[K-CTI 2025] 넷위트니스 박지원 부장 “위협 헌팅, 조직의 보안 역량 향상 위한 강력한 도구”

"위협 헌팅, 능동적으로 위협 추적해 체류 시간 줄이고, 잘못된 보안 설정과 취약 경로 찾아 조직의 방어력 높이는 전략적 활동”

데일리시큐 주최로 열린 국내 최대 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 지난 4월 15일, 서울 한국과학기술회관에서 700여 명의 공공, 금융, 기업 보안 책임자들이 참석한 가운데 성황리에 개최됐다.

이날 행사에서 넷위트니스(NetWitness) 박지원 부장은 ‘네트워크 위협 헌팅–Know Your Attacker’를 주제로 발표를 진행하며, 기존의 룰 기반 탐지 체계의 한계를 전하고 능동적이고 정밀한 위협 탐지 기법인 ‘위협 헌팅(Threat Hunting)’의 필요성과 전략을 심도 깊게 다뤘다.

◆"정말 모든 공격이 탐지되고 있는가?"

박 부장은 “이미 많은 공격 시도가 방화벽, EDR, AV 등 다양한 솔루션으로 탐지되고 있지만, ‘모든 공격이 전부 탐지되고 차단되고 있는가’라는 질문에 자신 있게 ‘예’라고 답할 수 있는 조직은 많지 않다”고 지적했다. 그는 특히, 탐지가 어려운 정교한 공격(TARGETED Attack)과 제품화된 도구 기반의 기회형 공격(OPPORTUNISTIC Attack)의 차이를 설명하며, 전자는 알려진 시그니처 없이 TTPs(Tactics, Techniques, Procedures)를 통해 진행되므로 기존 시그니처 기반 탐지로는 식별이 어려운 경우가 많다고 강조했다.

특히 VPN 게이트웨이, 네트워크 장비, 방화벽 등 에이전트 설치가 어려운 장비에 대한 가시성 부족, 애플리케이션 계층에 국한된 로그 수집 한계, 로그 비활성화 가능성 등을 예로 들어, 기존 탐지 체계의 사각지대를 지적했다.

◆공격자의 체류시간 증가, 그리고 가시성 부족이 초래하는 침해 확산

최근 공개된 시스코 IOS XE 제로데이 취약점(CVE-2023-20198)을 사례로 든 박 부장은, 관리 Web UI가 활성화된 장비에 대해 공격자가 원격으로 관리자 권한 계정을 생성하고 로그를 삭제한 정황을 설명했다. 그는 “엔드포인트 가시성이 없고 SIEM 로그마저 조작 가능한 경우, 조직은 침해 사실조차 인지하지 못한 채 공격자가 오랜 시간 내부에 머물 수 있다”고 말했다.

또한 넷위트니스는 Log4Shell(CVE-2021-44228) 대응 사례도 소개하며, 네트워크 원본 데이터를 보유하지 않으면 공격의 흐름, C2 서버, 디코딩된 명령어, Form 데이터, 공격 시점까지 모두 파악할 수 없음을 강조했다. 반대로 트래픽 원본이 존재하면 포렌식 분석, 공격자 의도 파악, 사후 대응까지 실현 가능하다고 설명했다.

◆위협 헌팅: 룰을 넘는 '적극적 탐색'…가설 기반과 데이터 기반 전략 소개

이날 발표의 핵심은 바로 위협 헌팅의 전략이었다. 박 부장은 위협 헌팅을 “악성 행위에 대한 사전 지식 없이 이상 징후를 찾아가는 탐색 과정”이라 정의하고, 크게 두 가지 접근법으로 나눠 설명했다.

첫째, ‘가설 기반 헌팅(Hypothesis-based Hunting)’은 특정 공격 그룹이나 행위를 가정하고 이를 추적하는 방식이다. 그는 APT29, APT32, APT34, APT38, Deep Panda 등 주요 APT 그룹의 공격 도구와 기법을 소개하며, 공격자의 툴셋이 반복되는 만큼, 특정 툴 사용 패턴을 감지하면 그에 따른 방어 전략을 수립할 수 있다고 설명했다.

둘째, ‘데이터 주도 헌팅(Data-driven Hunting)’은 조직 내부의 메타데이터, 트래픽, 프로토콜, 세션 정보 등을 기반으로 비정상 행위를 식별하는 방법이다. 예를 들어 비정상적인 User-Agent, 평문 인증, 예상치 못한 프로토콜 사용, 빈번한 로그인 실패, 외부 ICMP 터널링 트래픽 등은 정상적인 네트워크 흐름에서 벗어난 위험 징후로 간주될 수 있다. 그는 “조직의 일반적인 행위 기준선을 이해하는 것이 무엇보다 중요하다”고 강조했다.

◆위협 헌팅은 조직 보안 역량 향상을 위한 도구

넷위트니스의 위협 헌팅 솔루션은 단일 화면에서 트래픽 원본, 공격자 C2 서버, 명령어, 관련 로그, 패킷, 웹 요청 등을 통합적으로 제공해 탐지 → 확인 → 분석까지의 모든 단계를 직관적으로 지원한다. 탐지된 IP 주소의 송수신 내역을 즉시 조회하고, 최초 침해 지점 및 악성 파일까지 확인 가능한 기능은 실시간 대응력을 비약적으로 향상시킨다.

박 부장은 또한 위협 인텔리전스 리서치팀 FirstWatch의 역할을 소개하며, APT 그룹, RAT, 정보 탈취형 악성코드, 제로데이 취약점에 대한 자동화된 탐지 체계 구현과 최신 보고서 공유를 통해 헌팅 기반을 지속적으로 강화하고 있다고 덧붙였다.

◆실제 탐지 사례로 본 위협 헌팅의 효과

발표 후반부에서는 실전에서 탐지된 위협 사례들이 소개됐다. 예를 들어, ICMP를 통한 C2 터널링, 평문으로 노출된 결제 정보, 기밀 이미지 유출, 잘못 구성된 SNMP 설정 등은 모두 데이터 분석 기반 위협 헌팅으로 식별된 것이다. 이 중에는 SaaS API 연동 시 인증정보가 평문으로 전송되거나, 직원이 암호화된 RAR 파일로 기밀 정보를 외부 이메일로 전송하는 사례도 있었다. 이러한 내부 위반도 위협 헌팅의 중요한 탐지 대상이라는 설명이다.

◆위협 헌팅을 통한 보안 문화 전환 촉구

박지원 부장은 “위협 헌팅은 조직이 공격을 수동적으로 기다리는 것이 아니라, 능동적으로 위협을 추적해 체류 시간을 줄이고, 잘못된 보안 설정과 취약 경로를 찾아 조직의 방어력을 높이는 전략적 활동”이라고 말했다.

또한 “보안 담당자들이 기술적 지식뿐 아니라 탐구적 사고와 조직 네트워크 환경에 대한 이해를 바탕으로 위협을 직접 찾고 대응할 수 있어야 진정한 보안 체계를 갖출 수 있다”고 강조했다.

이번 넷위트니스 발표자료 다운로드나 문의가 있을 경우 아래로 문의하면 된다.

-발표자료 문의: 굿모닝아이텍㈜ / goodmkt@goodmit.co.kr

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★