이상 징후 탐지는 기존의 행동 패턴에서 크게 벗어나는 데이터 또는 사건의 포인트를 식별하는 분석 과정이다. 사이버보안 분야에서 이상 징후 탐지는 조직이 악성 사이버 사건이 뿌리를 내리고 확산되기 전에 신속하게 탐지하고 해결할 수 있도록 미세 조정해야 하는 최고의 방어 기술이다.

사이버보안 분야에서 이상 징후 탐지라는 개념은 암호 격자(lattice)라는 개념을 최초로 제시한 수학자 도로시 데닝이 1987년에 발표한 “침입 탐지 모델(An Intrusion-Detection Model)”이라는 획기적 논문에서 처음 소개되었다. 그 이후 정보보안 실무자와 사이버보안 업체는 데닝의 개념을 방어 기술, 실행, 제품에 통합해 왔다.

턴게이트의 CEO 브루스 포터는 이상 징후 탐지가 사이버 탐지의 성배와도 같은 존재라며, 제대로만 한다면 사전에 어떤 나쁜 것을 찾아야 하는지 알 필요가 없다고 말했다. 포터는 ”다른 것과 다르게 보이거나, 같아서는 안 되는 것이므로 그냥 드러난다. 사람들은 1980년대부터 오랫동안 정상적인 것이 무엇인지 파악하고, 정상 궤도에서 벗어난 것을 찾아내어 보안 사고를 미연에 방지하려고 노력해 왔다”라고 설명했다.

현재 CISO의 과제는 기존의 보안 업체 제품 조합에서 이미 부정적인 사건이 감지되는 지점을 파악하고 이해하는 것이다. 적절한 경우, CISO는 보안 팀이 경보 피로에서 벗어나 문제의 추세를 감지할 수 있도록 이상 징후 탐지 게임을 강화하는 것을 고려해야 한다.

이상 징후란?

이상 징후는 트래픽의 갑작스러운 급증, 서버가 유휴 상태여야 할 때 서버의 높은 활동, 특정 자산에 일반적이지 않은 IP 주소에서 트래픽 급증 등 시스템 또는 네트워크 내의 일상적인 행동이나 이벤트에서 벗어난 모든 것을 말한다. 사이버 팀이 이상 징후를 신속하게 파악하면 잠재적인 공격의 초기 신호를 포착하는 데 도움이 된다.

IBM 컨설팅의 글로벌 위협 관리 파트너 맷 슈라이너는 CSO와의 인터뷰에서 모든 사이버보안 업체와 마찬가지로 IBM도 거의 항상 이상 징후를 보안 위협과 연관시킨다고 말했다. 그러나 슈라이너는 “모든 이상 징후가 나쁜 것은 아니다. 일부 이상 징후는 소매업의 계절적 행동 변화에 적응하는 것과 같은 아키텍처 최적화 또는 비즈니스 전략 개선의 기회를 강조할 수 있다”라고 말했다.

사이버보안 도구의 이상 징후 탐지 역할

고급 수학 개념에 기반을 두고 있지만, 이상 징후 탐지 또는 NIST 사이버보안 프레임워크 2.0에서 “이상 이벤트 분석”이라고 부르는 이 기능은 지난 20년 동안 엔드포인트 탐지 및 대응(EDR), 방화벽, 보안 정보 및 이벤트 관리(SIEM) 도구 등 다양한 사이버보안 도구에 통합되었다.

일반적으로 탐지 대상을 두 가지로 나눌 수 있다. 하나는 알려진 악성코드를 찾는 것이고, 다른 하나는 악성코드가 될 수 있는 것을 찾는 것이다. 알려진 악성코드는 일반적으로 특정한 서명 기반과 같다. 이 파일이나 시스템에서 발생한 정확한 일이 악성코드라는 것을 매우 구체적으로 알 수 있다. 알려진 악성코드는 일반적으로 기본적인 사이버보안 도구에 의해 표시된다.

보안업체 포올시큐어(ForAllSecure) CEO 데이비드 브럼리는 CSO와의 인터뷰에서 “오늘날 가장 낮은 수준의 업체에서 방화벽을 구입하더라도, 그 업체는 일종의 이상 탐지 기능을 가지고 있을 것”이라고 말했다. 아마도 네트워크 계층에서, 또는 침입 탐지를 위한 WAF[웹 애플리케이션 방화벽]가 일반적일 것이다. 나쁜 SQL 인젝션 패킷처럼 보이는 것들은 CISO가 집중할 필요가 없는 부분이다.

포터는 EDR 시스템이 알려진 악성 변칙의 대부분을, 아니면 전부를 엔드포인트에서 포착한다며 “솔직히 말해서, 대부분의 조직은 엔드포인트 보안 문제를 해결했다. 어느 정도 유능한 보안팀이라면 EDR이 있을 것고 그 중 하나를 통과하면, 그것은 일종의 우연”이라고 설명했다.

데이터독(Datadog)의 보안 옹호 책임자 앤드류 크루그는 오늘날 보안팀이 인프라에서 비정상적인 행동을 감지하는 주요 수단으로 SIEM을 꼽았다. 크루그는 “이런 시설이 없다면, 뭔가 잘못되었다는 사실을 알 방법이 없다”라고 지적했다.

