시그니처 그 이상: SecOps 최신화
AI 행동 감지 기능을 통해 진화하는 공격자들보다 한발 앞서 나갑니다
기존의 사이버 보안 모델만으로는 오늘날 조직에서 직면하는 방대한 양, 다양한 유형, 빠른 속도의 위협에 대응하기 어렵습니다. 기존의 레거시 반응형 모델에 의존하는 보안팀은 공격을 시작하고 감지를 회피하기 위해 점점 더 광범위하게 사용 가능하고 고도화된 도구와 AI 역량을 사용하는 공격자들을 따라잡기 위해 계속 고군분투할 것입니다.
현대 보안 운영팀은 무차별적인 공격의 증가하는 양을 신속하게 감지하고 대응할 수 있는 새로운 사이버 보안 모�델 내에서 운영되어야 하며, 동시에 명확하고 잘 연구된 목표를 가진 조직적인 위협 행위자가 수행하는 정교하고 표적화된 공격에 신속하게 대응하고 방어할 수 있는 능력을 갖추어야 합니다.
이제 조직에서는 행동 이상 분석 및 감지 기능으로 기존의 SecOps 프로세스와 도구를 보완할 수 있습니다. 이전에는 구현하기에 너무 많은 비용, 시간, 노동력이 필요했지만요. 이제는 상황 인식 기술과 함께 행동 분석을 통해 기존의 정상 패턴에서 벗어나는 활동을 식별하여 그 위협이 조직에 피해를 입히기 전에 발견하고, 대응하며, 조사할 수 있습니다.
행동 이상 감지가 특별한 이유는 무엇일까요?
행동 분석은 새로운 것은 아닙니다. 단일 시스템 동작을 분석하고 피싱 이메일을 분류하는 것과 같이 고립된 사용 사례에 대한 포인트 솔루션을 구현하는 것은 오랫동안 일반적이고 성공적인 사이버 보안 전략의 일환이었습니다. 하지만 최근까지 대부분의 조직에서 대규모 행동 분석을 구현하는 데 필요한 비용과 리소스 요구 사항이 너무 부담스러웠습니다.
AI 및 ML 기술의 가용성이 증가함에 따라, 그러한 장벽은 상당히 낮아졌습니다. 이제 조직에서는 AI 및 ML 기반 도구를 사용하여 다양한 시스템 및 환경의 활동 로그, 애플리케이션 사용, 네트워크 트래픽 등 상당한 양의 데이터를 분석하고 분류할 수 있습니다. 개발자는 '정상적인 활동'의 기준을 설정한 다음 새로운 데이터를 지속해서 모니터링하여 해당 기준에서 벗어난 편차가 있는지 확인할 수 있습니다.
전통적으로 사이버 보안 운영팀에서는 이전에 관찰된 공격 패턴을 사용하는 시그니처 및 규칙 기반 도구에 의존해 왔습니다. 보안 운영팀에서는 분석을 통해 유출 사고 후 조사 중에 수집된 라이브 이벤트 데이터와 과거 로그 데이터를 통해 악의적인 활동의 증거를 찾습니다. 그러나 최신 공격의 경우 다중 벡터 특성이 복잡하고 공격자의 작업 방식이 정교하기 때문에 정적 감지 및 완화 기술은 거의 쓸모없게 되었습니다.
행동 분석은 기존 방식에 대한 중요한 대안이 될 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 및 확장된 감지 및 대응(XDR)을 포함한 기존 기능과 함께 이 접근 방식을 배포하면 기업 인프라 및 회사 자산에 대한 최신 위협과 기존 위협을 효율적이고 신속하게 억제하고 완화할 수 있습니다.
행동 분석은 네트워크, 시스템, 에이전트, 사용자 행동에서 새롭고 특이한 패턴을 식별하여 작동합니다. 행동 분석은 이전에 관찰 및 기록된 행동 패턴 또는 공격 지표에 의존하지 않습니다. 달리 말하자면, 행동 감지는 공격 아티팩트 대신 새롭고 새로운 위협을 탐지하도록 설계되었습니다. 이는 보안팀에서 사이버 공격의 여파에 대응하는 것에서 더 나아가 사이버 공격을 사전에 예방하는 데 도움이 됩니다.
