본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

보안

AI 보안 요원이 랜섬웨어 공격 잡아낸다(下)

2020.11.10

무차별 감염을 시도하는 랜섬웨어(Ransomware) 등에 대비해 악성코드의 공통 패턴과 공격자의 악성 행위를 학습해, 여러 가지 종류의 많은 로그 데이터로부터 정확하고 신속하게 악성 행위를 탐지할 수 있는 인공지능(AI) 기술이 주목받고 있으며, 보안 모니터링 업무에도 활용되는 사례가 증가하고 있습니다.

지난 원고에 이어 이번에는 내부 확산 공격을 ‘보안 솔루션에서의 기계학습 활용, 성공적인 기계학습 도입을 위한 고려 사항’을 통해 알아보겠습니다.

● AI 보안 요원이 랜섬웨어 공격 잡아낸다(上)

보안 솔루션에서의 기계학습 활용

최근 많은 빅데이터 기반의 보안 분석 솔루션에서는 공격 단계별로 악성 행위를 탐지하기 위해 AI 기반의 분석 기능을 탑재하고 있습니다.

이와 같은 솔루션은 내부 네트워크 내에 센서 장비를 통해 네트워크 플로우를 수집하고, 공격과 관련된 메타 데이터를 추출해 조직 내 내부망에서 발생할 수 있는 공격 행위(C&C 통신, 내부 정찰, 데이터 유출 등)들을 자동 분석해 줍니다. 대량의 로그에서 효과적인 분석을 위해서 내부 Host 간의 상관관계나 불법 행위에 대한 점수를 부여해 위협 정도와 정확도를 바탕으로 상관관계를 가시화해 주는 방식으로 탐지 기능을 제공하고 있습니다.

l 위협도와 정확도 기반의 악성 행위 Host 탐지 사례

추가적인 탐지 기법으로는 Pass-the-Hash 공격과 더불어 많이 사용되는 비정상적인 Kerberos 접속 행위(Pass-the-ticket)와 의심스러운 관리자 접속 행위를 기계학습을 통해 탐지합니다. 탐지를 위해서 Kerberos 접속 횟수의 통계치와 접속 유형별 공격 유사도, 비정상 접속 서버 IP, 비정상 접수 횟수 등을 바탕으로 위협 정도를 계산하고 있습니다.

공격에 주로 사용되는 RDP(원격 접속), SSH(secure shell) 포트에 대한 관리자 접속 세션을 학습 데이터로 사용해 평상시와 다른 이례적인 접속 행위가 발견될 경우, 경보를 알려주는 기능도 제공하고 있습니다.

사용자 행위 분석(User and Entity Behavior Analytics, UEBA)에서는 공격 시 평소와 다른 계정(상위 관리자 계정 등)이나 업무와 상관없는 시스템에 접근한다는 점에 착안해 개별 로그를 통합해 Timeline 상에서 분석함으로써 공격 행위를 판별하고 있습니다.

이를 위해 사용자의 행위와 관련된 여러 데이터를 통합하고, 분석하는데 기계학습을 적용하고 있습니다. 예를 들면, 보안 분석가 입장에서 HR 관리자인 AAA 계정이 포함된 접속 로그와 DB_admin 계정과 연관된 접속 로그를 각각 분석할 경우, 정상적인 것으로 판별할 수 있습니다.

그러나, 두 로그를 IP Address와 인증 정보, Device 정보를 통합해 분석하게 된다면, 동일한 호스트에서 AAA 계정과 DB_Admin 계정이 함께 사용된 것을 확인한다면 확실히 비정상적인 행위라는 것으로 판단할 수 있을 것입니다. 이처럼 정상 로그 중에서 숨겨져 있는 비정상 행위를 효과적으로 탐지하는데 기계학습이 효과적으로 적용될 수 있다고 생각합니다.

