사이버 보안 분야 전문가는 취약점 패치, 보안 구성 구현, 그리고 기업에 위험한 것을 완화하는 기타 베스트 프랙티스 수행 등 예방적 통제에 많은 시간을 할애한다. 예방적 통제는 훌륭하고 필요하지만, 실제 악의적인 활동과 적대적인 행동을 면밀히 살펴보는 것에 대해서도 이야기해야 한다.

가장 좋은 방법은 허니팟을 사용하는 것이다. 미국 국립표준기술연구소(NIST)는 허니팟을 ‘꿀이 곰에게 매력적인 것처럼, 잠재적인 해커와 침입자에게 매력적인 시스템 또는 시스템 자원’이라고 정의한다. 지능형 지속 위협 그룹 중 이름에 “곰”이라는 단어가 든 곳이 많다는 것도 재미있는 우연의 일치다.

허니팟은 일반적으로 전체 시스템이나 환경을 가리킨다. 허니토큰은 악의적인 행위자를 유인하고 그들에 대한 중요한 정보를 얻기 위해 유사한 방식으로 사용되는 특정 파일, 데이터, 기타 개체를 의미한다. 그렇지만, 이 글에서는 세세한 차이점을 피하기 위해 허니팟이라는 용어를 광범위하게 사용하겠다.

왜 허니팟을 사용해야 할까?

예방적 통제는 매우 중요하다. 업계 동향과 정보공유분석센터(ISAC) 같은 기관이 발표하는 광범위한 정보와 연계해서 생각해야 한다. 그러나 허니팟(및 관련 허니토큰)을 사용하는 데에는 여러 가지 중요한 이유가 있다. 가장 중요한 것은 바로 기업, 운영 환경, 시스템에서 직접 수집한 위협 정보와 비교할 수 있는 것이 거의 없다는 점이다.

사이버보안 담당자는 허니팟과 그 변형된 형태를 활용해 기업을 표적으로 삼는 악의적 행위자의 다양한 도구, 기술, 절차(TTP)에 대한 직접적인 통찰력을 얻을 수 있다.

허니팟은 종종 더 넓은 기업 구조 내에서 제한적이고 통제된 환경에 배치된다. 이를 통해 방어자는 분석 및 추가 연구를 위한 특정 포렌식 증거를 포착하고 크루셜 초기 위험 지표를 제공할 수 있다. 네트워크 리소스를 조사하거나, 민감한 데이터에 액세스하거나, 취약한 시스템을 악용하려는 시도의 증거가 될 수 있다.

CISA의 최근 보고서에 따르면 가장 일반적으로 악용되는 취약점은 제로데이 취약점이다. 이는 악용 당시에는 공개되지 않았다는 것을 의미한다. 따라서 기업은 알려진 악용 시도 및 활동 취약점을 넘어서는 추가 지표와 통찰력이 필요하다.

허니팟을 통해 얻은 통찰력은 방어자가 추가 보안 조치를 채택하거나 기존 보안 제어 및 도구를 수정해 실제로 관찰되는 악의적인 활동을 설명하는 데 사용할 수 있다.

공격자를 떼어내는 허니팟

방어자에게 중요한 위협 정보 외에도 허니팟은 공격자가 중요한 기업 데이터와 시스템이 아닌 미끼에 집중하게 하는 기만 기법으로 사용된다. 악의적인 활동이 확인되면, 방어자는 허니팟의 결과를 사용해 시스템과 환경의 다른 영역에서 손상 지표(IoC)를 찾아 추가적인 악의적인 활동을 포착하고 공격자의 체류 시간을 최소화한다.

허니토큰은 위협 인텔리전스와 공격 탐지 가치 외에도 액세스를 허용하지 않도록 배포된 고도로 맞춤화된 미끼 리소스라는 점에서 오탐(false positive)이 거의 없다는 장점이 있다. 정확도가 낮은 경고로 보안 팀과 개발자에게 부담을 주고 오탐률이 높은 다른 보안 도구와 대조적이다.

허니팟 활용 방법

기업은 허니팟 배치에 대해 신중하게 생각해야 한다. 공격자가 접근하기 쉬운 환경과 시스템(예 : 인터넷에 연결된 공개 엔드포인트와 시스템, 내부 네트워크 환경과 시스템)에서 사용되는 경우가 많다.