시그니처 기반 방법과 행동 분석의 비교
시그니처 기반 또는 규칙 기반 도구…
알려진 위협(패턴, 악의적 IP/도메인, 맬웨어 행동)을 검색
본질적으로 사후 대응적임(주로 침해 후 공격을 식별)
내부자 위협, zero-day 공격 등 최신 위협을 놓칠 수 있음
행동 분석 …
일반적인 동작(비정상적인 시스템, 에이전트, 사용자, 네트워크 활동)에서 이상 징후 및 예외를 찾음
선제적으로 작동하도록 설계됨(공격 가능성이 있는 경우 공격 발생 전 및 직후에 감지)
AI의 발전 덕분에 합리적인 가격, 액세스 가능, 확장 가능
행동 감지에 대한 다른 접근 방식 대비 이점이 있음
행동 분석을 핵심 보안 전략으로 채택한 조직에서는 이전 방식에 비해 다음과 같은 세 가지 이점을 얻을 수 있습니다.
1. 기존의 시그니처 기반 감지를 강화합니다.
시그니처 및 패턴 기반 관찰 가능성 접근 방식은 사후 대응적입니다. 이러한 기술만을 활용하는 조직은 패키지화된 시그니처 또는 침해 지표(IOC) 형태로 다른 사람에 의해 이전에 발견 및 분석된 공격 프로필을 식별하는 데만 한정됩니다.
반면에, 행동 분석은 선제적입니다. 초기 단계에서 비정상적인 활동을 감지하여 피싱 시도, 의심스러운 네트워크 활동, 시스템 및 서비스에 대한 특이한 사용자 상호 작용과 같은 공격 지표(IOA)를 식별합니다. 이러한 이상 징후 기반의 조기 감지를 통해 사이버 보안팀은 공격자보다 먼저 공격을 예측하고, 피해가 발생하기 전에 침해 시도를 막을 수 있습니다.
2. 합리적인 가격으로 포괄적인 방어 생태계를 구축합니다.
기존 도구는 시스템, 사용자, 네트워크 등 좁은 범위에 초점을 맞추며, 컨텍스트를 통합하지 않습니다. 반면에, 행동 분석은 여러 소스의 데이터를 통합하여 맥락이 풍부한 분석을 제공합니다. 내부 및 외부 컨텍스트 정보는 모든 비정상적인 동작이 악성으로 플래그되지 않도록 보장하는 데 도움이 될 수 있습니다. 행동 분석 도구는 시스템 또는 네트워크에서 모델을 학습한 후, 지정된 가능성 범위 내에서 활동이 악성인지 또는 양성인지 판단할 수 있습니다.
이전에는 이러한 유형의 맥락을 풍부하게 분석한 결과를 배포하는 데는 비용이 많이 들었습니다. 서로 다른 대량의 데이터 세트를 저장, 처리, 분석하는 데 상당한 컴퓨팅 성능과 노동 집약적인 워크플로우가 필요했습니다. AI 기반 데이터 엔지니어링 및 이벤트 상관관계의 발전으로, 컨텍스트 기반 분석은 기존의 인력 기반 분석 방식보다 훨씬 경제적이 되었습니다.
3. 최신 위협 및 워크플로우에 대한 적응성을 향상합니다.
행동 분석 모델은 지속해서 학습하고 새로운 위협과 워크플로우에 적응합니다. 예를 들어 AI 에이전트를 구현한다고 가정해 보겠습니다. 시간이 지남에 따라 행동 분석 모델은 해당 에이전트의 자율적인 행동을 학습하여 정상적인 것으로 정의합니다. AI 에이전트가 손상되거나 허용된 활동의 정해진 패턴을 벗어날 경우, 행동 분석 모델은 이러한 비정상적인 동작을 감지하고, 적절한 경우 에이전트를 일시 중지하거나, 사람의 개입 없이 수행할 수 있는 작업을 제한합니다.
