[보안뉴스]SK쉴더스 놓아둔 꿀단지에 낚인 해커...다크웹에 가짜 데이터 올려

내용 요약

SK쉴더스는 Blackshrantac 해커 그룹이 24GB의 데이터를 탈취했다는 주장에 대응해, 실제로는 데이터 헌터를 유인하기 위해 고안된 함정임을 밝혔습니다.
해커들은 다크웹에 가짜 데이터를 공개했으며, SK쉴더스는 이를 통해 공격 패턴과 도구를 분석하려는 deception 전략을 수행했습니다.

핵심 포인트

• Deception Technology를 이용해 공격자를 유인하고, 실제 데이터가 아닌 가짜 정보를 제공했습니다.
• 다크웹에서의 정보 공개는 공격자의 공격 방식을 사전 분석할 수 있는 threat intelligence 수단이 됩니다.
• 24GB 데이터 가짜화와 트래픽 모니터링을 통해 incident response 프로세스를 검증하고 보완했습니다.

기술 세부 내용

1️⃣ Dark Web

• 정의: 일반 검색 엔진이 색인하지 않는, 암호화된 네트워크로 구성된 인터넷 영역.
• 특징
  • Tor, I2P와 같은 익명성 프로토콜 사용.
  • 사용자 인증 없이 민감 정보가 거래되는 경우가 많음.
• 활용 단계
  1. 접속 준비: Tor 브라우저 설치 → Tor 네트워크 연결.
  2. 익명성 유지: IP 스푸핑, VPN 사용.
  3. 데이터 탐색: .onion 도메인 검색 → 악성 파일, 데이터베이스 등 확보.
• 보안 의미
  • 공격자는 Dark Web을 통해 취약점, 피싱 키트, 데이터 무단 유출 등 자원을 확보합니다.
  • 보안팀은 Dark Web 모니터링을 통해 pre‑incident 정보를 수집하고, 조직 자산이 노출되는지를 사전 감지합니다.

2️⃣ Deception Technology (Honeypot, Honeynet)

• 정의: 실제 운영 환경처럼 보이지만 실제로는 공격을 유도하고 기록하기 위해 고안된 가짜 자원.
• 구성 요소
  • Honeypot: 하나의 가짜 호스트(데이터베이스, 웹 서버 등).
  • Honeynet: 여러 호스트가 연결된 가짜 네트워크.
• 운용 단계
  1. 시나리오 설계: 공격자가 자주 이용하는 취약점(예: RDP, SMB) 재현.
  2. 배포: 실제 인프라와 동일한 IP, 포트, 서비스 제공.
  3. 감시: IDS/IPS, 시큐리티 정보 및 이벤트 관리(SIEM)와 연동.
  4. 로그 수집: 공격 시나리오(로그인 시도, 명령 실행 등) 기록.
  5. 분석: 패턴 인식, 악성코드 샘플 수집 → Threat Intelligence 강화.
• 보안 효과
  • 공격자의 TTP(전술, 기법, 절차)를 실시간으로 캡처합니다.
  • 지표(Indicators of Attack)를 업데이트해 방어 체계를 향상시킵니다.
  • 실제 자원에 피해를 주지 않으면서 공격 흐름을 탐지합니다.

3️⃣ Data Exfiltration & Forensic Analysis

• 정의: 민감 데이터를 무단으로 빼내는 행위와, 그 증거를 추적, 수집, 분석하는 과업.
• 추적 단계
  1. 트래픽 모니터링: 방화벽 로그, IDS/IPS 알림, NetFlow 데이터 수집.
  2. 패킷 스니핑: Wireshark, Zeek 등을 활용해 실제 데이터 흐름 캡처.
  3. 암호화 해독: TLS/SSL 세션 캡처 → 중간자(Man‑in‑the‑Middle) 공격 시도.
  4. 메타데이터 분석: 파일 해시, 크기, 생성/수정 시각 검증.
  5. 증거 저장: Write‑Once Read‑Many (WORM) 스토리지에 저장, 변조 방지.
• 포렌식 기법
  • 디스크 이미지(FTK, EnCase) 생성 → 비정상 파일 탐지.
  • 메모리 덤프(Volatility) 분석 → 실행 중인 악성 프로세스 추적.
  • 로그 연계(SIEM) → 사용자 행동, 네트워크 이벤트 연계.
• 보안 의미
  • 24GB 가짜 데이터가 실제 유출이 아니라는 것을 입증하기 위해, 조직은 실제 전송 패턴과 데이터 무결성을 비교합니다.
  • 포렌식 결과를 토대로 공격 루트(내부, 외부)를 추적하고, 패치·제재를 계획합니다.

4️⃣ Incident Response (IR) 프로세스

• 정의: 보안 사고 발생 시 조직이 체계적으로 대응하는 절차.
• IR 단계
  1. 인식(Detection)
     • SIEM·EDR 로그 모니터링 → 이상 징후 탐지.
  2. 보호(Containment)
     • 해당 호스트를 네트워크에서 격리.
     • 데이터 헌터(honeypot)와 실제 시스템 구분.
  3. 절제(Eradication)
     • 악성코드, 백도어 제거.
     • 패치·구성 변경 실행.
  4. 복구(Recovery)
     • 정상 서비스 복구, 로그 정리.
     • 재검증(vulnerability scanning) 수행.
  5. 사후( Lessons Learned)
     • 보고서 작성, 조직 교육.
     • Threat Intelligence 피드백 루프 강화.
• 보안 효과
  • 가짜 데이터 헌터로 인한 혼란을 최소화하면서 실제 침해 여부를 신속 판단.
  • 재발 방지에 필요한 정책·프로세스 개선.

5️⃣ Threat Intelligence & Attribution

• 정의: 공격자, 도구, 목표 등을 식별·분석해 조직 방어에 활용하는 정보.
• 수집 단계
  1. 외부 피드(MISP, AlienVault OTX) 활용.
  2. 내부 로그(SIEM, Threat Hunting) 분석.
  3. 공공 데이터베이스(CVE, NVD) 매핑.
• 분석 단계
  • TTP 매핑: ATT&CK 프레임워크 활용.
  • IP/Domain 지표(Indicator of Compromise, IOC) 추적.
  • Attribution: Blackshrantac의 공격 패턴과 비교.
• 활용 단계
  1. 전략적 방어: 보안 정책, 패치 스케줄링.
  2. 전술적 대응: 특정 IOC 차단(ACL, IDS 시그니처).
  3. 운영적 개선: 보안 인식 교육, 훈련 프로그램 업데이트.
• 보안 효과
  • 가짜 데이터가 실제 취약점을 노리기 위한 가시성를 제공하므로, 조직은 공격자 도구 세트와 전술을 예측할 수 있음.
  • 공동 방어(공유 IOC)로 다른 조직과 협력해 전 세계적으로 대응 속도를 높임.

---

Tip:
• Deception과 Dark Web 모니터링은 서로 보완적입니다.
• 가짜 데이터 제공 시, hash·checksum을 공개해 진짜/가짜를 구분하도록 하여 사기 방지.
• IR 프로세스를 자동화하면, 실제 사고 시 반응 시간을 크게 단축할 수 있습니다.

---

 

출처: http://www.boannews.com/media/view.asp?idx=139812&kind=&sub_kind=