IOT 기기 해킹 위협 탐지 사례와 대응 방법 – 머신러닝 기반 위협 탐지 솔루션 다크트레이스 확인해볼까요­

>

​ 2016년 기기 해킹으로 대규모 디도스 공격이 일으킨 미래 봇넷 사건이 있었습니다. 밀라이의 소스코드 공개 후 기기를 대상으로 하는 다양한 변종 봇넷이 발생하여 지속적인 피해 사례가 발생하고 있습니다. 는 모든 것이 하나의 네트워크로 연결되어 있어 다양한 서비스를 이용하는데 있어서 여러 가지 편리함을 줄 수 있지만, 기기를 타겟으로 하는 공격이 발생하면 그 영향과 파장이 크다는 치명적인 단점이 있습니다. ​

>

머신러닝 기반의 네트워크 이상행위 솔루션인 다크트레이스(darktrace)에서 IoT기기를 대상으로 하는 다양한 공격을 탐지하고 피해를 줄일 수 있었던 사례를 설명하겠습니다.또한 IoT의 위협과 공격에 대응할 수 있는 방법을 소개합니다. ​

일상에서 사용되는 다양한 기기들 간의 상호 접속성이 높아짐으로써 상당한 가시성 문제와 보안상의 문제를 겪게 됩니다. IoT 기기의 보안 솔루션인 다크트레이스에서 이러한 공격을 탐지한 하나의 사례로 일본의 한 투자 컨설팅 기업이 공격자에 의해 내부 해킹당한 것을 빠르게 탐지하여 피해 확산을 축소시킨 사례가 있습니다. 공격자가 해킹을 통해 내부 네트워크에 진입하여 CEO 사무실, 회의실, 주요 시스템 및 자산이 존재하는 장소의 모든 비디오 기록을 시청할 수 있으며, 모든 사무공간을 감시하기 위해 설치된 가 치명적인 보안 위험이 되었습니다.

>

내부 디바이스에서 평소에는 다른 이상 행위가 발생하는 것이 다크 트레이스에서 감지되어 공격자가 민감한 정보를 유출하기 위해 데이터를 수집하는 행위의 일환으로 암호화되지 않은 CCTV 서버를 넘나드는 대량의 데이터 이동을 탐지하고, 이 데이터를 유출하려고 하면 다크 트레이스의 위협 차단 모듈 안티제나(Antigena)에서 해당 기기에서 외부 서버로의 데이터 이동 행위만을 정밀하게 차단하였습니다. 다크 트레이스의 네트워크 이상 행위 탐지 솔루션인 EIS(Enterprise Immune System)와 EIS에서 탐지된 위협 행위를 차단하는 Antigena는 그 공격 발생 초기 단계에서 이상 행위가 발생하는 것을 감지, 차단하여 피해를 축소시킬 수 있었습니다. ​

>

2번째 사례는 북미에 있는 테마 파크에서 사이버 공격자가 보안의 취약한 IoT기기를 악용하고 민감한 고객 정보를 탈취하는 것을 탐지한 사례입니다. 놀이 공원 방문객이 개인 소지품을 보관하는 스마트의 사물함을 해킹하기 때문에 스마트의 로커 하청 업체 3rd party온라인 플랫폼과 정기적인 통신하는 설정 및 자동화된 절차의 소스를 파악하고 해당 기기의 보안을 침해하고 제어권을 탈취했습니다. 튀지 않고 천천히 진행되는 사이버 공격을 탐지하는 다크트레이스는 스마트락커가 평소와 달리 대량의 암호화되지 않은 데이터를 평소에는 접근하지 않는 외부 사이트로 전송하기 시작한 지 얼마 되지 않아 그 공격을 탐지했습니다. 내부에서 발생하는 이러한 접속은 해당 기기와 납품회사 플랫폼 간의 소통이 발생하는 것이므로, 룰 기반의 보안 방어 솔루션을 우회하여 시도할 수 있는 공격 방법으로, 눈에 잘 띄지 않고 천천히 진행되는 사이버 공격 유형이라고 할 수 있습니다. ​

