Illumio Insights 소개 — AI 기반의 혁신적인 관찰 가능성, 탐지 및 격리.
자세히 알아보기

침해를 경험하셨나요?

|
당사에 연락하기
|
+1 855 426 3983
블로그
/
랜섬웨어 격리

사이버 인시던트 발생 시 대처 방법 기술적 대응

Michael Adjei
시스템 엔지니어링 담당 이사, EMEA
Illumio Editorial
11월 23, 2020
23 분 읽기

최근 전 세계적으로 업무, 놀이, 여가를 위한 디지털 도구의 사용이 증가하면서 사이버 보안의 중요성이 그 어느 때보다 강조되고 있습니다. 위협 행위자는 전술, 도구 및 절차를 조합하여 표적 시스템 또는 네트워크에 발판을 마련한 다음 측면 이동을 활용하여 표적 조직의 핵심에 도달합니다. '침해 가정'의 시대에는 공격이나 사고가 발생하느냐의 문제가 아니라 언제 발생하느냐의 문제입니다. 개인이나 집단이 실제 공격을 당했을 때와 마찬가지로, 응급처치는 전문가의 도움이 도착할 때까지 생명을 구하는 데 큰 도움이 될 수 있습니다.

같은 맥락에서 이 시리즈에서는 사이버 사고 발생 시 즉각적으로 취할 수 있는 조치와 완화에 대해 살펴봅니다.

세 가지 주요 영역에 초점을 맞출 것입니다:

  1. 기술적 대응
  2. 비기술적 대응
  3. 배운 교훈

첫 번째 파트에서는 사고 발생 직후에 필요한 중요한 기술적 조치에 대해 다룹니다. 다음으로 사고 보고 및 영향 평가와 같은 사이버 이벤트의 비기술적인 측면에 대해 설명하겠습니다. 마지막으로 마지막 부분에서는 이번 대응을 통해 얻을 수 있는 교훈을 전체적으로 살펴봅니다.

1부: 기술적 대응

총 3부로 구성된 이 시리즈의 1부에서는 사이버 보안 사고 발생 직후의 기술적 대응에 대해 집중적으로 다룹니다. 조직의 보안팀은 사고를 신속하게 파악하고 근본 원인 분석을 위해 로그, 멀웨어 파일, 기타 운영 체제 아티팩트 등 근본 원인 분석에 유용한 증거를 보존하는 것이 중요합니다.  

여기서는 주로 Windows 환경에 초점을 맞추고 일반적인 공격 유형인 스피어 피싱을 예로 들어 측면 이동을 활용하여 비즈니스 이메일 구성(BEC)을 생성하고 데이터 유출을 초래하는 스피어 피싱을 살펴보겠습니다. 이 흐름의 시각적 표현은 아래와 같습니다.

CyberIncident1

감염 및 침해로 이어지는 대부분의 공격의 경우 공격자는 보통 다음과 같이 행동합니다:

  1. 일반적으로 피싱 공격을 통해 사용자와 컴퓨터와 같은 소프트 타깃을 공격합니다.
  2. 계정과 컴퓨터를 침해하는 경우
  3. 침해된 계정과 컴퓨터를 활용하여 네트워크의 나머지 부분을 발견합니다.
  4. 다른 시스템을 손상시키기 위해 측면 이동을 용이하게 하기 위해 권한을 에스컬레이션합니다.
  5. 고가치 자산 또는 크라운 주얼 시스템을 찾고 데이터를 유출합니다.

위협 행위자는 동기에 따라 가능한 한 오랫동안 탐지되지 않은 채로 머무르고 이동하기를 원할 수 있습니다. 또는 랜섬웨어 공격에서 볼 수 있듯이 네트워크에 장애를 일으키려고 할 수도 있습니다. 아시다시피, MITRE ATT&CK 또는 사이버 킬 체인은 위협 행위자의 전술과 기술을 매핑할 수는 있지만 규칙을 따르지는 않습니다. 따라서 사고 대응 중에는 어떤 가정도 해서는 안 되며, 확증할 수 있는 확실한 증거만 고려해야 합니다. 모든 것이 보이는 것과 다를 수 있으므로 미끼를 주의 깊게 살펴보는 것도 중요합니다. 이를 염두에 두고 공격 흐름의 여러 단계를 살펴볼 필요가 있습니다.

초기 항목

공격의 초기 단계에는 일반적으로 피싱이나 멀버타이징과 같은 소셜 엔지니어링이 포함되며, 주로 이메일이나 웹사이트와 같은 디지털 커뮤니케이션 채널을 통해 이루어집니다. 이 경우 위협 행위자는 '환자 0'이라고도 하는 첫 번째 감염된 머신에 도달할 수도 있습니다.

