 활용 가능하도록 가공

• 최근 APT 형태로 사이버위협이 지능화/지속화/고도화 -> 단편적인 이벤트만 들여다보는 걸로는 대응 불가함
• 한 조직에 국한 X -> 전 세계적으로 대규모 확산되는 형태
  => 타 조직에 이를 공유할 수 있도록 표준화, 유형화하는 방법론이 개발됨
• 공격자와 관련된 단서를 확보 -> 추적 및 식별하는 프로파일링 가능
• 기술문제에 국한되는게 아닌 거버넌스 차원의 문제로 바뀜 -> 경영진이 빠른 의사결정을 하는데 도움이 되게끔 유가치한 정보로 가공/생산해야 할 필요성 존재

3. 사이버위협정보의 법령상 정의

국가정보원법

제4조: 마. 국제 및 국가배후 해킹조직 등 사이버안보 및 위성자산 등 안보 관련 우주 정보

사이버안보업무규정(대통령령, 국가정보원)

1. 사이버안보정보 업무
   가. 「국가정보원법」(이하 “법”이라 한다) 제4조제1항제1호 마목에 따라 국제 및 국가배후
   해킹조직 등 사이버안보 관련 정보를 수집·작성·배포하는 업무
   나. 법 제4조제1항제3호에 따라 사이버안보 관련 정보의 수집·작성·배포 업무 수행에 관련된
   조치로서 국가안보와 국익에 반하는 북한, 외국 및 외국인·외국단체·초국가행위자 또는 이와
   연계된 내국인의 활동을 확인·견제·차단하고 국민의 안전을 보호하기 위하여 취하는 대응조치
   다. 법 제4조제1항제5호에 따라 수행하는 가목 및 나목에 따른 업무의 기획·조정 업무

4. 사이버 킬 체인(Cyber Kill Chain)

사이버 공격을 적극적으로 방어하기 위해 대응 개념을 구조화한 것

• 공격 절차 : 정찰 → 무기화 → 유포 → 악용/권한탈취 → 설치 → 명령 및 제어 → 목적 달성
  • 공격 정찰: 표적을 조사하고 적절한 공격 대상 식별 및 선정
  • 무기화: 자동화 도구를 사용하여 악성코드 생성
  • 유포: 생성한 악성코드를 공격 대상에게 전송
  • 악용/권한탈취: 전송된 악성코드가 공격 대상의 취약점을 파악하여 대상을 장악함
  • 설치: 공격 대상이 장악되면 악성코드 설치
  • 명령 및 제어: 공격 대상을 원격으로 제어하기 위해 백도어, 통신채널 등을 설치하고 지속적인 명령
  • 목적 달성: 공격 대상을 통해 공격자가 의도한 목적을 달성
• 방어 모델 : 탐지, 거부, 교란, 약화, 기만, 파괴
  • 탐지: 공격 행위 등의 위협 발견
  • 거부: 공격자의 접근 및 사용 차단
  • 교란: 공격을 위한 정보 흐름을 방해
  • 악화: 공격 행위의 효율 및 효과 감소
  • 기만: 정보를 조작하여 공격자가 오판하도록 유도
  • 파괴: 공격자나 도구가 본 기능을 수행하지 못하도록 손상

5. 사이버위협정보 표준

• 실무진 입장: 악성IP/도메인 시그니처, 악성코드 샘플 등이 중요
• 경영진 입장: 조직 내 보고 형식을 준수한 보고서가 중요 -> 실무진이 취급하는 데이터가 아닌 보고 형식 준수 후 보고서 작성하는게 더 중요함
• 조직 내부에서만 활용한다면 표준 형식, 규격이 필요없음

• 이제는 타 조직과 공유를 위해서는 상호 호환가능한 표준 형식, 규격을 갖춰야 함
• 조직 내부에서도 신속한 의사결정을 위해선 체계적으로 공유하는 것이 중요

1) 사이버위협정보 표준의 필요성

• 정보보호시스템 성능/기능이 고도화 -> 자동화 대응 능력 향상
  => 자동화 대응을 위해 필요한 처리의 용이성을 보장하기 위해서는 표준 형식, 규격을 갖추는 것이 중요함

