Home > 전체기사
해킹팀 PPT에 등장한 능동적인 방어란 무엇인가?
  |  입력 : 2015-07-22 17:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

능동적인 방어와 해킹을 통한 방어는 전혀 다른 개념

능동적인 방어의 3단계 : 짜증유발, 범인색출, 공격개시


[보안뉴스 문가용] 액티브 디펜스. 능동적인 방어 혹은 해킹을 통한 방어. 이는 항상 논란의 대상이었다. 능동적인 방어라면 모르겠는데 해킹을 통한 방어 혹은 선제공격을 통한 방어, 방어를 위한 공격 따위의 개념들은 능동적인 방어를 잘 이해하지 못하는 데서 나오는 오해들이다. 최근 해킹팀이 자신들이 개발한 RCS 감시 툴을 각 정부에 팔 때 사용한 프레젠테이션 자료가 함께 유출되면서 등장한 표현도 이 ‘능동적인 방어’였는데, 이 역시 말 장난일 뿐, 참 의미의 능동적인 방어가 될 수는 없다.

 

▲ 이번에 유출된 해킹팀의 RCS 홍보 PPT 일부. 공격적인 보안을 강조하고 있다.


그렇다면 능동적인 방어란 무엇인가? 이는 세 가지로 분류할 수 있다. 짜증유발, 범인색출, 공격개시. 능동적인 방어의 신생 사자성어라 할 수 있는 짜증유발, 범인색출, 공격개시가 과연 무엇을 의미하는지 하나하나 살펴보자.


짜증유발

능동적인 방어에서 짜증유발이란 말 그대로 해커의 짜증을 유발하는 것을 말한다. 즉 해커 입장에서도 굉장히 많은 노력을 기울여야 겨우 뚫릴까 말까 한 단단한 시스템을 구축하라는 뜻이 된다. 하니팟, 가짜 DNS, 계속해서 반복 생성되는 웹 디렉토리 등을 사용하면 간편하게 짜증을 유발할 수 있다. 즉 해커가 실수할 여지를 높이라는 것이다. 그러나 보안 담당자 보기에도 복잡하고 짜증이 나서는 안 될뿐 아니라 오히려 이런 침입상황을 단번에 파악이 가능해야 한다.


예를 들면 이런 것이다. 해커가 당신의 외부 시스템에 있는 포트를 스캐닝 했는데 모든 포트가 전부 열려 있고 제각각으로 응답한다면? 이때 진짜 포트를 찾아내는 데 얼마나 시간이 걸릴까? 혹시 진짜를 찾아내야만 하는 해커의 입장을 고려해 이 중에 경보 장치를 심어놓는다면? 포트스푸프(Portspoof)라는 장비가 바로 이런 역할을 한다.


범인색출

말 그대로 범인의 가면을 벗겨내는 일을 말한다. 워드(Word)의 웹 버그, 애플릿, 액티브엑스 컨트롤, 매크로 등을 통해 IP 주소와 물리주소를 알아내는 게 가능하다. 사건 대응팀에서 이런 장치를 미리 가지고 있다면 사건 수사가 굉장히 빨리 마무리 될 수 있다. 또한 추가 사고를 미리 방지하는 데에도 도움이 된다.


공격개시

능동적인 방어를 선제공격을 통한 방어나 방어를 위한 해킹으로 오해하는 지점이 바로 여기다. 실제 이 단계는 멀웨어가 심겨진 가짜 웹 사이트를 만들거나 해커의 시스템에 침입하기 위한 원격 제어 매크로를 심는 작업을 말한다. 즉 상상하는 그대로 혹은 오해하는 그대로 해커를 해킹하는 과정인 것. 그렇다면 ‘오해’가 아니지 않은가? 여기에는 조건이 있다. 공식 영장과 법 집행 기관, 수사기관의 동반이 반드시 필요하다.


여기까지 읽고, 능동적인 방어라고 해서 뭔가 획기적일 줄 알았더니 더 복잡하다며 낙담하는 사람이 있을 것도 같다. 그러나 안심하라. 능동적인 방어를 쉽게 해주는 툴킷이 존재한다. 바로 액티브 디펜스 하빈저 디스트리뷰션(Active Defense Harbinger Distribution)이다. 사용설명서도 아주 친절하게 잘 만들어져 있다.


노파심에 강조하지만, 절대로 복수를 위한 앙갚음 해킹은 하면 안 된다. 이는 불법이다. 영장이 반드시 있어야 하며, 그렇다 해도 윤리적으로 반드시 옳다고 할 수도 없다. 한 가지 더 생각해야 할 것은 합법적인 절차로 능동적인 방어를 진행한다고 해도 해커의 심기를 건드릴 가능성까지 지워지는 건 아니라는 것이다. 애초에 합법적인 절차를 신경도 안 쓰는 실력자가 복수심에 당신의 네트워크를 훼손시킬 수도 있다. 그러나 개인적으로 이런 식의 논리에 찬성하지는 않는다. 이런 것까지 생각하려면 아예 능동적인 방어를 포기하라는 결론에 다다르기 때문이다. 하지만 우려사항이라는 점은 분명하다.


기초체력과 기본을 다지는 것이 먼저라는 주장도 있다. 타당하긴 하지만 완벽하지 않은 대처법이라고 생각한다. 능동적인 방어는 기본부터 다잡자는 불완전한 방어체계를 보완해줄 수 있는 방법이다. 즉, 기초체력을 다지는 것과 능동적인 방어가 상반될 필요가 없다는 뜻이다. 사실 능동적인 방어는 복잡한 신기술이나 이 분야에 새롭게 들어온 젊은 사고방식이 아니다. 오히려 정보보안이라는 업을 더욱 재미있게 만들어줄 요소라고 본다. 이전보다 조금 더 움직이고 조금 더 뛰어볼 수 있게 되었다.


글 : 존 스트랜드(John Strand)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)