해킹 사고가 지속 발생함에 따라 보안 요구 사항은 점점 더 까다로워지고 있으며 방어 시스템의 기능은 매우 높은 수준으로 발전하고 있다. 그렇지만, 과거의 침해사고들이 현재에도 여전히 발생하고 있으며, 방어 체계를 잘 갖춘 기업도 예외는 아니다.
사이버보안에서 유명한 고통의 피라미드(The Pyramid of Pain)는 방어자가 TTP(Tactic, Technique, Procedure)와 같은 공격자의 전략과 전술, 그리고 그 과정을 이해하고 방어 체계를 운영하는 것이 가장 효과적임을 잘 표현하고 있다. 보안은 공격자를 Tough!한 단계로 끌고 가는 것 이다.
고통의 피라미드, David J Bianco
여전히, IoC(Indicator of Compromise, 악성IP · 악성 도메인 등 단순 지표) 기반의 방어 체계는 매우 유용하다. 다만, 공격자는 단순 지표와 관련된 공격 인프라를 쉽게 확보하고 버린다.
TTP는 다르다. 공격자는 TTP를 쉽게 확보하거나 버릴 수 없다. 타깃이 정해진 공격자는 타깃의 방어 환경을 무력화하기 위해 많은 시간을 들여서 TTP를 학습하고 연습한다. 그리고, 확보된 TTP를 지속 활용할 수 있는 대상들이 새로운 타깃이 된다.
공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있다. 그래서, 방어자는 방어 환경에 대해 정확히 이해하고 있어야 하며, 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략·전술 관점으로 보아야 한다. 방어자의 환경과 공격자의 TTP는 함께 이야기 되어야 한다.
TTP를 이해한 방어자는 2가지를 설명할 수 있어야 한다. ‘공격자의 TTP가 방어자 환경에 유효한 것인지 여부’, ‘유효하다면 TTP를 무력화할 수 있는 방어 전략은 무엇인지’
한국인터넷진흥원(이하 KISA)은 침해사고 대응 과정을 통해 공격자의 TTP를 파악하고 있으며, 그 과정 및 대응방안을 ATT&CK Framework 기반으로 작성하여 배포한다. 보고서에 포함되어 있는 TTP와 관련된 다양한 흔적들(Artifacts)은 TTP에 대한 이해를 돕는 보조 수단일 뿐이다.
“You have been visited by GWISIN.” 이라는 말과 함께 감염사실을 알리는 귀신 랜섬웨어는 여타 랜섬웨어 사고와 달리 피해기업의 비즈니스 이해도가 월등히 높고, 국내에서 널리 이용되고 있는 솔루션의 활용이 능숙하다는 차별성이 존재한다. 또한 사고분석을 지연 및 방해하기 위해 국내 수사기관을 열거하는 행위와 국내에서 사용되는 인증제도(ISMS-P)를 언급하는 등 공격자는 한국 보안시장에 대한 지식을 보유하고 있다고 판단된다.