WhiteMail
블로그로 돌아가기
·WhiteMail 보안팀#explainer#glossary#detection

보안 용어 풀이 — 무엇이 '악성'인가: IOC, 이상 징후, 행동, 의도

보안 도구들은 하나같이 "악성" 이메일을 찾아낸다고 말하지만, 그 의미는 제각각입니다. 그 아래에는 네 가지 다른 질문이 있고, 대략 회피하기 어려운 순서대로 늘어섭니다. 그리고 현대의 공격은 앞의 세 질문을 견디고 살아남도록 만들어집니다.

네 가지 질문

  • IOC(침해 지표, Indicator of Compromise)이것이 이미 나쁜 것으로 알려진 무언가와 일치하는가? 차단 목록의 도메인, 알려진 악성 파일 해시, 표시된 발송 IP. 빠르고 정밀하지만, 딱 그 목록만큼만 좋고, 새로운 것에는 무력합니다.
  • 이상 징후(Anomaly)이것이 통계적으로 드문가? 새로운 국가에서의 로그인, 처음 보는 발신자, 이상한 발송 시각. 이상 징후는 새로움을 드러내지만, 대부분의 새로움은 무해하기에, 단독으로는 잡음을 만듭니다.
  • 행동(Behavior)이것이 자리 잡힌 패턴에서 벗어나는가? 관계 도중 갑자기 입금 계좌가 바뀐 거래처, 한 번도 상품권 구매를 요청한 적 없던 동료가 지금 그러는 경우. 행동 기반 탐지는 맥락 — "정상"이 무엇이었는지에 대한 모델 — 을 필요로 하며, 바로 거기서 강력해집니다.
  • 의도(Intent)이 메시지가 실제로 사람에게 무엇을 하게 만들려 하는가? 돈을 옮기게, 자격증명을 입력하게, 보안 단계를 우회하게, 확인하기 전에 행동하게. 의도는 메타데이터가 아니라 메시지의 의미에서 읽힙니다.

왜 순서가 중요한가

각 질문은 앞의 것보다 회피하기 어렵습니다. 공격자는 새 인프라를 써서 IOC를 손쉽게 피합니다. 통계적으로 정상처럼 행동해 이상 징후에 묻힙니다. 때로는 예상된 행동 안에 머무를 수도 있습니다. VEC가 바로 그것입니다. 진짜 계정에 올라타기 때문에 자리 잡힌 것처럼 보이는 행동입니다.

하지만 공격자는 공격을 제거하지 않고서는 의도를 제거할 수 없습니다. 이메일이 돈을 옮기게 하거나 자격증명을 내놓게 해야 한다면, 지표가 아무리 깨끗하고, 통계가 아무리 평범하고, 계정이 아무리 진짜여도 그 목적은 거기 있습니다. 의도는 공격자가 성공하면서 동시에 "결백하게" 답할 수 없는 유일한 질문입니다.

이것이 WhiteHat와 어떻게 맞물리는가

그래서 WhiteHat는 어느 한 질문에도 의존하지 않습니다. SA-02는 인프라 지표를, SA-01은 발신자 행동과 신원을, SA-03은 링크를, SA-04는 의도를 봅니다. 그리고 오케스트레이터가 이들을 하나의 판정으로 대조합니다. 깊은 질문이 얕은 질문이 놓치는 것을 잡고, 얕은 질문은 해당되는 곳에서 정밀함을 더합니다.

업계 전체가 통과하고 있는 전환을 한 문장으로: 알려진 나쁜 것을 매칭하는 일에서, 메시지가 의도하는 바를 조사하는 일로.


실제 메시지에 대해 네 가지 질문의 답을 한 번에 보고 싶다면 분석 콘솔에서 확인해 보세요.