사이버 킬체인

이주안·2024년 8월 14일

배경

전통적인 방어 기반의 보안 전략은 공격자가 충분한 시간과 자원을 갖고 꾸준히 공격한다면 뚫지 못 할 시스템은 없다. 그렇기 때문에 100% 막겠다는 방어 전략은 불가능하며 모든 조직의 보안 전략은 해킹 당했다는 가정 속에서 세우고 실행해야 한다. 방어 기반의 전통적인 보안 전략의 한계가 드러났기 때문에 조직과 보안 전문가들은 새로운 방어 전략을 구상하고 시스템을 갖춰야 했다. 이런 상황에서 제시된 전략 가운데 하나가
바로 사이버 킬 체인(Cyber Kill Chain)이다.
사이버 킬 체인은 사이버 공격을 프로세스 상으로 분석해 각 공격 단계에서 조직에게 가해지는 위협 요소들을
파악하고 공격자의 목적과 의도, 활동을 분쇄, 완화시켜 조직의 회복 탄력성을 확보하는 전략.
요약하면 공격자의 입장에서 사이버 공격 활동을 파악, 분석해 공격 단계 별로 조직에게 가해지는 위협 요소를 제거하거나 완화하자는 것.

개념

사이버 킬체인은 사이버 공격을 분석하기 위한 가장 널리 알려진 모델로
기존 군사용어인 킬체인 (Kill Chain, 타격순환체계)에서 비롯되었으며 발사된 미사일을 요격하는 것이 아닌, 선제 공격을 통해 미사일 발사 자체를 저지하겠다는 것으로서 그 개념을 사이버 공간상으로 가져와 적용한 것.
다양한 사이버 공격을 분석해보면 일반적으로 아래의 5가지 단계를 거치게 된다. 사이버 킬체인은 각 단계별 위협요소를 제거하기 위한 일렬의 활동으로 모든 공격을 다 막아낼 수는 없기 때문에 공격자 입장에서의 공격 분석을 통해 단계별 연결고리(Chain)를 사전에 끊어 피해를 최소화 하자는 것이 이 전략의 목표라고 할 수 있다.

록히드마틴의 사이버킬체인

사이버 보안 분야에서 ‘킬체인’이란 용어를 처음 사용한 것은 미국 군수업체인 록히드마틴 (Lockheed Martin Corporation)이다. 고도화된 공격(APT)에 대응하기 위해 제시한 방법으로, 공격자가 표적을 공격할 때 거쳐야 하는 과정을 정찰, 무기화, 전달, 공격, 설치, 명령 및 제어, 목표 장악 등 총 7단계로
나눈 후 각 단계에서 공격을 탐지, 차단, 대응하는 방어 전략이다. 사이버 공격은 시작부터 종단까지
각 단계들이 모두 성공해야만 최종 목적을 달성할 수 있는데 이러한 특징이 잘 나타나 있는 통합된 프로세스를 보여주고 있다.

한계

사이버 킬체인은 각 단계에 따른 공격자의 행위를 시간의 흐름에 따라 묘사하여 나열한 것이지, 단계별로 어떤 기술들이 사용되고 관련된 공격 도구나 해킹그룹 등에 대한 정보와의 연결고리가 없다는 한계가 존재한다.
즉, 공격자의 행동이 전술적 공격 목표와 각 행동의 연관성을 표현하고 전달하기에는 효과적이지 않다는 것.
또한 외부 침입자 대한 방어를 위주로 한 전략이라 공격자가 이미 침투했거나 내부자에 의한 공격 등
내부 보안에 대한 전략은 전무. 이는 사이버 킬체인에 새로운 전략 혹은 단계의 추가 적용이 필요함을 의미.

0개의 댓글