네트워크 행동분석으로 김수키(kimsuki)를 방어할 수 있을까?

 

안녕하세요.

인스피언입니다.

 

네트워크 행동 분석(Network Behavior Analysis, NBA)은 해킹을 막을 수 있는 고급 네트워크 운용 기술입니다.

네트워크 환경에서 보안 위협을 탐지하고 대응하는 핵심 요소이며 이 기술은 공공기관과 같이 민감한 정보와 시스템을 보호해야 하는 기관에게 큰 가치를 제공하며 정보보안 전문가들에게는 매우 기본적인 기술이라고 할 수 있습니다.

 

오늘은 네트워크 행동분석으로 해킹을 어떻게 방어하는지에 대해 알아보도록 하겠습니다.

 

 

 

네트워크 행동 분석은 어떻게 현업에서 활용되나?

 

NBA는 고급 네트워크 보안에 활용되며 민감한 정보 및 시스템을 보호하고 공공기관의 사이버 보안 역량을 강화하는 데 필수적인 기술입니다. 이를 통해 보안 전문가들은 네트워크 환경에서의 잠재적인 위협을 감지하고 조치를 취하는 데 큰 도움을 받을 수 있습니다.

 

다만 실제적인 정보보안 툴이 아닌 전문가의 분석능력에 따라 활용되는 통합로그 관리 솔루션의 중추기능으로 존재합니다.

 

 

네트워크 행동분석의 5가지 요소

 

1. 위협 탐지 및 분석

NBA는 네트워크 트래픽 및 사용자 행동의 상세한 분석을 통해 알려진 및 알려지지 않은 보안 위협을 식별합니다.

악의적인 소프트웨어, 악성 코드, 정보 유출 시도, 중요한 자원의 불법 액세스 등 다양한 형태로 나타날 수 있습니다.

 

2. 데이터 모니터링

실시간으로 네트워크 데이터를 모니터링하며, 이상 징후, 비정상적인 트래픽 패턴, 비인가된 시스템 액세스를 검출합니다.

네트워크 환경에서 발생하는 위험을 조기에 식별하고 대응할 수 있는 기회를 제공합니다.

 

3. 행동 프로파일링

정상적인 네트워크 활동을 학습하고 사용자 및 장치의 행동을 프로파일링합니다.

이를 통해 이상 징후를 탐지하고 정상적인 활동과의 비교를 통해 위험한 행동을 식별합니다.

 

4. 실시간 경보 및 대응

위험한 행동 또는 이상 징후를 감지하면 실시간 경보를 생성하여 보안 관리자에게 통지합니다.

이를 통해 신속한 대응과 조치를 취할 수 있으며, 보안 이벤트의 심각성을 파악하는 데 도움이 됩니다.

 

5. 위험 관리 및 감소

조직이 네트워크 보안 위험을 식별하고 관리할 수 있도록 돕는 핵심 요소입니다.

이를 통해 공공기관은 보안 위협에 대한 효과적인 대응 및 예방책을 마련하며 민감한 정보 및 시스템을 보호합니다.

 

 

 

김수키는 어떻게 선관위의 시스템을 돌파했나?

 

 

 

김수키는 북한 정찰총국 소속 해커 그룹인 APT43이 사용하는 해킹 툴입니다.

주로 스피어피싱, 크리덴셜 공격, 공급망 공격 등의 수법을 활용하여 핵 개발 관련 정보 수집을 주요 임무로 하고 있으나

여러가지 악성 기능을 탑재하고 있으므로 광범위하게 사용하는 것으로 밝혀져 있습니다.

 

북한은 2017년부터 김수키를 사용된 것으로 알려졌으며, 한국, 미국, 유럽 등 전 세계를 대상으로 공격을 수행해 왔습니다.

대표적인 피해 사례로는 2021년 한국의 선거관리위원회 직원 PC 해킹, 2022년 미국의 국방부 및 국무부 직원 PC 해킹 등이 있습니다.

 

김수키는 북한의 해킹 역량을 보여주는 대표적인 사례로, 앞으로도 지속적인 피해가 우려되고 있습니다.

하여, 여러 공공기관에서는 이미 비즈인사이더 플러스와 같은 통합로그 솔루션 및 여러 정보보안 전문가들과의 협업을 통해 적극적인 정보보안 시스템을 갖추고 있습니다.

 

 

 

 

김수키의 대표적인 공격수법

 

1. 스피어피싱 공격

 

• 타겟팅: 스피어 피싱은 특정 개인, 기업, 또는 조직을 대상으로 합니다. 해커는 대상을 정하고 그들에게 맞춤형 피싱 메시지를 보냅니다.
• 사회 공학: 해커는 대상을 속이기 위해 신뢰할 수 있는 척하거나 긴급한 상황을 조장하는 메시지를 사용합니다. 이메일 제목, 내용 및 보내는 사람 주소 등을 조작하여 공격을 위해 희생자를 꼬드겨놓습니다.
• URL 조작: 피싱 웹사이트에 대한 링크를 제공하거나 첨부 파일에 악성 코드를 숨기는 등의 방법으로 사용자를 속입니다.
• 높은 성공률: 스피어 피싱은 다른 피싱 공격보다 희생자가 속기기 쉬운 경향이 있으며 성공률이 높은 편입니다.