>

내부에서발생하는통신을사물함이전행동과내부유사기기의행동과지속적으로비교분석하여의미있는차이를변별하여위협으로판단하여발생한행위를차단하였습니다. 다크트레이스의 위협 차단 솔루션인 안티제나에서 몇 초 안에 조치를 취하여 공격의 표적이 된 디바이스에서 발생하는 모든 외부 접속을 차단하였고, 보안 부서는 이 공격에 대한 적절한 조치를 취함으로써 추가 정보 유출 등의 피해 발생을 막을 수 있었습니다. 머신러닝 기반의 네트워크 이상행위 탐지 솔루션인 다크트레이스는 내부에서 발생하는 행위 및 정보를 학습하고 정상적인 행위를 벗어나는 미세한 위협 징후를 식별하여 탐지 및 대응이 가능합니다. 다크트레이스는 어떻게 이런 미묘한 행위의 차이를 식별하고 위협을 탐지할 수 있었고 IoT기기를 대상으로 하는 공격을 탐지하고 차단할 수 있었을까요?다크 트레이스만의 AI 머신 러닝 기반의 위협 탐지 기술과 방법에 대해 알려드립니다.​​

사이버 공격은 계속 진화하고 발전하고 있습니다. 그러나 사이버 공격자에 의해 발생하는 외부의 위협뿐만 아니라 권한을 가진 내부자의 악의적인 행동도 보안의 위협이 될 수 있기 때문에 보안에는 국내외의 경계가 없다고 할 수 있습니다. 기존의 외부 공격에 대응하는 규칙, 서명 기반의 보안 솔루션으로는 외부 위협에 대해 충분히 방어하는 데 한계가 있습니다. 규칙과 시그니처를 만든다는 것은 기존에 알려진 공격에 대한 대응을 한다는 것이며, 알고 있는 부분에 대해서만 만들 수 있기 때문에 새로운 유형의 알려지지 않은 공격에는 대응하기 어렵습니다.

>

다크 트레이스는 현존하는 공격을 정의하는 기존의 접근법에서 벗어나 알려지지 않은 공격에도 방어할 수 있는 방법을 찾았습니다. 다크트레이스는 ‘베이지안 순환확률’ 수학모형에 기초한 기계학습 및 AI 알고리즘을 기반으로 네트워크의 모든 사용자, 디바이스, 행위를 학습합니다. 학습을 통해 네트워크의 정상행위 모델을 작성하고 이 모델링된 행위에서 벗어나는 행위를 이상징후로 식별합니다. 이처럼 기계 러닝 기반의 다크 트레이스 이상 행위 탐지 기능은 24시간 365일 중단 없이 가능 모델 패턴은 학습 기간이 길어질수록 점점 더 정교하게 됩니다.​

>

​​

>

다크 트레이스 POV를 수행하기 전에 다크 트레이스를 도입하고 싶은 고객의 요구를 충족시키기 위해 여러 차례의 미팅을 통해 고네트워크 구간에 대한 협의와 고객의 네트워크 환경을 충분히 파악한 후에 이루어집니다. ​ 약 2주의 학습 기간을 거친 다음 학습된 고객 데이터를 기초로 영국 본사의 애널리스트가 작성하는 TIR(Treat Intelligence Report)분석 보고서가 제공됩니다. TIR 분석 리포트에서 어떤 이벤트가 발생했는지, 어떤 위협이 있는지 확인할 수 있습니다. 저희 휴버텍은 다크트레이스 한국지사 설립부터 함께해온 파트너사로 다수 POV 및 구축을 통해 다양한 인공지능 보안 솔루션 구축 경험을 통해 전문화된 노하우를 확보하고 있습니다. POV를 실시하고 싶거나 매월 진행되는 다크트레이스라운드테이블 세미나 참석정보 또는 다크트레이스 관련자료를 받으려면 아래 신청버튼을 눌러 신청해주세요. ​

>

​​

>

​​​