위협 사냥이란?

위협 사냥이란?

위협 사냥은 조직이 사이버 위협을 식별하는 데 사용하는 기술과 도구를 일컫는 포괄적인 용어입니다. 기존의 위협 사냥은 자동화된 도구가 아닌 보안 분석가의 전문 지식에 의존하는 수동 조사 프로세스였지만, 최신 위협 사냥은 이 두 가지의 조합에 의존합니다.

흔히 '위협 사냥'은 조직이 악의적인 내부 활동의 징후가 있는지 네트워크를 선제적으로 평가하거나 외부에 존재하는 공격자 인프라를 조사하는 선제적인 위협 감지를 의미합니다. 이 용어는 데이터 유출이나 이와 유사한 공격이 발생한 후 조직이 자체 인프라의 취약점을 분석하는 대응적인 위협 감지를 설명하기도 합니다.

공격 지표(IoA)란?

위협 사냥 프로세스 중에 조직은 잠재적 공격자의 의도와 행동을 파악하기 위해 공격 지표(IoA)*를 찾습니다. IoA는 공격자가 공격을 성공적으로 완료하기 위해 수행해야 하는 작업 또는 일련의 작업(예: 대상이 피싱 이메일을 열도록 속임, 악의적 링크를 클릭하도록 유도, 맬웨어 다운로드 실행 등)입니다. 공격자의 특정 전술과 절차를 이해하면 조직이 보다 선제적인 위협 방어를 구축하는 데 도움이 될 수 있습니다.

침해 지표(IoC)는 네트워크 트래픽의 이상, 의심스러운 로그인, 관리자 수준 계정이나 파일에 대한 예기치 않은 업데이트, 기타 조직이 침해되었음을 나타내는 징후 등 악의적인 활동의 증거입니다. IoC는 일반적으로 조직이 이미 손상되었음을 나타내므로 대응적인 위협 사냥 프로세스의 유용한 구성 요소입니다.

*공격자의 전술, 기법 및 절차(TTP)라고도 합니다.

위협 사냥은 어떻게 작동하나요?

위협 사냥 절차는 조직의 요구 사항과 보안 팀의 역량에 따라 다르지만 일반적으로 정형 사냥, 비정형 사냥, 상황 사냥의 세 가지 범주 중 하나로 나뉩니다.

1. 정형 사냥은 특정 공격자의 행동과 전술, 즉 IoA를 식별하고 분석합니다. 위협 사냥 플레이북(예: MITRE ATT&CK 프레임워크)에 따라 가설을 생성하는 가설 기반 사냥 모델을 사용합니다. 구조화된 사냥의 주요 목표는 조직에 공격이 활용되기 전에 공격자의 행동을 선제적으로 찾아내는 것입니다.
2. 비정형 사냥은 조직의 일부가 손상된 최근 또는 과거의 공격을 나타낼 수 있는 IoC, 즉 악의적인 활동의 증거를 발견하여 트리거됩니다. 비정형 사냥은 인텔리전스 공유 플랫폼에서 제공하는 IP 주소, 도메인 이름, 해시 값 및 기타 데이터를 검사하는 반응형 인텔리전스 기반 사냥 모델을 사용합니다. 주요 목표는 조직의 인프라와 시스템에 존재하는 취약점을 조사하는 것입니다.
3. 상황 사냥은 엔터티 기반 사냥이라고도 하며, 손상 위험이 있는 특정 시스템, 자산, 계정 또는 데이터에 초점을 맞춥니다. 예를 들어 관리자 권한이 있는 계정은 더 중요한 데이터와 시스템에 액세스할 수 있으므로 권한이 적은 계정에 비해 사이버 공격의 위험이 더 높을 수 있습니다. 상황 사냥의 주요 목표는 조직 전체에 걸쳐 IoA나 IoC를 검사하는 것이 아니라 고위험 대상을 보호하고 해당 대상이 직면할 가능성이 있는 위협을 파악하는 것이므로 조직의 필요에 맞게 조정할 수 있는 사용자 설정 위협 사냥 모델을 사용합니다.

