alt

IT 보안: 킬체인, EDR, 과립형 보안

Shared on April 16, 2026

보안관제 핵심 개념: OSINT, 사이버 킬체인 및 호스트 기반 보안

개요

본 강의는 보안관제센터(SOC)의 주요 업무와 모니터링 체계에 대해 설명합니다. 특히 공개출처정보(OSINT)의 활용, 사이버 킬체인(Cyber Kill Chain) 모델을 통한 단계별 방어 전략, 그리고 기존 네트워크 경계 보안의 한계를 극복하기 위한 호스트 기반 보안(HBSS, EDR) 및 과립형 보안(Granular Security)의 중요성을 다룹니다.

핵심 개념

  • OSINT (오픈소스 인텔리전스): 외부에 공개된 정보를 수집하여 자사 자산의 노출 여부를 선제적으로 파악하는 활동.
  • 사이버 킬체인 (Cyber Kill Chain): 공격의 각 단계를 식별하고, 어느 한 단계라도 차단하여 최종 공격을 무력화하는 방어 모델.
  • 과립형 보안 (Granular Security): 네트워크 경계가 아닌 개별 호스트(PC, 서버) 단위를 직접 보호하고 모니터링하는 세밀한 보안 접근법.

상세 노트

1. OSINT (오픈소스 인텔리전스)와 보안관제

  • 개념 및 필요성: OSINT는 누구나 볼 수 있는 공개 정보를 의미합니다. 해커들이 공격 전 정찰 단계에서 기관의 취약점을 파악하는 데 사용하므로, 방어자(보안관제센터) 역시 동일한 정보를 모니터링하여 선제 대응해야 합니다.
  • 주요 활용 사례 및 도구:
    • Shodan (쇼단): 특정 기관의 IP, 열려 있는 포트, 사용 중인 프로토콜(SSH, FTP 등), 기본 패스워드가 설정된 장비 등을 검색하여 노출된 취약점을 파악합니다.
    • Zone-H: 디페이스(웹사이트 화면 변조) 공격을 당한 웹사이트 목록을 제공합니다. 관제센터는 자사 기관의 웹사이트가 훼손되어 외부에 공개되었는지 모니터링합니다.
    • 이메일 보안 검증: SPF, DMARC 적용 여부를 확인하여 이메일 사칭 공격 가능성을 점검합니다.
  • 관제센터의 역할: 야간이나 주말 등 트래픽이 적은 시간을 활용해 주기적으로 OSINT를 모니터링하고, 외부에 유출된 기관 정보(IP, 패스워드 등)나 허위 해킹 정보에 대응합니다.

2. 사이버 킬체인과 다단계 심층 방어

  • 사이버 킬체인 (Cyber Kill Chain):
    • 공격 단계를 '정찰 → 무기화 → 배달 → 익스플로잇 → 설치 → 명령 및 제어(C&C) → 행동'의 7단계로 정의한 모델입니다. 최근에는 MITRE ATT&CK 프레임워크로 발전하여 널리 사용됩니다.
    • 핵심 전략: 공격이 내부로 유입되는 것을 100% 막을 수는 없으나, 최종 '행동' 단계 이전에 어느 한 단계에서라도 연결 고리를 끊어내면 방어에 성공한 것으로 간주합니다.
  • 망분리 환경에서의 방어:
    • 인터넷망과 차단된 내부망(서버팜, 폐쇄망 등)이라 하더라도 USB 사용, 간헐적 통신 등으로 인해 악성코드 유입 가능성이 존재합니다.
    • 따라서 단일 경계 방어에 의존하지 않고, 내부망 곳곳에 방화벽, IPS, 백신(국내 CC인증 필수 등 규제 적용)을 중첩 설치하여 비인가 접근이나 이상 행위를 끝까지 추적하고 차단해야 합니다.

3. 호스트 기반 보안과 과립형 보안

  • 경계 보안(Perimeter Security)의 한계:
    • 기존에는 네트워크 외곽(인터넷 관문)에만 방화벽을 두는 경계 보안에 의존했습니다.
    • 그러나 동일한 내부망(동일 서브넷/VLAN) 내에 위치한 수백 대의 서버나 PC 간에 악성코드가 전파되는 것은 네트워크 보안 장비만으로 탐지하고 차단하기 어렵습니다.
  • HBSS (Host-Based Security System) 및 EDR:
    • 네트워크 구간이 아닌 개별 호스트(PC, 서버, 단말) 자체에 에이전트를 설치하여 행위 기반의 이상 징후를 중앙(SIEM 등)에서 모니터링하는 시스템입니다.
    • 단순한 시그니처 매칭(백신)을 넘어, 알려지지 않은 위협이나 이상 트래픽 증가, 비정상적인 레지스트리 접근 등을 탐지합니다.
  • 과립형 보안 (Granular Security):

    "외곽 담장만 방어하는 것이 아니라, 내부의 개별 호스트 하나하나를 모두 보호하고 모니터링해야 합니다."

    • 모든 단말을 개별적으로 보호하는 이상적인 보안 모델입니다.
    • 현실적으로 모든 시스템에 도입하기에는 비용과 관리 리소스(에이전트 관리 등)의 한계가 있으나, 핵심 서버(DB 서버 등)를 중심으로 점진적으로 적용해 나가는 것이 현대 보안관제가 지향하는 궁극적인 방향입니다.