CyberIncident2

응급 처치

사고 발생 후 탐지 초기 단계에서는 다음 중 몇 가지 조치를 취할 수 있습니다.

  • 감염된 사용자 계정(이메일/컴퓨터)을 식별합니다.
  • 영향을 받은 이메일 계정을 격리합니다.
  • 영향을 받은 이메일 계정에서 이메일을 발송하지 못하도록 차단합니다.
  • 외부 이메일 계정으로 전달된 이메일이 있는지 확인합니다.
  • 우선 지난 7일에서 14일 동안 받은 편지함에서 보낸 모든 항목을 검색합니다.
  • 보낸 메일과 삭제한 메일을 감사합니다.
  • 계정 프로필에 로드된 사용자 지정 양식(Outlook)이 있는지 확인합니다.
  • 연결된 장치에서 영향을 받는 이메일 계정을 확인합니다.
  • 레거시 프로토콜 사용 여부(예: POP3)를 확인합니다.
  • Azure AD 로그에서 인증 정보를 확인합니다.
  • 임시 위치에서 임의의 이름의 스크립트 및 기타 CLI 유틸리티가 있는지 확인하세요(특히 파일리스 공격의 경우).
진단

이 단계에서 공격자는 소셜 엔지니어링을 활용하여 시스템에 액세스했습니다. 이 예에서는 계정 탈취(ATO) 공격자가 보낸 피싱 이메일이 Microsoft Word 문서에 포함된 가짜 이메일 견적을 보내는 데 사용됩니다. 이 문서에는 악성 매크로가 포함되어 있으며, 일단 열리면 다음 단계의 공격이 시작됩니다.

멀티팩터 인증(MFA)과 강력한 이메일 보안 방어는 사용자 인식 교육과 함께 초기 진입 공격에 대한 좋은 1차 방어선이 되어야 합니다. 이메일 보안 솔루션은 최소한 피싱 방지, AI, URL 확인 및 탐지 기능을 갖추고 있어야 합니다. 이메일 전달, 리디렉션 및 템플릿 생성과 같은 알림 기능도 매우 중요합니다. Office 365와 같은 클라우드 전자 메일 사용자는 Microsoft Office 365 보안 점수와 같은 서비스를 실행하여 전자 메일 상태의 취약점을 찾을 수 있습니다.

피벗 머신

이 시점에서 공격자는 공격을 성공적으로 실행하고 합법적인 사용자 계정 및/또는 시스템에 액세스한 것입니다. 피벗 머신은 위협 행위자가 네트워크의 나머지 부분을 탐색하고 이동하기 위한 포인트 머신이 됩니다.  

CyberIncident3

응급 처치
  • 감염된 컴퓨터/노트북을 나머지 네트워크에서 즉시 격리하세요.
  • 인터넷에서 기기를 분리합니다.
  • Active Directory에서 영향을 받는 사용자의 도메인 계정을 비활성화합니다.
  • 이 계정에 대한 모든 원격 액세스를 비활성화합니다. VPN, OWA 또는 기타 원격 로그인.
  • 레지스트리, 시작 및 예약된 작업에서 악의적인 지속성의 징후를 확인합니다.
  • 해당 호스트의 최근 웹 연결이 있는지 확인합니다.
  • 의심스러운 사용자 계정을 확인합니다.
  • 최근 애플리케이션 사용량 확인 - 심캐시, 암캐시, 점프리스트.
  • mimikatz, psexec, wce 및 잔존 파일과 같은 도구가 있는지 확인합니다(메모리 전용 공격의 경우 가능한 경우 컴퓨터를 재부팅하지 않아야 합니다).
진단

일반적으로 일부 사용자가 피싱 공격에 속아 악성 링크나 이메일 첨부파일을 열어 powershell.exe와 같은 합법적인 시스템 도구를 사용하게 되는 경우가 있습니다, 를 악의적인 목적으로 사용합니다. 의심스러운 프로세스, 네트워크 공유 액세스, 계정 로그 및 다운로드한 파일 등의 검사를 관리해야 합니다. Windows의 경우 인증 및 가능한 권한 상승을 위한 중요한 프로세스 중 하나는 lsass.exe(로컬 보안 기관 하위 시스템 서비스)입니다. 비정상적인 프로세스 이름, 위치 또는 계정 액세스 권한이 있는지 확인하세요.

