해커의 속내는 어떻게 알까?…센티넬원 “가상머신 미끼로 유도하고 분석”
미끼로 상대방을 유혹하듯 해커를 가짜 시스템으로 유도해 공격 루트를 분석하고 예방할 수 있는 솔루션이 소개됐다. 설치가 쉽고 다양한 환경에서 구동할 수 있어 구축도 편리하다는 설명이다.
지난 15일 바이라인네트워크가 개최한 ‘해커를 속여라! Deception을 통한 공격행위 탐지·분석’ 웨비나에서 박정수 센티넬원 이사는 “디셉션은 해커들을 우리가 만들어놓은 가짜 시스템으로 유도해 속이는 기술”이라며 “진화된 (보안) 솔루션”이라고 설명했다 .
다양한 공격 기법으로 시스템 내에 들어온 해커들은 관리자 계정을 훔쳐 악성코드를 퍼뜨린다. 데이터를 암호화해 몸값을 요구하거나 데이터를 빼내는 해킹 피해가 빈번하지만, 이를 막기 위한 보안 솔루션 구축에 어려움을 겪는 기업들이 많다.
센티넬원은 액티브 디렉토리(AD) 관리자 계정의 보호가 필수라고 강조한다. 직원 계정 정보를 저장하고 관리하는 AD 관리자 계정이 탈취되면 상위 서버에서 악성코드를 뿌리거나 사내 모든 계정을 훔치는 등 보안에 치명타를 입을 수 있다.
박 이사는 “(해커들은) 특히 관리자 계정을 대상으로 삼고 굉장히 공격적인 사이버 위협을 가한다”면서 “회사 내부에 있는 다양한 시스템에 무제한적으로 악성코드를 퍼뜨릴 수 있다”고 말했다.
이를 통해 데이터를 훔쳐 암호화를 시키는 등 랜섬웨어 공격으로 데이터 몸값을 요구하며 기업에 타격을 입힐 수 있다는 게 박 이사의 말이다
이에 관리자뿐 아니라 일반 계정까지도 가짜 버전을 만들어 진짜 시스템에는 영향이 없는 가짜 정보에만 해커가 접근하도록 하는 게 디셉션 솔루션의 핵심이다.
박 이사는 “해커는 우리가 만들어 놓은 함정 시스템으로 로그인이 되는 것”이라며 “이를 통해 해커가 어떻게 공격하고 어떤 기법을 사용하는 지 분석할 수 있다”고 말했다.
구조적으로 보면 센티넬원의 디셉션은 가상머신(VM)을 보안 도구로 활용한다. 디코이, 즉 미끼 성격의 VM으로 해커를 유도해 공격 루트를 확인하고 기법을 분석한다. 하나의 디코이 VM만 만들어놓는 게 아니라 내부 시스템 곳곳에 깔아놓음으로서 해커가 진짜 시스템을 구분하기 어렵다.
아울러 별도의 망을 구성해 유도된 네트워크로 들어온 해커는 다른 망으로 가지 못하고 미끼망 안에서만 활동할 수 있다. 일종의 ‘위장’ 형태로 진짜 시스템은 영향을 받지 않는 형태다.
벌을 유도하는 꿀통에서 따온 ‘허니팟(Honeypot)’ 기법은 별도의 시스템 형태라 해커가 들어오지 않으면 효용이 없다. 하지만 디셉션은 기업 네트워크 내부에 실제로 구축하기 때문에 시스템이 공격을 받았다면 가짜 정보에 접근하며 자신을 노출할 수 밖에 없는 구조라는 게 박 이사의 설명이다.
센티넬원의 디셉션 솔루션은 에이전트를 통해 로그인 정보를 개더링한다. 만약 권한이 없는 직원이 관리자 계정으로 로그인하는 등 이상 행위가 발생하면 이를 인지해 위협 경로를 확인해준다. 또한 ‘데이터 클락’ 기능을 통해 사용자가 실제로 쓰는 폴더와 해커가 공격하는 폴더를 다르게 보이도록 해 위장 성능을 더한다.
솔루션 구축은 온프레미스뿐 아니라 클라우드 환경에서도 가능하다. 윈도우부터 리눅스, 센트OS, 레드햇, 시스코 IOS 등 다양한 운영체제에 쉽게 적용할 수 있다. 에이전트 구축과 더불어 관제 서비스를 함께 제공한다. 하반기 중에는 엔드포인트 보안(EDR) 솔루션과도 통합해 더욱 고도화한 분석 기능을 제공할 방침이다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
![[상반기 사이버위협 결산①] 랜섬웨어 공격 진화…피해사례 급증](https://byline.network/wp-content/uploads/2017/06/Ransomware-hacker-e1498350807708.jpg)
