개념
본 프로젝트에서 사용되는 용어는 다음과 같은 개념과 정의를 기반으로 한다. (다만, 아직 업계/학계에서 명확하게 공식적으로 정의된 바는 없음을 밝힌다.)
🔠 Deception
Deception(기만) 기술은 공격자를 속이기 위해 실제로 사용하는 인프라에 미끼(Lure)를 구성하고 이를 활용하는 시스템으로, 특히 미국 NIST SP 800-160, EU 2030 Digital Compass, 일본 NIST STAR-DUST 플랫폼에서 소개되며 최근 Active Defense, Adversary Engagement의 중요한 요소로 부각되고 있다.
(참고: MITRE Engage | An Adverary Engagement Framework https://engage.mitre.org/)
🚩 사용 목적
공격자 탐지: 해커가 내부 인프라에 침투한 것을 알고, 위치 또한 확인할 수 있다. 또는 임직원이 평소와 다른 행동을 했다는 것을 탐지할 수 있다.
시간 지연: 실제 인프라가 아닌 통제 가능한 가짜 인프라로 유도하여 Blue team이 해커를 적절하게 대응할 시간을 벌 수 있다. 또한 공격자가 미끼와 실제 자산을 구분하는 데 인지적 자원을 소모할 가능성이 있다.
정보 수집: 실제로 우리 회사에 침투하는 공격자의 행위를 로깅으로 파악함으로써 맞춤화된 데이터를 쌓을 수 있고, 이를 분석하여 추후 공격에 대비할 수 있다.
🔠 Deception vs. Honeypot
Honeypot은 보안에서 전혀 새로운 개념이 아니며, 이미 많이 연구되고 활용되어 왔다.
Deception은 더 넓은 개념으로, Honeypot, Honeytoken 등 Honey-X를 포함하며 Adversary Engagement의 개념 안에서 존재한다.
이러한 Honeypot과 Deception 솔루션의 가장 큰 기술적인 차이점은
Honeypot🍯은 기존 인프라와 분리되어 동작하는 하나의 시스템(주로 서버)의 형태이고,
Deception🧊은 기존 인프라에 포함되어 동작하는 통합된 시스템이라는 것이다.
※ 단, 이는 Low Interaction Honeypot에 한정하며, High interaction Honeypot과는 구분이 모호하다.
🔠 Components
기만 기술에 사용되는 미끼(Lure)는 Decoy와 Breadcrumb로 구분할 수 있다. [1]
Decoy는 공격자의 타깃이 되도록 의도적으로 설계된 시스템으로, 네트워크, 시스템, 애플리케이션 계층에서 실제 시스템을 모방하여 공격자의 주의를 끌고 실제 자산으로부터 멀어지도록 하는 역할을 한다.
Breadcrumb는 공격자를 속이기 위한 가짜 정보로, 주로 데이터 계층에 적용되어 실제 자산에 접근하기까지 시간을 지연시키거나, Decoy에 접근하도록 유인하는 역할을 한다.
Active Breadcrumb는 공격자가 접근하거나 사용했을 때 경고를 생성할 수 있어 Tripwire로도 불리고, 공격자의 위치를 탐지할 수 있다.
Passive Breadcrumb는 경고를 생성하지 않고 유인하는 역할만 수행한다.
[1] TOUNSI, Wiem. Cyber deception, the ultimate piece of a defensive strategy-proof of concept. In: 2022 6th Cyber Security in Networking Conference (CSNet). IEEE, 2022, p. 1-5.
Last updated