보안 전문가 필독! ATT&CK Matrix를 통한 Discovery 기법 완전 분석 - 1부
서론: Discovery 기법의 심층 분석
사이버 보안 전략을 수립하는 데 있어 Discovery 기법은 핵심적인 역할을 수행합니다. 이러한 기법은 공격자가 타겟 시스템 또는 네트워크의 구조와 취약점을 파악하는 데 사용되며, 방어자는 이를 통해 잠재적인 위협을 식별하고 사전에 대응할 수 있습니다. 사이버 보안의 세계에서 정보는 권력이며, Discovery 기법은 바로 그 정보를 획득하는 수단입니다. 1부에서는 Discovery 기법의 다양한 양상과 그 중요성을 분석하며, 공격자와 방어자 양측의 관점에서 이 기법들이 어떻게 활용될 수 있는지 탐구합니다. 이러한 심층적인 이해는 보안 전문가들이 보다 효과적인 방어 전략을 수립하는 데 필수적인 기반이 될 것입니다.
Discovery 기술
Account Discovery
소개: Account Discovery는 공격자가 시스템 내의 사용자 계정, 관리자 권한 계정 및 기타 계정 정보를 식별하는 과정입니다. 이 정보는 추가 공격 계획을 세우는 데 사용됩니다.
대응법: 정기적인 계정 검토와 불필요한 계정 제거, 강력한 접근 제어 및 권한 관리 정책을 구현합니다. 또한, 이상 행동 감지 시스템을 사용하여 비정상적인 계정 활동을 모니터링합니다.
Application Window Discovery
소개: 이 기법은 공격자가 시스템 상에서 실행 중인 애플리케이션 창을 탐색하여, 사용자가 사용하는 소프트웨어 정보를 수집하는 과정입니다.
대응법: 애플리케이션 사용에 대한 감사 로그를 유지하고, 민감한 정보를 처리하는 애플리케이션에 대한 접근을 제한합니다. 또한, 사용자 교육을 통해 보안 의식을 높입니다.
Browser Information Discovery
소개: 브라우저 정보 발견은 공격자가 사용자의 브라우저 유형, 플러그인, 버전 및 기타 설정 정보를 수집하는 기법입니다. 이 정보는 타겟팅 공격을 위해 사용될 수 있습니다.
대응법: 최신 보안 패치와 업데이트를 적용하여 브라우저를 최신 상태로 유지합니다. 또한, 브라우저 확장 프로그램의 사용을 최소화하고, 필요한 경우에만 설치합니다.
Cloud Infrastructure Discovery
소개: 이 기법은 공격자가 클라우드 기반 인프라의 구성 요소와 서비스를 식별하는 과정입니다. 이를 통해 공격 가능한 취약점을 찾을 수 있습니다.
대응법: 클라우드 환경의 정기적인 보안 검토와 감사를 수행합니다. IAM(Identity and Access Management) 정책을 엄격하게 적용하여 접근을 제어합니다.
Cloud Service Dashboard
소개: 공격자가 클라우드 서비스 대시보드에 접근하여 구성, 서비스, 관리 계정 정보 등을 탐색하는 기법입니다.
대응법: 대시보드 접근에 대한 다중 인증을 활성화하고, 접근 권한을 최소화합니다. 또한, 대시보드 활동에 대한 로깅과 모니터링을 강화합니다.
Cloud Service Discovery
소개: 클라우드 서비스 발견은 공격자가 클라우드 환경 내에서 실행 중인 서비스와 애플리케이션 정보를 수집하는 기법입니다.
대응법: 클라우드 서비스의 인벤토리를 정기적으로 관리하고, 불필요한 서비스는 비활성화합니다. 클라우드 서비스에 대한 접근 제어와 감사 로깅을 강화합니다.
Cloud Storage Object Discovery
소개: 이 기법은 공격자가 클라우드 스토리지 내의 객체와 데이터를 탐색하여 민감한 정보를 찾는 과정입니다.
대응법: 스토리지 객체에 대한 접근 제어 목록(ACL)과 정책을 엄격하게 관리합니다. 민감한 데이터는 암호화하여 저장합니다.