CyberIncident4

종종 피벗 머신은 위협 행위자에게 나머지 네트워크에 대한 발판을 제공합니다. 주요 목표는 아니지만 목적을 위한 수단일 수 있습니다. 따라서 다음 사항을 염두에 두어야 합니다:

  • 주의를 분산시키기 위해 고안된 미끼
  • 파일리스 또는 메모리 전용 멀웨어는 원본 증거의 손실을 의미할 수 있습니다.
  • 증거 제거를 위한 파일 삭제

IT 부서가 항상 최초의 환자 제로 머신이나 피벗 머신을 찾을 수 있는 것은 아니지만, 침해된 시스템이 무엇이든 먼저 격리하고 그에 따라 조사해야 합니다. 더 심층적인 분석을 원하시면 수행하세요:

  • 메모리 분석
  • 파일 시스템 분석
  • 시스템 로그 포렌식
  • 레지스트리 포렌식

여러 포렌식 도구(기본, 오픈 소스 및 상용)가 존재하며 사이버 사고 후 시스템과 네트워크를 분석할 때 가능한 한 많은 정보를 검색하는 데 도움이 될 수 있습니다.  

발견 및 측면 이동

대부분의 경우, 초기 머신은 위협 행위자가 원하는 곳에 있는 경우가 거의 없습니다. 따라서 최종 목표 시스템에 도달할 때까지 이동해야 하며, 목표는 손상된 피벗 머신을 활용하여 나머지 네트워크를 발견하고 매핑하여 측면으로 효과적으로 이동할 수 있는 방법을 마련하는 것입니다. 네트워크는 실제 애플리케이션 액세스 최종 목표를 용이하게 합니다. 예를 들어, 패스 더 해시 공격에서 NTLM 자격 증명을 도용하거나 패스 더 티켓 공격 및 포트(네트워크 수준)에서 Kerberos 자격 증명을 도용하여 측면 이동을 달성하는 것이 이에 해당합니다.

CyberIncident5

응급 처치 - 발견
  • 포트 스캔의 증거를 확인합니다.
  • 자주 사용하는 애플리케이션을 확인하세요.
  • 명령 기록 확인(예 파워쉘 및 WMI 명령 기록.
  • 악성 스크립트가 있는지 확인하세요.
응급 처치 - 측면 이동
  • 원격 액세스 잔여물 확인 & 배포 도구 - RDP, VNC, psexec, mimikatz.
  • 최근 애플리케이션 사용량 확인 - 심캐시, 최근 파일, 점프 목록.
  • 서버, 특히 파일 서버, DNS 서버 및 Active Directory 서버에서 Windows 계정이 사용되는지 확인하세요.
  • 확인해야 할 몇 가지 유용한 Windows 이벤트 로그가 있습니다.
  • 일반적으로 사용되는 이동 방법인 브라우저, Adobe, Microsoft Office 및 OS의 패치 수준을 확인합니다(대부분의 익스플로잇은 취약점을 활용합니다).
CyberIncident6

진단

애초에 올바른 도구가 없다면 동서 이동을 감지하는 것은 또 다른 어려운 작업일 수 있습니다. 또한, 위협 행위자는 일반적으로 기본 도구를 사용하고 경고를 방지하고 탐지를 피하기 위해 '현지에서 생활하는' 기술을 사용합니다. 경우에 따라서는 다른 기술을 사용하여 계정 수준의 권한을 상승시켜 탐지되지 않고 측면 이동을 용이하게 할 수도 있습니다. 발견 단계에서는 이후의 측면 이동 단계와 마찬가지로 위협 행위자는 침묵을 지키고 조기 탐지를 피하려고 합니다. 즉, 외부 도구나 사용자 지정 도구를 도입하기보다는 기본 도구를 사용할 가능성이 높습니다. 대부분의 운영 체제에는 이 단계에서 작업을 쉽게 수행할 수 있는 다양한 기본 도구(예: Windows의 Powershell 및 WMI)가 있습니다. 위협 행위자의 측면 이동은 세분화가 전혀 없거나 서브넷, VLAN, 영역과 같은 기존 세분화 방법만 사용하는 환경에서 특히 더 쉽게 이루어질 수 있습니다. 이는 일반적으로 가시성이 부족하고 보안 정책이 지나치게 복잡하며 서브넷 또는 VLAN 내에서 호스트 기반 분리가 이루어지지 않기 때문입니다.

CyberIncident7

위 이미지는 발견 및 측면 이동 시도를 시각화할 수 있는 가시성 및 분석 도구(Illumio의 애플리케이션 종속성 맵, Illumination)의 예를 보여줍니다. 위에 표시된 것과 유사한 보기를 사용하면 다양한 애플리케이션 그룹과 그 안에 포함된 워크로드 및 그에 따른 워크로드 간의 네트워크 통신 매핑을 명확하게 표현할 수 있습니다. 이러한 보기를 사용하면 동일하거나 다른 애플리케이션 그룹에 있는 워크로드 간의 비정상적인 네트워크 동작을 빠르고 쉽게 식별할 수 있습니다.