2) 주요 표준

• IODEF(Incident Object Description Exchange Format): 침해사고에 대한 관리자 측면의 정보교환 형식 규격
• CVE(Common Vulnerabilities and Exposures): 알려진 소프트웨어 보안취약점 표기 규격
• CPE(Common Platform Enumeration): 플랫폼 구조 열거 규격
• STIX(Structed Threat Information eXpression): 구조화된 사이버위협 표현 규격
• TAXII(Trusted Automated eXchange of Indicator Information): 사이버위협 전송 규격
• MAEC(Malware Attribute Enumeration and Characterization): 악성코드 속성 정보 표기 규격
  => STIX, TAXII, MAEC는 하나로 묶기도 함
• CybOX(Cyber Observables eXpression): 사이버 운영 객체 규격
• MMDEF(Malware Metadata Exchange Format): 악성코드 정보공유 규격

** 물어보는 면접도 있다고 함

---

내부 위협 헌팅

1. 위협의 이해

1) 보안 위험과 구성요소

위험(Risk): 내/외부의 위협이 취약점을 악용하여 자산에 피해를 끼칠 수 있는 잠재적 가능성

• 위협(Threat): 자산에 손실을 끼칠 수 있는 잠재적인 원인이 되는 행위나 행위자
• 취약성(Vulnerability): 위협에 의해 악용될 수 있는 취약점
• 자산(Asset): 조직에서 보호해야 할 가치가 있는 것 (보통 정보자산)
  => 위험이란 취약성으로 인해 자산에 손해를 가할 수 있음

• 위험은 완전히 제거 X, 수용 가능한 수준으로 감소/유지시켜야 함
  • 취약성을 제거하는 등의 방식으로 위험을 감소시킴

2) 위협의 구분

무엇으로부터 자산을 보호해야 하는가에 대한 것

• 알려진 위협: 실재한다고 알려진 위협 (공유되어 전달받은 것 포함)
  • 기록(로그), 일지, 언론보도 등을 통해 조사되거나 확인된 것
• 알려지지 않은 위협: 실재한다고 알려지진 않았으나 타 조직에 실재하거나 내부에 실재 가능성이 있다고 예상되는 위협 (공유체계를 통해 공유되었지만 조직 내 전달되지 않은 것 포함)
  • 과거: 가상의 위협환경 조성 후 결과 지표를 조합 -> 위협 시나리오 작성 -> 예상 가능한 위협 추정
  • 현재: 위협 헌팅으로 알려지지 않은 위협 탐색

2. 위협 헌팅(Threat Hunting)

알려지지 않은 위협 탐색 방법

1) 종류

• 내부 위협 헌팅: 조직이 담당하는 정보통신망과 정보시스템의 정보자산 대상으로 위협 탐색
• 외부 위협 헌팅: 공개 출처 기반으로 위협 탐색 or 사이버위협정보 공유 체계로 위협 인지

2) 위협 헌팅의 효용성

• 가능한 한 위협을 음지 -> 양지로 올려 가시화할 필요성 존재
• 조직 내/외부에 숨겨진 위협을 찾아내 능동적인 대응 능력 강화하고 보안 수준을 향상시킬 수 있는 효과적인 방법
• 전문기관: 국가정보운, 한국인터넷진흥원, 사이버작전사령부
• 전문업체: Mandiant, CrowdStrike, Recorded Future, Darktrace, 샌즈랩

3) 위협 헌팅의 한계

• 높은 수준의 기술이 요구됨 -> 충분한 수준의 인프라, 전문인력 필요
  • 자체적으로 위협 헌팅 역량을 구성하려면 많은 비용이 발생
• 전문 업체를 통해 사이버위협정보를 구할 수 있음 -> 가격과 품질이 천차만별
• 내부위협헌팅 -> 정보보호체계 활용 과정에서 개인정보 논란 발생 가능성 존재