경보 피로는 중요한 도전 과제

턴게이트의 포터는 비정상적인 상황을 감지하는 아이디어가 아무리 개념적으로 우아하더라도 “현실은 오탐(誤探)과 누락(漏落)이 매우 높은 경향이 있고, 문제가 없는 것을 뒤쫓느라 시간을 허비하다가 문제가 있는 것을 놓치고 만다”라고 말했다.

이를 방지하기 위해 보안 관제 센터(SOC) 직원은 허위 보고를 최소화하는 기준을 설정할 수 있다. 포올시큐어의 브럼리는 일반적으로 진정으로 이상한 이상 현상을 감지할 가능성이 더 높지만, 은밀한 공격을 놓칠 가능성이 있다고 말했다.

반면에 필터 없이 보고가 자유롭게 이루어지면 작업자가 지칠 수 있다. 데이터독의 크루그는 경보 시스템과 관련해 경보 피로가 자주 언급된다고 말했다. 크루그에 따르면 “SIEM이 너무 많은 경보를 생성하고 사람들이 지속적으로 낮은 수준의 경보를 조사하고 조사를 진행한다면, 그들은 그 제품을 사용하는 것을 좋아하지 않을 것”이다.

경보를 다루는 SOC 직원은 ’사이버보안 분야에서 가장 힘든 일’을 하고 있다. 크루그는 경보 담당 SOC 직원이 그 어떤 역할보다 임기가 가장 짧을 것이라고 말했다. SOC에서 오래 버티지 못하는 이유는 경보에 파묻혀 있기 때문이다. 삶의 질이 높지 않다. 크루그는 ‘이 경보는 효과가 없다’라고 말할 수 있는 권한을 직원에게 주고, 조정에 참여할 수 있도록 하는 것이 효과적인 탐지 전략을 구축하는 데 있어 매우 중요한 부분이라고 강조했다.

CISOs가 한 발 앞서 이상 징후를 탐지하는 방법

표준 보안 도구는 알려진 악성 변칙과 관련된 부작용을 잘 표시하고 해결할 수 있다. 포터는 “서명 기반의 세계는 꽤 효과적”이라고 말했다. 대부분의 공격자는 바퀴를 재발명하지 않고, 목표를 달성하기 위해 가능한 한 적은 작업을 수행한다. 같은 작업을 백 번 수행하고 그중 10번 성공하면, 그것으로 충분하다고 생각할 것이다.

그러나 컴퓨터가 특이한 점을 찾아내도록 훈련시키는 것은 어렵기 때문에, 특정 환경에서는 사람의 판단을 돕는 것이 도움이 될 수 있다. 포터는 “의식을 높이고 경보를 울리는 것은 한 가지 방법이다. ‘이봐, 뭔가 수상한 낌새가 있어’라고 말하게 만드는 것”이라고 설명했다. 그러나 사람이 눈앞에 있는 신호를 보고 ‘아, 그래, 정말 이상하군’이라고 말할 수 있게 하는 것은 또 다른 문제이다.

그러나 일부 전문가들은 인간의 식별 능력에 너무 많은 비중을 두지 말라고 경고한다. 데이터독 CISO 에밀리오 에스코바르는 CSO와의 인터뷰에서 “탐지 및 대응 기능을 구현할 때 이상 탐지 모델을 시도하는 데 대해 열린 마음을 가져야 한다. 새롭게 등장하는 위협 환경과 IT 환경의 복잡성이 결합되어 있기 때문에, 인간의 눈으로 모든 것을 하거나 이상 현상을 처리하는 직접 코드를 작성하려고 한다면 항상 뒤처질 것”라고 조언했다.

IBM의 슈라이너는 랜섬웨어, 데이터 유출 또는 명령 및 제어 서명과 관련된 전형적인 산업 전반의 추세에 대한 일반적인 서명 탐지에 적합하지 않은 이상 징후 탐지 사용례가 여러 가지 있다고 말했다. 여기에는 내부자 위협, 사기 탐지, IT 시스템 관리 등이 포함된다.

그러나 다른 것보다 먼저 CISO는 맞춤형 이상 징후 탐색을 통해 얻을 수 있는 통찰력이 필요하다는 것을 인식해야 한다. 슈라이너는 “데이터 유출, 손상된 자격 증명, 멀웨어 비컨, 내부자 위협과 같은 사용례에서 데이터 지식을 어떻게 활용할 수 있는지에 대한 기본적인 이해를 바탕으로, 조직은 특정 비즈니스 사례에 맞는 이상 징후 탐색 전략을 수립할 수 있다”라고 말했다.

포터는 조직이 맞춤형 이상 징후 탐지 프로그램을 고안할 때 균형을 추구해야 한다고 생각한다. 포터는 “대부분의 조직은 스스로 이상 징후 탐지 기능을 개발할 시간이 없다. 이것이 바로 조직이 곤경에 빠지는 이유다. 조직은 모두 서명 탐지에 집중하고 있기 때문에 새로운 일이 발생해도 파악할 수 없다”라고 지적했다.

하지만 반대로 변칙적인 것에 집중하는 회사들도 있다. 포터는 “그저 수학, AI, 이런 것들도 완전히 탈선할 수 있다. 그러니 구매할 때는 두 가지 모두를 고려해야 한다”라며 현실적으로 가장 합리적인 조합의 중요성을 강조했다.
dl-itworldkorea@foundryco.com