크라운 주얼

특히 은밀하고 랜섬웨어가 아닌 공격의 경우, 위협 행위자가 주로 노리는 것은 바로 시스템과 데이터입니다. 여기서 주요 데이터 유출 활동이 발생할 가능성이 높습니다.

응급 처치
  • 데이터베이스 서버, AD 서버, 파일 서버에서 관리자 계정의 사용 여부를 확인합니다.
  • 웹 액세스 기록을 확인하여 의심스러운 연결이 있는지 확인하세요.
  • 봇넷 관련 통신에 대한안티 봇넷 방어 기능을 확인하세요.
  • DNS 터널링, 프로토콜 남용, 데이터 인코딩 등 데이터 유출을 확인합니다.
  • 시스템 및 해당 NIC의 데이터 전송 속도가 과도한지 확인하세요.
  • 유용한 Windows 이벤트 로그:
  • 관리자 계정 로그인을 위한 Windows 이벤트 4672
  • 성공적인 로그온을 위한 Windows 이벤트 4624
CyberIncident8

진단

중요하거나 민감한 데이터를 보관하는 시스템을 나머지 네트워크와 효과적으로 분리하는 것은 필수적입니다. 가장 좋은 방법 중 하나는 네트워크 통신에 대한 가시성과 호스트에서 직접 방화벽을 적용할 수 있는 기능을 모두 제공하는 호스트 기반 마이크로 세분화를 사용하는 것입니다. 나머지 네트워크와 관련하여 크라운 주얼 시스템으로 들어오고 나가는 트래픽을 시각화함으로써 비정상적인 통신을 신속하게 감지, 방지 및 격리할 수 있는 시각화 및 알림 기능을 적시에 받을 수 있습니다.

멀웨어는 취약점, 특히 시스템 고유의 취약점을 통해 침입하여 발판을 마련할 수 있으므로 최신 취약점 및 패치 관리 솔루션을 배포하는 것도 중요합니다. 위협 행위자는 일반적으로 시스템 이벤트, 파일 및 레지스트리 데이터를 삭제할 수 있도록 스스로 정리를 시도합니다. 따라서 SIEM(보안 정보 및 이벤트 관리) 및 보안 분석 도구와 같은 시스템 및 네트워크 로그와 이벤트를 위한 중앙 리포지토리를 확보하는 것이 특히 중요합니다.

결론적으로, 사이버 사고 발생 직후에 올바른 후속 조치를 취해야 하며, 이는 전체적으로 사고를 처리하는 방법의 다른 핵심 부분으로 이어질 수 있습니다. 조직의 규모와 위상에 관계없이 기술적 대비 및 대응은 여기에 나와 있는 것처럼 전체 전략의 핵심 부분이어야 하지만 사고 보고 및 영향 분석과 같은 비기술적 대응도 포함되어야 합니다. 이 시리즈의 다음 편에서 이에 대해 더 자세히 설명하겠습니다.

관련 주제

항목을 찾을 수 없습니다.

관련 문서

블랙매터 랜섬웨어: 일루미오 제로 트러스트 세분화를 통한 위험 완화
랜섬웨어 격리

블랙매터 랜섬웨어: 일루미오 제로 트러스트 세분화를 통한 위험 완화

블랙매터 랜섬웨어에 대해 자세히 알아보고, 일루미오가 제로 트러스트 세분화를 통해 RaaS 그룹의 공격으로 인한 위험을 완화하는 방법을 알아보세요.

자세히 알아보기
.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: EXE 어셈블리 대 DLL 어셈블리
랜섬웨어 격리

.Net 어셈블리를 사용하는 랜섬웨어 기법 이해하기: EXE 어셈블리 대 DLL 어셈블리

.Net 어셈블리(EXE와 DLL)의 주요 차이점과 초기 하이레벨 코드에서 실행되는 방식에 대해 알아보세요.

자세히 알아보기
PII를 위한 CCPA 및 제로 트러스트 보안: 의료 및 교육 분야
랜섬웨어 격리

PII를 위한 CCPA 및 제로 트러스트 보안: 의료 및 교육 분야

마이크로 세분화와 제로 트러스트가 의료 및 교육 기관이 네트워크를 재설계하지 않고도 CCPA에 따라 PII를 보호하는 데 어떻게 도움이 되는지 알아보세요.

자세히 알아보기
항목을 찾을 수 없습니다.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

자세히 알아보기