개념

본 프로젝트에서 사용되는 용어는 다음과 같은 개념과 정의를 기반으로 한다. (다만, 아직 업계/학계에서 명확하게 공식적으로 정의된 바는 없음을 밝힌다.)

---

🔠 Deception

Deception(기만) 기술은 공격자를 속이기 위해 실제로 사용하는 인프라에 미끼(Lure)를 구성하고 이를 활용하는 시스템으로, 특히 미국 NIST SP 800-160, EU 2030 Digital Compass, 일본 NIST STAR-DUST 플랫폼에서 소개되며 최근 Active Defense, Adversary Engagement의 중요한 요소로 부각되고 있다.

(참고: MITRE Engage | An Adverary Engagement Framework https://engage.mitre.org/)

🚩 사용 목적

1. 공격자 탐지: 해커가 내부 인프라에 침투한 것을 알고, 위치 또한 확인할 수 있다. 또는 임직원이 평소와 다른 행동을 했다는 것을 탐지할 수 있다.

2. 시간 지연: 실제 인프라가 아닌 통제 가능한 가짜 인프라로 유도하여 Blue team이 해커를 적절하게 대응할 시간을 벌 수 있다. 또한 공격자가 미끼와 실제 자산을 구분하는 데 인지적 자원을 소모할 가능성이 있다.

3. 정보 수집: 실제로 우리 회사에 침투하는 공격자의 행위를 로깅으로 파악함으로써 맞춤화된 데이터를 쌓을 수 있고, 이를 분석하여 추후 공격에 대비할 수 있다.

---

🔠 Deception vs. Honeypot

Honeypot은 보안에서 전혀 새로운 개념이 아니며, 이미 많이 연구되고 활용되어 왔다.

Deception은 더 넓은 개념으로, Honeypot, Honeytoken 등 Honey-X를 포함하며 Adversary Engagement의 개념 안에서 존재한다.

이러한 Honeypot과 Deception 솔루션의 가장 큰 기술적인 차이점은

Honeypot🍯은 기존 인프라와 분리되어 동작하는 하나의 시스템(주로 서버)의 형태이고,

Deception🧊은 기존 인프라에 포함되어 동작하는 통합된 시스템이라는 것이다.

※ 단, 이는 Low Interaction Honeypot에 한정하며, High interaction Honeypot과는 구분이 모호하다.

---

🔠 Components

기만 기술에 사용되는 미끼(Lure)는 Decoy와 Breadcrumb로 구분할 수 있다. [1]

• Decoy는 공격자의 타깃이 되도록 의도적으로 설계된 시스템으로, 네트워크, 시스템, 애플리케이션 계층에서 실제 시스템을 모방하여 공격자의 주의를 끌고 실제 자산으로부터 멀어지도록 하는 역할을 한다.

• Breadcrumb는 공격자를 속이기 위한 가짜 정보로, 주로 데이터 계층에 적용되어 실제 자산에 접근하기까지 시간을 지연시키거나, Decoy에 접근하도록 유인하는 역할을 한다.

  • Active Breadcrumb는 공격자가 접근하거나 사용했을 때 경고를 생성할 수 있어 Tripwire로도 불리고, 공격자의 위치를 탐지할 수 있다.

  • Passive Breadcrumb는 경고를 생성하지 않고 유인하는 역할만 수행한다.

---

[1] TOUNSI, Wiem. Cyber deception, the ultimate piece of a defensive strategy-proof of concept. In: 2022 6th Cyber Security in Networking Conference (CSNet). IEEE, 2022, p. 1-5.