이러한 프로세스 간의 차이를 시각화하기 위해 Bob이 서로 다른 세 가지 조류 관찰 기법을 사용하여 새를 식별하려고 한다고 가정해 보겠습니다. 새의 이동 패턴, 짝짓기 의식, 먹이 주기 일정, 새가 발견될 가능성이 높은 장소와 시간을 좁히는 데 도움이 될 수 있는 추가적인 행동 요인을 분석하는 등 많은 계획이 필요한 방법론이 있습니다. 이는 공격자의 알려진 전술과 행동을 밝혀내는 데 중점을 두는 정형 사냥과 유사합니다.

다른 방법론을 사용하면 Bob은 숲을 방문하여 둥지, 배설물 또는 새의 존재에 대한 기타 물리적 증거를 찾을 수 있습니다. 이는 IoC가 감지될 때 흔히 트리거되는 비정형 사냥과 유사합니다.

세 번째 방법론에서는 Bob이 더 일반적인 종보다 멸종 위기에 처한 새를 우선적으로 추적한 다음 식별하려는 특정 새에 맞게 접근 방식을 조정해야 할 수 있습니다. 이는 맞춤형 전략을 사용하여 고위험 대상에 대한 위협을 식별하는 상황 사냥과 유사합니다.

위협 사냥 도구 유형

기존의 위협 사냥 프로세스는 보안 분석가가 조직의 네트워크, 인프라, 시스템을 수동으로 검사한 다음 가설을 만들고 테스트하여 외부 및 내부 위협(예: 데이터 유출 또는 악의적인 내부망 이동)을 감지했습니다.

이에 비해 최신 위협 사냥은 사이버 보안 도구를 사용하여 조사 프로세스를 자동화하고 간소화합니다. 가장 일반적인 도구는 다음과 같습니다.

• 보안 정보 및 이벤트 관리(SIEM)는 로그 데이터 집계, 알림 모니터링, 보안 사고 분석, 규정 준수 보고 등의 기능을 제공하는 보안 솔루션입니다.
• 관리형 감지 및 대응(MDR)은 네트워크 활동을 추적하고, 경고를 생성하고, 잠재적 위협을 조사하고, 경고에서 긍정 오류를 제거하고, 고급 분석을 제공하고, 보안 사고를 해결하는 데 도움을 주는 관리형 보안 운영 센터(SOC)의 일종입니다.
• 사용자 및 엔터티 행동 분석(UEBA) 은 사용자 및 엔드포인트 데이터를 집계하고, 정상 행동의 기준선을 설정하고, 조직 시스템 전반에서 이상을 감지 및 분석하는 보안 서비스입니다.

위협 사냥과 위협 인텔리전스 비교

위협 사냥은 공격자의 행동, 사이버 공격의 증거 또는 조직이 직면한 기타 잠재적 위협을 발견하고 분석하는 프로세스입니다. 위협 사냥의 목적은 조직 인프라 내의 취약점을 발견하는 것뿐만 아니라 아직 수행되지 않은 위협과 공격을 발견하는 것입니다.

반면 위협 인텔리전스는 사이버 공격(잠재적인 위협과 이미 발생한 공격 모두)에 대한 데이터의 집합입니다. 흔히 이러한 데이터는 위협 인텔리전스 피드로 수집되어 조직에서 위협 사냥 프로세스 및 보안 절차를 업데이트하는 데 사용할 수 있습니다.

간단히 말해 위협 사냥은 범죄 현장 수사와 유사하며, 위협 인텔리전스는 현장에서 수집한 증거입니다.

위협 인텔리전스의 범주와 목적에 대해 자세히 알아보려면 위협 인텔리전스란?을 참조하세요.

Cloudflare는 위협 사냥 서비스를 제공하나요?

Cloudflare 보안 센터는 보안 팀이 단일 통합 인터페이스에서 잠재적 공격을 식별, 추적, 완화하는 데 도움을 주도록 설계된 위협 조사 기능을 제공합니다. 위협 조사 포털에서 사용자는 특정 IP 주소, 호스트 이름, 자율 시스템(AS)을 쿼리하여 새롭게 부상하는 위협의 출처를 찾아낼 수 있습니다.

Cloudflare 보안 센터에 대해 자세히 알아보세요.