3. 내부 위협 헌팅

조직이 담당하는 정보통신망과 정보시스템의 정보자산 대상으로 위협 탐색

• 자산 내 존재하는 위협을 초기에 식별, 가시화 -> 빠른 대응과 사전 예방 가능성 증가

주요 기법

• 호스트 기반 헌팅 기법: 호스트 내 존재하는 침해지표 수집을 위해 다양한 도구 활용
  • 침해지표(IoC, Indicator of Compromise): 침해사고 흔적을 탐지/분석하기 위해 사용
  • 주요 표준: IODEF, CybOX, OpenIOC
  • 주요 수집항목: 프로세스 이벤트, 서비스 이벤트, 파일 기록 이벤트, 레지스트리 이벤트, DNS 통신 이벤트, 네트워크 이벤트
  • ex. 정보보호시스템 중 EDR (침해지표 자동화 방식으로 수집하는 기능 탑재)
• 통신채널 헌팅 기법
  • 공격자가 본인이 제작한 악성코드의 탐지를 회피하기 위해 악성코드 내에 많은 기능 X, 단계적으로 공격
    • 1단계: 사회공학 기법으로 트로이목마 배포
    • 2단계: 트로이목마가 조성한 백도어를 통한 통신채널 구성 -> 추가 악성코드 배포
    • 3단계: 추가 악성코드로 인한 피해 발생
  • 위와 같은 통신채널을 찾기 위해 사용함
  • 통신채널 구성 예시
    • 정상 데이터를 가장한 악성 데이터 전송: 정상 데이터 내 악성 데이터를 부분적으로 포함 -> 정상 데이터인 것처럼 위장
    • 악성 데이터를 최소한으로 쪼개어 전송: 작게 쪼개진 데이터는 정보보호체계에서 오탐 또는 미탐 가능성이 높음
    • 통신 프로토콜의 구조적 특성을 악용하여 악성 데이터 전송: 통신 프로토콜의 사용 목적과 다른 목적으로 오용
    • 부호화된 악성 데이터 전송 (ex. XOR, Base64 등): 대부분의 정보보호체계에서 부호화된 데이터는 복호화 X
    • SSL을 활용하여 암호화된 악성 데이터 전송: 암호화된 데이터는 복호화 키가 없으면 확인 불가

---

외부 위협 헌팅

1. 정보의 출처에 대한 이해

• 전출처 정보(All Source Intelligence): 모든 출처의 정보가 통합된 정보

전통적인 정보 출처 구분

• 공개출처정보(OSINT, Open-Source Intelligence): 합법적으로 접근 가능한 환경에서 수집한 정보 (ex. 인터넷, 언론 등)
• 민간출처정보(HUMINT, Human Source Intelligence): 사람을 통해 수집한 정보
• 기술출처정보(TECHINT, Technical Source Intelligence): 접근하기 힘든 폐쇄적 환경에서 기술 수단을 통해 수집한 정보
  • 신호정보(SIGINT, Signal Intelligence): 통신 도청/감청, 암호해독 등
  • 영상정보(IMINT, Imagery Intelligence): 사진 촬영, 위성영상 등

2. 공개출처정보(OSINT)와 외부 위협 헌팅

• 외부 위협 헌팅의 출처 범위: 공개출처로 한정 -> 법에 의한 단서가 전제되지 않은 경우라면
  • 정보 수집 과정에서 합법/불법을 넘나들 가능성이 존재함
  • 불법적으로 수집되었다면 법정 증거로 채택 불가 -> 불이익 발생 가능 (ex. 형사처벌, 민사배상 등)
• 외부 위협 헌팅으로 획득한 정보: 사이버정보(CYINT), 사이버위협정보(CTI)에 해당
  • 합법적인 접근이 가능한 사이버공간 대상으로 수집하므로 -> 공개출처정보의 하위 범주로 분류됨