물론 전자는 상호 작용이 많아지므로 더 광범위한 통찰력을 얻을 수 있다. 후자는 경계 보안 도구와 통제를 넘어선 악의적 활동에 대해 방어자에게 알려주고 민감한 비즈니스 시스템과 데이터에 영향을 미칠 가능성이 더 높다.

내부적으로, 기업은 종종 적어도 표면적으로는 공격자들에게 어필할 수 있는 장소에 허니토큰을 배치해 미끼에 걸리도록 유도한다. 동시에 허위 양성 경보를 피하려면 합법적인 사용자가 자주 접촉하지 않는 방식으로 사용해야 한다.

허니팟의 배치는 경보의 양과 중요도에 영향을 미친다. 공개적으로 노출된 엔드포인트나 허니팟은 필연적으로 많은 트래픽을 발생시키지만, 내부적으로 배치된 허니팟은 경보 발생 횟수가 적다.

내부 허니팟이 트리거되면 내부 민감 데이터, 중요 시스템에 근접해 있고, 공격자가 미끼뿐만 아니라 유효한 시스템과 리소스에도 영향을 미칠 수 있기 때문에 더 중요하고 긴급한 대응을 유발할 가능성이 높다.

또 다른 중요한 고려 사항은 특정 환경과 목표에 따라 사용할 허니토큰의 유형을 선택하는 것이다. 예를 들어, 사용자 이름, 비밀번호, API 키와 같은 인증 정보에 대한 무단 액세스에 초점을 맞추고 있다면, 파일이나 데이터베이스와 같은 데이터에 초점을 맞추는 사람과는 다른 리소스를 원할 것이다.

상업용 및 오픈소스 모두 다양한 옵션이 있으며, 개별적인 필요와 보안 목표에 맞게 조정할 수 있는 특정 유형의 허니토큰이 있다.

허니팟 리소스 찾기

데이터베이스, 애플리케이션, 서비스부터 악의적인 활동을 배치하고 모니터링하는 다양한 도구에 이르기까지, 허니팟 리소스로 유지되는 전체 깃허브 저장소가 있다. 상업적인 측면에서는 호라이즌쓰리(Horizon3.ai)의 노드제로 트립와이어(NodeZero Tripwires) 같은 혁신적인 솔루션을 제공하는 기업도 있다. 이들 솔루션은 자동화된 배치 프로세스와 주요 위협 탐지 도구 및 워크플로와의 통합을 통해 더 신속한 대응을 위한 미끼 배치의 효율화를 목표로 한다.

소프트웨어 공급망과 비밀 관리에 중점을 둔 깃가디언(GitGuardian) 같은 다른 서비스는 사용자가 소스 코드 관리(SCM)와 CI/CD 환경에 허니토큰을 배치할 수 있도록 한다. 그런 다음, 공개 깃허브 저장소에서 API 키, 인증 정보, 기타 비밀 정보와 같은 허니토큰 유출을 모니터링한다. 이러한 정보는 미끼로 배치될 수 있다.

허니토큰과 허니팟은 개별 파일, 데이터베이스, 자격 증명 또는 전체 시스템과 디지털 환경을 나타낼 수 있다. 복잡성과 기업의 역량 및 상상력에 따라 다르다.

상업용 옵션을 사용하면 기본 통합 및 모니터링이 가능하지만, 일부 제품이나 도구를 사용하거나 오픈소스 솔루션을 사용하려면 허니토큰과의 상호 작용을 모니터링하고 잠재적으로 악의적인 활동이 식별될 때 대응 기능을 최적화하기 위해 추가적인 통합 및 구성이 필요할 수 있다.

허니팟은 다른 보안 조치와 마찬가지로 만능 해결책은 아니지만, 종합적인 기업 보안 통제 및 도구와 함께 현명하게 사용하면 기업이 환경에서 악의적인 활동을 사전에 식별하고, 귀중한 위협 인텔리전스를 확보하고, 관찰된 실제 활동을 기반으로 방어 체계를 최적화하고, 악의적인 활동을 감지하고 대응하는 기업의 능력을 테스트할 수 있다.
dl-itworldkorea@foundryco.com