신규 보안취약점은 어떻게 인지할까?
공개된 신규 보안취약점 정보와 이를 악용한 랜섬웨어 및 악성코드 감염에 따른 해킹사고 등 정보보안 관련 최신 위협 정보는 국내외 보안포털사이트와 보안커뮤니티, 공공기관, 보안업체의 공식 사이트를 통해서 확인할 수 있습니다. 각 기관 및 기업의 보안담당자는 최신 위협에 대한 정보를 상시적으로 수집, 조사하는 업무를 통해 신규 보안취약점을 인지합니다.
보안뉴스 ‘Log4j’ 관련 기사
한국인터넷진흥원 취약점 정보
신규 보안취약점에 대한 정보는 어떻게 수집할까?
기존 방법 자체적으로 Research하여 신규 보안취약점에 대한 개요 및 개념, 타겟 및 유형, CVE 코드, 버전, 시나리오 등 기본정보를 수집할 수 있습니다. 예를 들어 2021년 12월 초 전 세계적으로 영향력을 끼쳤던 Log4j(=Log4Shell)취약점 같은 경우, 글로벌한 범위의 영향력을 가졌기 때문에 국내외 보안업체 및 벤더사의 취약점 조치에 대한 정보가 실시간으로 업데이트 되었던 것을 볼 수 있었습니다. 신규 보안취약점이 공개되었을 때 자사의 보안 인프라 환경에 위협에 그치는 지, 위험이 되어 자산에 영향을 끼치는 지 침투테스트 및 검증이 필요합니다. 일반적으로 자체수집한 기본정보를 바탕으로 PoC 코드 검증을 진행하고, 소스코드 또는 공격 페이로드 등 상세정보를 추가 수집하여 취약점을 이용한 공격을 수행할 수 있습니다. 일반적인 취약점 분석 방법은 다음과 같습니다.
참고 : Log4j 취약점(CVE-2021-44228)에 대한 정보 수집 및 테스트 예시
취약점 상세 정보 수집 (PoC 코드 및 위협 분석 보고서 형태)
인터넷에 게시된 Log4j 취약점 정보 블로그
별도의 취약점 테스트 환경 준비, 코드 수정 등을 통한 취약점 테스트
Mandiant의 위협 정보 수집 플랫폼을 이용
Mandiant의 위협 인텔리전스와 BAS 플랫폼을 이용하면 자사 보안 환경에 대해 빠른 취약점 공격 테스트와 유즈케이스 생성, 관리가 가능합니다. 특히, Mandiant의 위협 인텔리전스 플랫폼을 이용하여 현재 시점에서 가장 많이 활동하는 취약점 정보를 확인할 수 있고, 자사의 보안환경에 어떤 취약점을 테스트하고 검증해야 하는지에 대한 의사결정에 도움을 받을 수 있습니다.
맨디언트 위협 인텔리전스 최신 취약점 정보 현황
Mandiant의 위협 인텔리전스를 통해 가공, 검증된 취약점 요약 정보를 확인할 수 있고, 신규 취약점에 대한 정보가 실시간으로 반영, 분류되고 있어 인터넷 검색에 비하여 정보를 수집하고 위험을 판단하는데 있어 소요시간을 줄일 수 있습니다. 예시) Log4j (CVE-2021-44228)에 대한 취약점 정보 요약 (2023.02.27. 기준)
Mandiant의 취약점 보고서에서는 해당 취약점과 관련된 공격그룹 액터(Actor)에 대한 정보와 PoC 검증 및 테스트를 위한 Exploit 샘플을 제공합니다.
Mandiant 위협 인텔리전스의 취약점 목록은 98,331개가 등록되어 있고(2023.02.27. 기준), 각 취약 정보에 대한 개요, 위험 등급, 제로데이 악용 여부, 익스플로잇 여부 등에 대한 정보를 한 눈에 확인이 가능합니다.
Mandiant의 위협 인텔리전스의 종합 키워드 검색을 통해 최신 취약점 공격 관련 동향을 파악할 수 있습니다.
중국 해킹 기업 ‘샤오치잉’에 대한 보안 위협 동향 및 분석 보고서
Mandiant의 BAS 솔루션인 보안수준 검증(SV, Security Validaion) 플랫폼을 통해 최신 취약점 검색 및 시나리오 수행이 가능합니다.
Log4j (CVE-2021-44228) 취약점에 대한 간편 검색 및 보안수준 검증을 위한 시나리오 수행
신규 보안취약점에 대한 검증은 어떻게 해야할까?
최근에는 신규 취약점을 포함한 보안 위협에 대한 대응 인식의 변화로, 사전에 먼저 위협을 측정하고 식별하는 방법론(Threat Hunting, Detection Engineering)이 주목받고 있습니다. Mandiant의 BAS 솔루션인 SV(Security Validation)를 이용하면 보안팀은 신규 취약점을 분석하고 테스트하는 시간을 절약하거나 교차검증이 가능하며, 아래와 같은 보안 활동을 수행할 수 있습니다.
1. 네트워크에서 엔드포인트까지 통합 연계 모니터링 2. IT 인프라에서 발생하는 주요 이벤트 기록 3. 위협 인텔리전스 정보 등을 기반으로 상시 위협헌팅 수행 4. 발생 가능한 위협 시나리오를 수립하고 대응책 마련 5. 사고 발생을 가정한 정기적인 대응 훈련을 통해 조직역량 강화
이번 포스팅에서는 신규 취약점에 대한 보안조직의 대응에 있어 Mandiant의 위협 인텔리전스와 BAS 플랫폼을 활용하는 법을 알아보았습니다. 신규 취약점에 대한 분석과 대응, 나아가 사전에 자사의 위협을 식별해 내어 보안 수준을 높일 수 있는 방법에 대해 고민하고 계시다면 아래의 포스팅 글을 참고해주세요.
글. 김동욱 엔지니어 sales@daont.co.kr
자료출처 :
1. 보안뉴스
2. 보안커뮤니티
3. 한국인터넷진흥원, 금융보안원 등
4. 안랩, 이스트소프트 등
5. 안랩, “공포의 Log4j 취약점, 효과적인 대응 방안은?”, https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=31133
6. [KOR] 취약점 분석 - CVE-2020-8772, ********https://blog.sunggwanchoi.com/kor-infinitewp-client-1-9-4-5-authentication-bypass/
7. 보안뉴스, “미국정부, 이란의 APT 단체들이 로그4j 익스플로잇 시작”, https://www.boannews.com/media/view.asp?idx=111697&page=1&kind=1
8. Log4j 취약점 정보, “Log4J 침투 테스트에 대한 자세한 가이드”, https://www.hackingarticles.in/a-detailed-guide-on-log4j-penetration-testing/?fbclid=IwAR1ipgDRxYk8b6QpJvVQrJyPbEfomhTUEuIPGPf6bjsW8ongHp6aLjRr-so