사이버 킬 체인이란?

2011년 Lockheed Martin은 사이버 보안 산업을 위해 킬 체인이라는 군사 개념을 채택하고 이를 사이버 킬 체인이라고 명명했습니다. 킬 체인과 마찬가지로 사이버 킬 체인은 공격의 단계를 식별하고 방어자에게 각 단계에서 적의 일반적인 전술과 기술에 대한 통찰력을 제공합니다. 또한 두 모델 모두 공격자가 각 단계를 순차적으로 따를 것이라는 기대와 함께 선형적입니다.

사이버 킬 체인이 처음 도입된 이래로 사이버 위협 행위자는 전술을 발전시켜 왔으며 항상 사이버 킬 체인의 모든 단계를 따르는 것은 아닙니다. 이에 대응하여 보안 업계는 접근 방식을 업데이트하고 새로운 모델을 개발했습니다. MITRE ATT&CK® 매트릭스는 실제 공격을 기반으로 하는 전술 및 기술의 자세한 목록입니다. 이는 사이버 킬 체인과 유사한 단계를 사용하지만 선형적인 순서를 따르지 않습니다.

2017년 폴 폴스(Paul Pols)는 폭스-IT(Fox-IT) 및 라이덴 대학교(Leiden University)와 협력하여 MITRE ATT&CK 매트릭스와 사이버 킬 체인의 요소를 18단계 모델로 결합한 또 다른 프레임워크인 통합 킬 체인을 개발했습니다.

정찰

사이버 킬 체인은 사이버 공격자의 동기, 도구, 방법 및 기술, 의사 결정 방법, 탐지 회피 방법 등 사이버 공격자의 사고 방식을 이해하는 것을 목표로 일련의 사이버 공격 단계를 정의합니다. 사이버 킬 체인의 작동 방식을 이해하면 방어자가 초기 단계에서 사이버 공격을 차단하는 데 도움이 됩니다.

무기화 단계에서 악의적인 행위자는 정찰 중에 발견된 정보를 사용하여 대상 조직의 약점을 최대한 활용할 수 있도록 맬웨어를 생성하거나 수정합니다.

맬웨어를 빌드한 후 사이버 공격자는 공격을 시작하려고 시도합니다. 가장 일반적인 방법 중 하나는 피싱과 같은 소셜 엔지니어링 기술을 사용하여 직원을 속여 로그인 자격 증명을 넘겨주는 것입니다. 악의적인 행위자는 안전하지 않은 공용 무선 연결을 이용하거나 정찰 중에 발견된 소프트웨어 또는 하드웨어 취약성을 악용하여 침입할 수도 있습니다.

사이버 위협 행위자가 조직에 침투한 후에는 액세스 권한을 사용하여 시스템 간에 측면으로 이동합니다. 그들의 목표는 조직에 피해를 입히는 데 사용할 수 있는 중요한 데이터, 추가 취약성, 관리 계정 또는 전자 메일 서버를 찾는 것입니다.

설치 단계에서 악의적인 행위자가 맬웨어를 설치하여 더 많은 시스템과 계정을 제어할 수 있습니다.

사이버 공격자는 상당한 수의 시스템을 제어한 후 원격으로 운영할 수 있는 제어 센터를 만듭니다. 이 단계에서는 난독화를 사용하여 추적을 숨기고 탐지를 피합니다. 또한 서비스 거부 공격을 사용하여 보안 전문가가 진정한 목표에서 벗어나도록 합니다.

이 단계에서 사이버 공격자는 공급망 공격, 데이터 반출, 데이터 암호화 또는 데이터 파괴를 포함할 수 있는 주요 목표를 달성하기 위한 조치를 취합니다.

Lockhead Martin의 원래 사이버 킬 체인에는 7단계만 포함되어 있었지만 많은 사이버 보안 전문가들은 랜섬웨어를 사용하여 피해자로부터 지불금을 뜯어내거나 다크 웹에서 민감한 데이터를 판매하는 등 공격에서 수익을 창출하기 위해 악의적인 행위자가 수행하는 활동을 설명하기 위해 이를 8단계로 확장했습니다.

사이버 위협 행위자가 공격을 계획하고 수행하는 방법을 이해하면 사이버 보안 전문가가 조직 전체에서 취약성을 찾고 완화하는 데 도움이 됩니다. 또한 사이버 공격의 초기 단계에서 손상 지표를 식별하는 데 도움이 됩니다. 많은 조직이 사이버 킬 체인 모델을 사용하여 사전 예방적으로 보안 조치를 취하고 인시던트 응답을 안내합니다.

위협 인텔리전스

사이버 위협으로부터 조직을 보호하기 위한 가장 중요한 도구 중 하나는  위협 인텔리전스입니다. 우수한 위협 인텔리전스 솔루션은 조직 환경 전반의 데이터를 통합하고 보안 전문가가 사이버 공격을 조기에 탐지하는 데 도움이 되는 실행 가능한 인사이트를 제공합니다.

