의의 및 한계

의의

• 개인 성장 측면

  • Deception 솔루션에 대한 정의, 이해 — 논문 및 산업계에서 통용될 수 있는 프로젝트 범위 설정

  • 실제 APT 공격을 기반으로 한 가상시나리오 설정 중 공격자의 관점 이해 ('있을법한', '속을만한' 시나리오를 가정하는 것이 가장 어려웠음)

  • AWS로 AD를 사용하는 인프라 환경 직접 구축으로 깊은 이해 달성

  • Red team과 Blue team 서로의 관점 이해 및 협력 (Golden SAML을 수행하기 위한 일련의 과정에서 발생하는 로그)

• 커뮤니티 기여 측면

  • Deception 솔루션에서 사용되는 용어 정립 (Honeypot과의 구분)

  • AD FS와 연동된 AWS를 대상으로 한 Golden SAML 공격의 구체적인 가이드 제공 (특히 ADFSpoof를 사용하는 경우, 튜토리얼이 별도로 제공되지 않고 자료 또한 없었음)

  • Deception 솔루션을 특정 공격 시나리오를 기반으로 설정하는 방법 제공

향후 연구

향후 연구로는 설계한 기만 기술을 구현할 때, 모니터링 시스템을 발전시켜 각 모듈의 위치를 인프라 구성도에 표시하는 등 가시성을 확보하고, 모듈을 중앙 제어할 수 있도록 하여 공격자와 실제로 상호작용하는 발판을 마련한다면 더욱 능동적인 방어와 적대자 참여를 구현할 수 있을 것으로 기대된다.

한계

본 프로젝트의 근본적인 한계로는, 기업 보안을 제대로 경험해보거나 직접 구축해본 적 없이 가상으로 인프라를 구성하여 실 환경에서 적용했을 때 고려해야 하는 사항들이 부족할 수 있다. 기업에서 어떤 식으로 AD, AWS 권한을 관리하고 있는지, 가상으로 구축한 인프라보다 철저한 보안이 적용되어 있을 때 어떤 식으로 우회하여 Golden SAML을 수행할지 생각하는 것은 쉽지 않다.

실제로 Deception 시스템은 공격자를 일부러 취약한 곳으로 유도하는 것이니만큼 실제 자산과 얼마나 보안 상으로 격리가 잘 되어있는지가 운영상 관건이고, 그래서 보안 성숙도가 높은 기업만이 안전하게 Deception을 목적에 맞춰 활용할 수 있다.

또한 APT 공격자가 시도할 만한 환경이 아니라 가상으로 인프라를 구축하더라도 성능을 테스트할 수 없으며, Deception의 최종 목적인 Adversarial Engagement를 달성하기에는 한계가 있다. 이는 Deception이라는 하나의 기술 또는 솔루션을 도입하는데 끝나는 것이 아니라 전사 보안 조직 내의 문화와 통합되어야 하며, 지속적인 피드백과 개선을 통해 조직의 전통적인 보안 솔루션과 융합되도록하는 Engineering 업무의 중요성을 역설하는 것이기도 하다.

후기

본래대로라면 3학기(1년 6개월) 동안 진행되어야 하지만, 1학기(3개월)만에 프로젝트를 완수해야하는 상황이었다. 4학년이라 각자가 좋아하고 잘하는 것이 뚜렷하여 RED team과 BLUE team이 섞일 수 있는 Purple teaming에가까운 주제를 선정해보고자 하였고, dakuo 멘토님의 도움을 받아 아이디어를 얻어 주제를 확정할 수 있었다.

9월에 시작하여 10월에 주제를 확정, 총 2개월 동안 프로젝트를 진행하여 (1) APT 공격 보고서를 분석하고 (2) 처음 접하는 공격 기법을 중심으로 인프라를 구성하고 (3) 처음 접하는 3가지 기술 스택(AD, AWS, ELK)를 Deception이라는 주제에 맞게 구축하고 연동하는 것은 시간 및 인력의 물리적인 한계로 완전히 구현하지 못하였다.

Deception 시스템의 중요한 축을 담당하는 ELK(모니터링 시스템)은 구현하지 못했지만, 1개월의 시간을 추가로 투자하여 외압없이 자발적으로 프로젝트를 완성도있게 마무리하고, 공개적으로 게시하는 데에는 그 자체로 많은 의미가 담겨있다고 생각한다.