행동 감지는 새로운 업무 방식도 고려합니다. 예를 들어, 귀사에서 해외로 사업을 확장하여 새로운 국가에 지사를 설립할 수 있습니다. 초기 조정 기간 후, 행동 분석 모델은 특정 시간대에 해당 위치에서 발생하는 원격 로그인이 본질적으로 사기가 아니며 새로운 일반적인 패턴을 반영한다는 것을 학습하게 됩니다.
비정상적인 행동 분석 전략
많은 조직에서는 엔드포인트, 보안, ID 플랫폼에 이미 일부 행위 분석 기능을 갖추고 있습니다. 하지만 모든 팀에서 이러한 분산된 기능을 최대한 활용하는 방법을 이해하고 있는 것은 아니며, 보안 피로로 인해 실수가 발생할 수 있습니다. 다음 모범 사례는 팀에서 행동 감지를 효과적으로 구현하고 사용하는 데 도움이 될 수 있습니다.
1. 범위 및 통합을 정의함.
기존 기능과 환경에서 생성된 데이터로부터 더 큰 가치를 얻으려고 계획하든, 새로운 솔루션을 고려하든, 먼저 잠재적인 사용 사례를 식별하세요. 예를 들어, 잠재적인 내부자 위협을 식별하거나 내부망 이동 또는 데이터 유출 시도를 탐지하는 데 집중하기를 원할 수 있습니다. 사용 사례를 더 좁게 정의할 수도 있습니다. 예를 들어, 사용자가 아주 짧은 시간 이내에 멀리 떨어진 두 위치에서 네트워크에 로그인하는 경우와 같은 '불가능한 이동'을 감지기를 원할 수 있습니다. 또는 직원들이 내부 보안 정책을 위반하여 기밀 정보를 옮기거나 공유하는 경우, 반복적인 데이터 손실 방지(DLP) 위반을 막기를 원할 수 있습니다.
2. 모델을 학습시키고 최적화함.
행동 분석은 여러 시스템 및 보안 적용 지점에서 자동화되고 오케스트레이션될 수 있습니다. 이러한 자동화를 가능하게 하는 AI 모델 및 통합을 학습시키고 최적화하는 데 우선순위를 두세요. 초기 학습은 모델이 '정상'이 어떤 모습인지 이해하는 데 도움이 됩니다. 지속적인 조정 및 재학습을 통해 진화하는 위협 행위에 발맞춰 대응할 수 있습니다.
악의적 행동이 발생하기를 기다리는 대신, 악의적 공격 패턴을 의도적으로 시딩하여 학습 과정을 지원하고 가속화할 수 있습니다. 시간이 지남에 따라 모델은 학습된 행동에 의존하여 악성 및 양성 이상 예측에 대한 신뢰도 점수를 할당합니다.
3. AI를 활용하여 고급 방어 체계를 구축함.
지금까지 행동 분석은 이상을 평가하고 드러내기 위해 다양한 ML 알고리즘에 의존해 왔습니다. 미세 조정된 로컬 증강 생성형 AI(GenAI) 모델과 에이전틱 AI를 사용하면 보호 대상 환경 내에서 이상을 감지하는 과정을 더욱 간소화할 수 있습니다. 이러한 고급 기능을 통해 행동 분석 솔루션은 인간 조사자의 업무 부담을 줄이고, 광범위한 지식 기반과 대조하여 이상 징후를 상호 참조하며, 업스트림 제어 변경 사항 적용, 호스트 격리, 사용자 계정 정지 기능을 포함한 차세대 방어를 자동화합니다.
4. 상호 운용성에 유의함.