종종 악의적인 행위자가 암호를 추측하거나 도용하여 조직에 침입합니다. 내부로 들어간 후 중요한 데이터 및 시스템에 대한 액세스 권한을 얻기 위해 권한을 높이려고 시도합니다. ID 및 액세스 관리 솔루션은 권한이 없는 사용자가 액세스 권한을 얻었음을 나타낼 수 있는 비정상적인 활동을 감지하는 데 도움이 됩니다. 또한 2단계 인증과 같은 제어 및 보안 조치를 제공하여 누군가가 도난당한 자격 증명을 사용하여 로그인하는 것을 더 어렵게 만듭니다.

많은 조직이 SIEM(보안 정보 및 이벤트 관리) 솔루션을 통해 최신 사이버 위협에 미리 대비하고 있습니다. SIEM 솔루션은 조직 전체와 타사 소스의 데이터를 집계하여 보안 팀이 분류하고 해결해야 할 중요한 사이버 위협을 드러냅니다. 또한 많은 SIEM 솔루션은 알려진 특정 위협에 자동으로 응답하여 팀에서 조사해야 하는 인시던트 수를 줄입니다.

한 조직에는 수백 또는 수천 개의 엔드포인트가 있습니다. 기업이 비즈니스를 수행하는 데 사용하는 서버, 컴퓨터, 모바일 장치 및 사물 인터넷(IoT) 장치 간에 모두 최신 상태로 유지하는 것은 거의 불가능할 수 있습니다. 악의적인 행위자는 이를 알고 있기 때문에 많은 사이버 공격이 손상된 엔드포인트에서 시작됩니다. 엔드포인트 감지 및 응답 솔루션은 보안 팀이 위협을 모니터링하고 장치에서 보안 문제를 발견했을 때 신속하게 대응할 수 있도록 지원합니다.

XDR(확장된 감지 및 대응) 솔루션은 엔드포인트, ID, 클라우드 앱 및 이메일을 보호하는 단일 솔루션을 통해 엔드포인트 감지 및 응답을 한 단계 더 발전시킵니다.

모든 기업이 위협을 효과적으로 감지하고 대응할 수 있는 사내 리소스를 보유하고 있는 것은 아닙니다. 기존 보안 팀을 강화하기 위해 이러한 조직은 관리형 감지 및 대응을 제공하는 서비스 제공업체를 찾습니다. 이러한 서비스 제공업체는 조직의 환경을 모니터링하고 위협에 대응하는 책임을 집니다.

사이버 킬 체인을 이해하면 기업과 정부가 복잡한 다단계 사이버 위협에 선제적으로 대비하고 대응하는 데 도움이 될 수 있지만, 사이버 킬 체인에만 전적으로 의존하는 조직은 다른 유형의 사이버 공격에 취약해질 수 있습니다. 사이버 킬 체인에 대한 몇 가지 일반적인 비판은 다음과 같습니다.

• 맬웨어에 중점을 둡니다. 원래의 사이버 킬 체인 프레임워크는 맬웨어를 감지하고 대응하도록 설계되었으며 권한이 없는 사용자가 손상된 자격 증명으로 액세스하는 것과 같은 다른 유형의 공격에는 효과적이지 않습니다.

• 경계 보안에 이상적입니다. 엔드포인트 보호에 중점을 둔 사이버 킬 체인 모델은 보호할 단일 네트워크 경계가 있을 때 잘 작동했습니다. 이제 수많은 원격 근무자, 클라우드, 회사 자산에 액세스하는 장치의 수가 계속 증가함에 따라 모든 엔드포인트 취약성을 해결하는 것이 거의 불가능할 수 있습니다.

• 내부자 위협에 대비하지 않습니다. 이미 일부 시스템에 액세스할 수 있는 내부자는 사이버 킬 체인 모델로는 감지하기가 더 어렵습니다. 대신 조직은 사용자 활동의 변화를 모니터링하고 감지해야 합니다.

• 너무 선형적입니다. 많은 사이버 공격이 사이버 킬 체인에 명시된 8단계를 따르지만, 그렇지 않거나 여러 단계를 단일 행동으로 결합하는 공격도 많습니다. 각 단계에 너무 집중하는 조직은 이러한 사이버 위협을 놓칠 수 있습니다.

2011년 Lockhead Martin이 사이버 킬 체인을 처음 도입한 이후 기술 및 사이버 위협 환경에서 많은 변화가 있었습니다. 클라우드 컴퓨팅, 모바일 장치 및 IoT 장치는 사람들이 일하고 비즈니스가 운영되는 방식을 변화시켰습니다. 사이버 위협 행위자는 자동화 및 AI를 사용하여 사이버 공격을 가속화하고 개선하는 등 자체 혁신으로 이러한 새로운 기술에 대응했습니다. 사이버 킬 체인은 사이버 공격자의 사고방식과 목표를 고려한 사전 예방적 보안 전략을 개발하기 위한 훌륭한 시작점을 제공합니다. Microsoft Security는 XDR과 SIEM을 하나의 적응형 솔루션으로 통합하는 통합 보안 운영 플랫폼을 제공하여 조직이 사이버 킬 체인의 모든 단계를 보호하는 다계층 방어를 개발할 수 있도록 지원합니다. 또한 조직은 Microsoft Security Copilot과 같은 사이버 보안 솔루션용 AI에 투자하여 새로운 AI 기반 사이버 위협에 대비하고 있습니다.