2024년 애널리스트의 역량 강화를 위한 필요한 기술

 

안녕하세요.

 

2024년에는 프로그래밍 언어와 도구의 다양성, 머신러닝, 인공지능의 지식이 사이버 위협에 대응하는 위협 분석가에게 필수적인 능력이 될 것이라는 전망이 있습니다.

 

위협 헌터의 복잡한 역할과 그 어려움

SANS의 2023년 위협 헌팅 설문조사에 따르면, 숙련된 위협 헌터들은 위협을 포착하면서도 사냥을 강화하는 도구와 기술에 자금을 투자하는 두 가지 역할을 동시에 수행하고 있습니다. 하지만 이번 조사에서는 전문가들의 부족이 위협 헌팅의 성공을 방해하고 있음이 밝혀졌습니다. 따라서 위협 헌터들은 더 많은 훈련, 교육, 그리고 경영진의 지원이 필요하다는 요구가 있었습니다.

CISO의 입장에서 보면, 위협 헌팅팀에 필요한 것은 무엇일까요? 위협 헌터가 자신의 능력을 강화하려면 어떤 준비가 필요할까요?

 

필요한 도구와 프레임워크의 이해

현재의 위협 분석가들은 기술적인 능력과 발전 방향이 필요합니다.

 

많은 전문가들은 위협 분석가들이 전통적인 기술 능력과 최신 기술 능력을 동시에 갖추어야 하며, 효율적인 데이터 분석을 위해 파이썬을 필수적으로 알아야 한다고 말합니다. 또한, C, C++, 자바스크립트, 루비 온 레일즈, SQL, 파워셸, 버프 스위트, 네서스, 칼리 리눅스 등의 언어와 도구에 대한 지식도 필요합니다.

 

네트워크 및 시스템 기본 지식, 데이터 분석 기술, 클라우드 아키텍처 지식, 리버스 엔지니어링 등도 유용합니다.

위협 헌터들은 제한된 정보를 바탕으로 복잡한 문제를 조사하고, 퍼즐을 풀어나가며, 위협을 평가해야 합니다. 

 

보안 컨설턴트인 제이크 윌리엄스는 이런 작업이 점점 어려워지고 있다고 언급했습니다. 그는 "엔드포인트 탐지 및 대응 등의 경계 방어가 강화되고, 위협 행위자의 실력이 향상되면서 사냥이 더욱 어려워지고 있다"고 말했습니다. "더욱 고급화된 기술과 더 많은 도구가 필요하며, 일반적으로 데이터에서 이상 징후를 찾아내야 한다"고 덧붙였습니다.

버그크라우드의 사이버 보안 디렉터인 사지브 로하니는 위협 인텔리전스 플랫폼인 MISP와 스플렁크, 로그리듬, 매니지엔진 같은 보안 정보 및 이벤트 관리 도구를 잘 알아야 한다고 말했습니다. 로하니는 "MITRE ATT&CK 프레임워크의 실무 지식은 특정 공격에 사용되는 다양한 전략과 기법을 식별하는 데 유용하다"고 설명했습니다. "다른 사람들이 놓치기 쉬운 다양한 공격 패턴을 파악할 수 있다"라고 덧붙였습니다.

 

소프트 스킬의 중요성

기술적인 능력뿐만 아니라, 소프트 스킬도 중요합니다. 다양한 이해 관계자에게 위협을 간결하게 설명하는 능력은 매우 중요하며, 또한 세부 사항에 대한 주의력, 분석적 사고, 스트레스 관리, 창의성, 팀워크도 오늘날의 위협 헌터에게 필요한 핵심적인 스킬입니다.

새로운 취약점을 여러 사람에게 긴급하게 알리는 상황이 종종 발생하는데, 이때 기술 팀, CISO, 이사회를 위한 맞춤형 커뮤니케이션이 필요합니다. 윌리엄스는 특히 불확실하거나 오해의 소지가 있는 정보를 다룰 때 태스크 관리와 인내심 그리고 무엇보다 서로 다른 정보 출처 간의 조율이 중요하다고 언급했습니다.

윌리엄스는 "오늘날 위협 사냥의 대부분은 악의적으로 보이는 것을 발견하고 가설을 세워야 하는 상황이 많으며, 여기에는 시스템 관리자와 상의해 해결책을 찾는 과정이 포함된다"라며 "유연한 사고는 물론이고 한쪽에 치우치지 않는 것도 중요하다. 상반되는 관점을 머릿속에 담을 수 있는 사람이 최고의 인재다"라고 말했습니다.

위협 헌터의 역할은 네트워크 모니터링에서 선제적 위협 사냥 및 인텔리전스 수집으로 변화하면서 많은 숙련도와 새로운 우선순위가 필요해졌습니다. 디지털 신뢰 전문가인 니엘 하퍼는 "과거와 달리 수동적인 블랙리스트 조사 및 입력이 줄어들고 침입 탐지 시스템 의존도가 낮아졌다"라며 "대량의 데이터를 분석할 수 있는 도구가 등장했다. 이런 위협 탐지 도구는 위협 헌터에게 의미 있고 실행 가능한 인텔리전스를 제공하고, 위협의 우선순위를 정할 수 있게 해준다"라고 말했습니다.

 

높아진 오탐 발생률과 위협 분석가의 역할 변화

그러나 오탐의 발생 빈도가 높아진 것은 부정할 수 없는 사실입니다. 

위협 분석가들은 이러한 오탐을 분석하고 침해의 지표를 찾아내기 위해 특별한 훈련을 받아야 했습니다. 

 

이제 머신러닝과 인공지능, 그리고 다양한 자동화 기술을 통해 위협 헌터의 역할은 지속적으로 변화하고 있습니다. 

하퍼는 위협 헌터의 연구와 분석 능력이 매우 중요하며, "다양한 도구로부터 얻은 정보를 실행 가능한 인텔리전스로 변환하는 데 큰 도움이 된다"고 설명하였습니다.

보안 운영 전문가인 크리스 스콧은 "클라우드 보안 모니터링과 로그의 중앙 집중화 및 분석에 대한 이해가 필요하다"며 위협 헌터의 역할 범위가 확대되었다고 언급하였습니다. 스콧은 "공격자들이 클라우드를 더욱 노리고 있음을 목격하였다. 몇몇 대형 조직과 협력하면서 이러한 변화를 직접 확인하였다. 클라우드에서 어떤 활동이 이루어질 때마다 새로운 공격 범위가 열릴 수 있기 때문에, 취약점을 선제적으로 찾는 사람이 필요하다"고 강조하였습니다.