기존 도구와 통합할 수 있는 행동 분석 솔루션을 선택하세요. 그렇지 않으��면 기존 솔루션을 완전히 교체하는 데 불필요한 시간과 비용을 낭비할 수 있습니다. 예를 들어, 행동 분석 솔루션은 SIEM 도구를 포함하여 기존의 감지 및 대응 기능과 통합되고 해당 기능을 보완해야 합니다. 기존의 SIEM 도구는 실시간으로 이벤트를 분석하고 여러 소스의 이벤트 데이터를 상호 연관시켜 미리 결정된 공격 패턴을 식별하고 드러내는 반면, 최신 SIEM 시스템은 행동 분석 측면을 포함하여 시간 경과에 따른 사용자 및 장치 행동을 평가하고 IOA의 내부 참조 모델을 지속해서 개선합니다.
5. 긍정 오류를 예상함.
모든 이상이 악의적인 것은 아닙니다. 그러나 다른 AI 기반 접근 방식과 마찬가지로, 긍정 오류와 부정 오류가 발생할 위험이 있습니다. 잘못 분류된 행동을 최소화하려면 루프 내 협업을 포함하여 사람이 개입해야 할 필요가 있을 수 있습니다. 특히 모델을 조정하여 노이즈를 줄이고 행동 분류를 개선해야 합니다. 또한 보호된 환경과 비즈니스 운영 모델에 특화된 지능형 상관관계 및 보강 소스를 구현하여 악의적 행동과 특이 행동을 감지할 때 추가적인 맥락을 더할 수 있습니다.
모델이 안정화되고 적응하는 데 시간이 걸리며, 미묘한 차이가 있는 경우에는 사람이 감독해야 한다는 점을 유념하세요. 성공은 기술뿐만 아니라, 숙련된 팀이 감지 인사이트를 해석하고 그에 따라 조치를 취할 수 있도록 잘 정의된 프로세스를 운영하는 데 달려 있습니다.
6. 성공 메트릭을 정의함.
핵심 성과 지표(KPI)를 설정하�여 시간에 따른 행동 분석 투자의 가치를 측정합니다. 예를 들어 초기 액세스 시도 감지 시간과 최적 공격 개입 기술 예측을 측정할 수 있습니다. 추가 KPI를 통해 공격자의 지속 시간 감소로 인한 결과를 측정하거나, 공격이 성공했을 경우 완화된 공격의 잠재적 영향을 평가할 수 있습니다.
올바른 이상 감지 전략을 사용하고 있나요?
기존의 시그니처 및 규칙 기반 방어 체계만으로는 빠르게 진화하는 보안 위협과 집요한 공격자에 대하여 방어하기에 충분하지 않습니다. 보안 운영 전략에 행동 이상 감지 기능을 통합하면 잠재적 위협 때문에 피해를 입기 전에 감지하여 전체적인 사이버 방어에 대하여 더 적극적인 접근 방식을 확립하는 데 도움이 될 수 있습니다.
Cloudflare에서는 다양한 ML 및 AI 기술을 활용하여 글로벌 클라우드 연결성을 운영하고 조직에 최첨단 서비스를 제공합니다. 사용자 및 엔티티 행동 분석(UEBA)은 통합 위험 태세 제품의 일부입니다. 이는 보안 서비스 에지(SSE), 웹 애플리케이션, API 보안 솔루션을 단일 플랫폼에 통합하는 기능 모음입니다. SSE 또는 안전한 액세스 서비스 에지(SASE) 플랫폼에 행동 감지 및 위험 점수 기능들을 통합하면, 관리 복잡성을 줄이고 운영 효율성을 향상시키면서 이러한 기능들의 이점을 활용��할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
이 주제에 관해 자세히 알아보세요.
AI 시대를 위한 보안 최신화 전자책에서 최신 위협에 한발 앞서 대응하고 AI 구현을 보호하기 위한 전략을 알아보세요.
작성자
James Todd — @jamesctodd
Cloudflare 필드 CTO
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
기존의 사후 대응적 사이버 보안 도구가 미흡한 이유
행동 분석으로 시그니처 기반 감지를 강화하는 방법
행동 분석 구현을 위한 6가지 모범 사례