성공적인 기계학습 도입을 위한 고려 사항

최근 AI 기술은 다양한 산업 분야에서 생산성과 업무 혁신을 가져올 혁신 기술로 평가받고 있으며, 보안 모니터링 분야에서도 많은 실험과 테스트가 진행되고 있습니다. 특히, 악성코드 분류나 오탐지 분석, 공격 행위 분석과 같이 반복적이면서 많은 시간이 소요되는 업무가 주된 적용 대상이 되고 있습니다.

LG CNS에서도 웹 공격 분석 모델과 악성 트래픽 탐지 모델을 개발해 허용된 웹 공격 이벤트를 자동 재분석하고, 내부 네트워크에서의 이상 접속 행위를 자동 탐지하는 시스템을 개발했습니다. 딥러닝(Deep Learning)을 이용해 웹 방화벽 로그를 자동 분석하고, 시계열 분석을 활용해 방화벽 접속 로그에서 비정상 통신 패턴을 찾아내는 모델을 개발했습니다.

l LG CNS 지능형 보안 관제 화면

이러한 경험을 바탕으로 내부 확산 공격 탐지를 위해 기계학습을 적용하기 전 고려해야 할 사항은 다음과 같이 정리할 수 있습니다.

첫째, 조직 자체의 다양한 내부 학습 데이터를 마련하는 것이 무엇보다 중요합니다. 다른 AI 개발 분야에서도 데이터의 중요성은 매번 강조되듯이 보안 분석 분야에서는 양질의 학습 데이터가 모델 성능의 가장 중요한 요소입니다. 이를 위해 평상시 업무 프로세스에서 양질의 데이터를 확보할 수 있는 체계가 필요합니다.

둘째, AI 기술이 지속해서 적용되기 위해서는 지속적인 모델 유지 관리를 위한 투자가 필요합니다. 내부 확산 공격을 위한 공격 기법도 시간이 지날수록 진화하기 때문에 공격 패턴의 변화에 따라 기계학습의 성능을 유지하기 위한 모델의 개발과 실험이 계속 병행되어야 합니다. 이러한 이유로 보안 조직 내 AI 전문 인력의 육성과 예산 등의 지속적인 투자가 필요합니다.

마지막으로 더욱 복잡하고 다양하게 해킹 공격이 변화됨에 따라 AI가 보안 솔루션과 서비스에 핵심 기술로 부각될 것으로 예상되며, 앞서 설명한 내부 확산 공격 사례와 같이 정상 행위와 비정상 행위의 구분이 모호한 분석 업무에 AI 기술에 대한 도입 요구가 많아질 것으로 예상됩니다.

글 l LG CNS 보안서비스팀

[참고 문헌]

  • Lateral Movement: What It Is and How to Block It (https://malware.news/t/lateral-movement-what-it-is-and-how-to-block-it/30648)
  • Lateral movement: Make it your opportunity for detection (https://blog.f-secure.com/lateral-movement-make-opportunity-detection/)
  • Inside Microsoft Threat Protection: Attack modeling for finding and stopping lateral movement (https://www.microsoft.com/security/blog/2020/06/10/the-science-behind-microsoft-threat-protection-attack-modeling-for-finding-and-stopping-evasive-ransomware/)
  • Finding Cyber Threats with ATT&CK™-Based Analytics (https://www.mitre.org/sites/default/ files/publications/16-3713-finding-cyber-threats%20with%20att%26ck-based-analytics.pdf)
  • Neural Network for Detecting APT Lateral Movement (https://pacsec.jp/psj17/PSJ2017_Shusei_ tomonaga_PacSec_20171026.pdf)
  • JPCERT Coordination Center’s Github (https://github.com/JPCERTCC/DetectLM)
  • How to Augment Security Operations Centers with Artificial Intelligence (https://content. vectra.ai/rs/748-MCE-447/images/WhitePaper_AugmentSOCwithAI.pdf)
  • Detecting Lateral Movement and Credential Switching: Human vs. Machine (https://www. exabeam.com/ueba/detecting-lateral-movement-and-credential-switching-human-vs-machine/)

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요