Container and Resource Discovery
소개: 컨테이너 및 리소스 발견은 공격자가 컨테이너화된 환경 내에서 실행 중인 컨테이너와 사용 가능한 리소스를 식별하는 기법입니다.
대응법: 컨테이너 관리 플랫폼의 보안 설정을 최적화하고, 컨테이너에 대한 접근 제어를 강화합니다. 컨테이너 활동을 정기적으로 감사합니다.
Debugger Evasion
소개: 디버거 회피는 공격자가 맬웨어나 악성 코드가 분석 도구나 디버거에서 탐지되지 않도록 하는 기법입니다.
대응법: 안티 디버깅 기술에 대한 이해를 바탕으로, 보안 소프트웨어를 최신 상태로 유지하고, 의심스러운 행위에 대한 모니터링을 강화합니다.
Device Driver Discovery
소개: 디바이스 드라이버 발견은 공격자가 시스템 내의 설치된 드라이버와 그 취약점을 식별하는 과정입니다.
대응법: 드라이버와 운영 체제를 최신 상태로 업데이트하고, 불필요한 드라이버는 제거합니다. 드라이버에 대한 보안 감사를 정기적으로 수행합니다.
Domain Trust Discovery
소개: 도메인 신뢰 발견은 공격자가 네트워크 내의 도메인 간 신뢰 관계를 파악하는 기법입니다. 이를 통해 더 넓은 네트워크로의 이동 경로를 찾을 수 있습니다.
대응법: 도메인 간 신뢰 설정을 최소화하고, 신뢰 관계에 대한 정기적인 검토와 감사를 수행합니다. 불필요한 신뢰 관계는 제거합니다.
File and Directory Discovery
소개: 파일 및 디렉토리 발견은 공격자가 시스템 내의 중요 파일과 디렉토리 위치를 식별하는 과정입니다.
대응법: 중요 파일과 디렉토리에 대한 접근 제어를 강화하고, 민감한 데이터를 암호화합니다. 파일 시스템의 변경을 모니터링하는 보안 도구를 사용합니다.
Group Policy Discovery
소개: 그룹 정책 발견은 공격자가 조직의 그룹 정책 객체(GPO) 설정을 파악하는 기법입니다. 이 정보를 통해 보안 정책의 취약점을 찾을 수 있습니다.
대응법: 그룹 정책의 설정을 정기적으로 검토하고 강화합니다. 불필요한 정책은 제거하고, GPO 변경에 대한 감사 로그를 활성화합니다.
Log Enumeration
소개: 로그 열거는 공격자가 시스템 또는 애플리케이션의 로그 파일을 탐색하여 활동 내역과 취약점을 식별하는 기법입니다.
대응법: 로그 파일의 접근을 엄격히 제어하고, 로그 데이터를 안전하게 저장합니다. 중요 로그 파일은 정기적으로 검토하고 분석합니다.
Network Service Discovery
소개: 네트워크 서비스 발견은 공격자가 네트워크 상의 서비스와 프로토콜을 식별하는 과정입니다. 이를 통해 공격 가능한 서비스를 찾을 수 있습니다.
대응법: 네트워크 서비스에 대한 정기적인 보안 검토와 취약점 평가를 수행합니다. 불필요한 서비스는 비활성화하고, 필요한 서비스에 대한 접근 제어와 암호화를 강화합니다.
결론: Discovery 기법에 대한 전략적 대응
Discovery 기법에 대한 깊은 이해는 사이버 보안 전문가가 자신의 조직을 보호하기 위해 반드시 갖추어야 할 지식입니다. 1부에서 살펴본 다양한 Discovery 기법들을 통해, 공격자가 정보를 수집하는 방법과 그들이 찾고자 하는 데이터의 종류를 파악할 수 있습니다. 이러한 지식은 조직의 보안 체계를 강화하고, 잠재적인 위협에 사전에 대비할 수 있도록 도와줍니다. 방어 전략을 수립함에 있어서는, Discovery 과정에서 얻은 정보를 기반으로 취약점을 최소화하고, 필요한 보안 조치를 적용하는 것이 중요합니다. 또한, 정기적인 보안 교육과 훈련을 통해 직원들의 보안 의식을 높이는 것도 중요한 전략 중 하나입니다.