3. 외부 위협 헌팅

주요 기법

• 인터넷 검색엔진 기반 헌팅: 검색엔진 데이터베이스에 축적된 정보 중에서 유의한 위협정보 헌팅 -> 검색 연산자, 고급검색 기능 활용
  • 범용 검색엔진: 일상 정보 검색을 위함 (ex. 네이버, 구글 등)
  • 전용 검색엔진: 특정 목적의 정보를 검색하기 위함 (ex. Shodan, VirusTotal 등)
  • 검색엔진 운영사 -> 많은 양의 정보를 얻기 위해 다양한 유형의 정보를 크롤링/스크래핑하여 데이터베이스 축적
• 허니넷 기반 헌팅: 허니넷을 구성하여 공격자 유인 -> 행동패턴 및 방법을 파악하여 공격자를 기만
  • 허니팟(Honeypot): 비정상 접근을 탐지하기 위해 의도적으로 설치한 것
  • 허니넷(honeynet): 다수의 허니팟을 정보통신망으로 구성
• 사용자 행위 모사 헌팅: 실제 사용자의 행위를 모사하는 호스트 활용 -> 인터넷을 탐색하며 의도적인 악성코드 감염을 유도
  • 검색엔진처럼 크롤링, 스크래핑 활용
  • 사용자 행위를 모사하기 위해 가상화 기술, 행위 모사 기술 등을 활용함
• 다크웹 헌팅
  • 다크웹은 불법 콘텐츠 취급 -> 공식적인 검색엔진 X
    • 다크웹 헌팅을 위해서는 크롤링/스크래핑 필요 -> 해당 기술 활용하여 검색엔진처럼 제작
  • 헌팅 범위는 사이버위협정보로 한정해야 함
  • 획득 가능한 외부 위협 유형: 악성코드 샘플, 취약점 유발 코드, 유출된 정보
• 사이버위협정보 공유/구매

4. 사이버위협정보(CTI)의 공유

1) 국가 주도 정보공유시스템 (국가정보원)

• 국가사이버위협 정보공유시스템(NCTI, National Cyber Threat Intelligence)
  • 운영주체: 국가정보원
  • 국가/공공 분야의 보안운영센터에서 정보 공유 목적으로 사용 (민간은 X)
  • 국가사이버안보센터 중심 -> 각급기관 보안운영센터 (전용회선으로 설치/운영)
• 인터넷 기반 정보공유시스템(KCTI, Korea Cyber Threat Intelligence)
  • 운영주체: 국가정보원
  • 민간 핵심기반시설, 방산업체 등과 정보 공유 목적으로 사용

2) 국가 주도 정보공유시스템 (한국인터넷진흥원)

• C-TAS(Cyber Threat Analysis & Sharing System)
  • 운영주체: 한국인터넷진흥원
  • 민간 분야 사이버위협정보 공유 목적 -> 한국인터넷진흥원 주도로 구성한 사이버위협정보 공유체계
  • 종류
    • 공유형 C-TAS: API를 활용, 한국인터넷진흥원 <-> 각 회원사 간 양방향 실시간 정보공유 (Give and Take 형식이라 본인도 정보를 줄 수 있어야 함)
    • 개방형 C-TAS: 누구나 가입, 한국인터넷진흥원에서 제공하는 웹 사이트를 통해 정보 제공

=> 국가 주도 정보공유체계: 별도의 비용 X, 가입하는데 제약조건 존재 -> 일반적인 기업이 가입하여 활동하는 것은 제한적임

3) 민간 주도 정보시장

• 사이버위협정보를 거래하는 정보시장 활성화됨 -> 이를 기반으로 수익 모델을 중심으로 운영 중인 서비스도 존재
  • 관련 서비스
    • 바이러스토탈(VirusTotal): 바이러스/악성코드에 대해 다양한 안티 바이러스 검사 결과를 종합한 결과 + 평판 정보를 제공
    • 샌즈랩 CTX: 바이러스/악성코드 데이터베이스 + 정적분석/동적분석 결과 제공

4) 사이버위협정보(CTI) 생산 과정

정보 분석/생산하여 유용할만한 정보를 찾고 알려지지 않은 위협 -> 알려지도록 하는 것이 더 중요함

• 사이버위협정보를 자체 생산한다면 조직 실정에 맞는 정보순환주기를 구성해야 함

• 사이버위협정보 개념 등장 당시에는 정보수집 자체를 중요히 여김 -> 현재는 정보분석 및 생산역량 강조
  => 생산된 정보를 사용하는 정보사용자에게 유용해야 함 -> 정보시장을 통해 구입한 정보에만 의존할 수 없다는 한계 존재

• 기획: 수집 대상 정보를 정의 -> 요구사항 구체화

• 수집: 정보를 내/외부 위협 헌팅 등의 방법으로 수집하거나 정보시장을 통해 구매

• 분석: 수집한 정보를 다양한 방식, 기법으로 분석

• 생산: 분석한 내용을 사이버위협정보 표준, 사이버위협정보 보고서 등 형태로 생산

• 공유: 결과물을 사이버위협정보 공유체계로 배포 or 내부에서 의사결정에 활용