 

 

2. 크리덴셜 공격

 

• 사용자ID와 패스워드 추측: 대상의 계정에 대해 가능한 모든 사용자ID와 패스워드 조합을 시도합니다. 이는 무차별 대상에 대한 브루트 포스 공격과 관련이 있습니다. 컴퓨터의 비밀번호가 어려울수록 좋고 '12345'와 같은 비밀번호를 사용시 100%에 가까운 확률로 탈취에 성공합니다.
• 무차별 대상 공격: 특정 대상을 선택하지 않고, 대량의 로그인 시도를 수행합니다. 다수의 계정에 대한 브루트 포스 또는 딕셔너리 공격으로 이뤄질 수 있습니다. 선관위가 4만여건에 달하는 공격을 받았다는 것은 크리덴셜 공격과 연관이 있으며 네트워크 행동분석을 통해 차단이 가능합니다.
• 사회 공학 및 피싱: 사용자를 속여 로그인 정보를 요구하는 피싱 이메일, 피싱 웹사이트 또는 소셜 엔지니어링 기술을 사용하여 로그인 정보를 획득하려고 시도합니다.
• 레인보우 테이블 공격: 레인보우 테이블은 암호화된 해시 함수의 역함수를 사용하여 암호화된 패스워드를 교체하는 데 사용될 수 있는 사전에 계산된 해시 값의 테이블이며 레인보우 테이블을 사용하여 해시된 패스워드를 복호화하려고 합니다.

 

 

 

3. 공급망 공격

 

공급망을 통해 악성코드를 유포하는 수법으로, 피해자가 악성코드가 포함된 소프트웨어를 설치하도록 유도합니다.

공급망 공격은 매우 심각하며, 방어하기 어려운 공격 중 하나입니다. 이러한 공격을 예방하기 위해서는 공급망 보안 강화, 제품 검증, 업체 평가, 로깅 및 모니터링, 보안 업데이트 및 레퍼런스 지문을 통한 인증과 같은 다양한 보안 조치가 필요합니다.

 

 

네트워크 행동분석과 통합로그 솔루션

 

김수키와 같은 해킹 공격을 예방하기 위해서는 강력한 보안 조치를 취하는 것이 중요합니다.

비즈인사이더 플러스가 제공하는 로그 데이터를 바탕으로 실행하는 네트워크 행동 분석은 네트워크 보안을 향상시키는 데 중요한 역할을 합니다.

 

김수키는 시스템에 침투하기 위해 특정 패턴의 네트워크 트래픽을 사용할 수 밖에 없습니다.

비즈인사이더 플러스는 김수키의 패턴을 식별하여 공격을 탐지할 수 있으며 관련된 정보보안 툴과 정책과 함께 시너지를 발휘해 신속한 방어가 가능합니다.

 

 

김수키를 방어하기 위한 최소한의 전략

 

1. 이상징후 탐지

김수키는 시스템에 침투하기 위해 특정 IP 주소나 도메인에 접속하는 경우가 많습니다.

NBA는 이러한 접속을 탐지하여 공격을 탐지할 수 있습니다. NBA는 네트워크 트래픽을 실시간으로 모니터링하여 공격이 발생하는 즉시 탐지하므로 정보 탈취를 신속하게 차단할 수 있습니다.

 

 

2. 이상 징후 자동 차단

비즈인사이더 플러스를 활용하면 이상 징후를 자동으로 탐지할 수 있습니다.

김수키를 방어하는 효과적인 방법 중 하나이지만 NBA를 우회할 수 있는 방법을 지속적으로 개발하고 있기 때문에 NBA를 기본으로 하되, 다른 보안 조치와 함께 사용하는 것이 좋습니다.

 

 

3. 다양한 보안 기술과 전략 사용

완벽한 정보보안을 위해 다양한 보안 기술과 전략을 종합해야 합니다.

네트워크 행동 분석을 포함하여 방화벽, 침입 탐지 및 방지 시스템 (IDS/IPS), 엔드포인트 보안, 보안 정보 및 이벤트 관리 (SIEM), 데이터 암호화, 액세스 제어 및 신원 확인 등 다양한 보안 기술의 효과적인 통합을 필요로 합니다.

 

 

 

네트워크 행동 분석은 강력한 정보보안 도구 중 하나이지만, 완벽한 정보보안을 달성하기 위해서는 다른 다양한 요소와 전략과의 통합이 필요합니다. 정보보안은 지속적이고 종합적인 노력을 요구하며, 공공기관은 최상의 보안 전략과 리스크 관리 접근 방식을 구현해야 합니다.

 

 

 

---