◈ 이 책에서 다루는 내용 ◈

◆ CTI의 이해, 핵심 개념, 위협 예방 및 조직의 보호 효과
◆ 위협 사냥 절차의 다양한 단계 탐색
◆ 수집한 데이터의 모델링 및 결과 기록 방법 이해
◆ 실험 환경에서 위협 행위자의 공격 모방
◆ 침입 탐지를 위해 수집한 정보의 활용 및 검색 결과 검증
◆ 문서화 및 전략을 사용해 고위 관리직 및 전체 비즈니스와 의사소통하는 방법


◈ 이 책의 대상 독자 ◈

위협 사냥 실습에 관심이 있는 모두를 위한 책으로, 시스템 관리자, 컴퓨터 공학자, 보안 전문가의 첫 번째 위협 사냥 실습을 돕는 가이드다.


◈ 이 책의 구성 ◈

1장, ‘사이버 위협 인텔리전스’에서는 다양한 위협 유형, 침해 지표 수집 방법, 수집한 정보 분석 방법을 다룬다.
2장, ‘위협 사냥’에서는 위협 사냥을 배우는 곳, 중요한 이유, 사냥 가설 설정 방법을 다룬다.
3장, ‘데이터 출처’에서는 위협 사냥에 대한 이해뿐만 아니라 사냥 프로그램의 기획 및 설계 시 사용할 수 있는 다양한 단계와 모델을 다룬다.
4장, ‘공격자 묘사’에서는 맥락(Context)에 대해 다룬다. 수집한 정보를 이해하려면 적절한 맥락을 제공해야 한다. 맥락과 분석이 없는 정보는 인텔리전스가 아니다. MITRE ATT&CKTM 프레임워크를 이용해 인텔리전스 보고서를 연결하는 방법을 다룬다.
5장, ‘데이터 작업’에서는 데이터 사전 생성 절차를 검토하고 위협 사냥에서 데이터 사전이 중요한 이유와 엔드포인트의 데이터를 하나로 모으는 것이 중요한 이유를 검토한다.
6장, ‘공격자 모방’에서는 위협 행위자 모방 계획을 만들고자 CTI를 사용하는 방법과 이를 데이터 주도 접근 방식과 혼합해 사냥을 수행하는 방법을 다룬다.
7장, ‘연구 환경 조성’에서는 다양한 오픈소스 도구를 이용해 연구 환경을 조성하는 방법을 다룬다. 대부분 윈도우 실험 환경을 만들고 데이터 기록을 위한 ELK 인스턴스를 설정한다.
8장, ‘데이터 질의 방법’에서는 운영체제와 사냥 절차에 익숙해지고자 Atomic Red Team을 이용한 최소 단위 사냥을 수행한다. 시스템에서 Quasar RAT를 탐지하는 사냥 수행 방법을 보여주고자 Quasar RAT으로 시스템을 감염시킨다.
9장, ‘공격자 사냥’에서는 Mordor 솔루션을 ELK/HELK 인스턴스와 통합하는 방법을 다룬다. Mordor 프로젝트의 아이디어는 위협 행위자의 행동을 모방한 사전에 기록한 이벤트를 제공하는 것이다. 인텔리전스 기반 사냥의 예로 APT29 ATT&CK 매핑을 사용하고자 Mordor APT29 데이터 세트를 연구 환경에 적용한다. 끝으로 CALDERA를 이용해 자체적으로 설계한 위협을 모방하는 것으로 끝난다.
10장, ‘프로세스 문서화 및 자동화의 중요성’에서는 문서화를 다룬다. 위협 사냥 절차의 마지막 부분에는 문서화, 자동화 및 최신화가 있다. 이 장에서는 위협 사냥 프로그램의 수준을 향상시킬 수 있는 문서화 및 자동화 팁을 다룬다. 자동화는 분석가들이 같은 사냥을 계속 반복해서 수행하는 것으로부터 자유롭게 하는 핵심이지만 모든 것을 자동화할 수 있는 것은 아니며 반드시 해야 하는 것은 아니다.
11장, ‘데이터 품질 평가’에서는 데이터의 수집 및 정제를 유용하게 하는 몇 가지 오픈소스 도구를 활용해 데이터 품질 평가의 중요성을 다룬다.
12장, ‘결과 이해하기’에서는 연구 환경을 벗어난 곳에서 사냥을 할 때 발생할 수 있는 다른 결과와 필요시 질의를 개선하는 방법을 다룬다.
13장, ‘성공을 위한 좋은 지표의 정의’에서는 지표를 다룬다. 좋은 지표는 개별 사냥을 평가하는 데 사용하는 것뿐만 아니라 전체 사냥 프로그램의 성공을 평가하는 데도 사용한다. 이 장에서는 사냥 프로그램을 평가하는 데 사용할 수 있는 지표 목록을 제공한다. 또한 결과 추적을 위한 MaGMa 프레임워크를 살펴본다.
14장, ‘사고 대응 팀의 참여 및 경영진 보고’에서는 결과를 얘기하는 것을 다룬다. 자신의 분야에서 전문가가 되는 것은 훌륭하지만 그 전문적인 일이 어떻게 기업의 투자 대비 수입에 긍정적인 영향을 끼치는지에 대해 잘 얘기할 줄 모른다면 그리 멀리 가지 못할 것이다. 이 장에서는 침입을 얘기하는 방법과 사고 대응 팀의 참여 방법, 상위 관리자에게 결과를 전달하는 방법을 다룬다.


◈ 옮긴이의 말 ◈

2021년, 코로나바이러스의 대유행으로 재택근무가 일상이 되고 다양한 비대면 온라인 서비스가 등장하면서 AI, 빅데이터, 클라우드와 같은 기술은 그 어느 때보다 빠른 속도로 일과 개인 생활에 밀접한 영향을 끼치며 디지털 전환의 시대를 앞당겼습니다. 이러한 변화는 보안 위협의 다양화와 사이버 공격 빈도의 증가로 이어졌으며, 개인과 기업, 국가의 사이버 보안 중요성은 그 어느 때보다 강조되고 있습니다.
또한 현재도 진행 중인 러시아와 우크라이나 간의 전쟁은 단지 두 국가 간의 물리적 충돌뿐만 아니라 다양한 핵티비스트, 국가와 기업이 참전해 사이버 영토 수호를 위한 사이버 전쟁도 함께 진행되는 모습을 보이며, 사이버 안보 전략이 곧 국가 안보에 직결된다는 것을 명백히 보여주고 있습니다.
이러한 정세에서 기업과 국가는 사이버 침해 사고를 예방하고 사이버 공격에 신속하고 정확하게 대응하기 위한 다양한 노력을 하고 있습니다. 그러나 정보보호 조직에 각 분야 전문가를 채용하더라도 개인의 지식과 경력에 의존할 경우 편향과 오류로 인해 신속한 대응이 어렵거나 잘못된 의사결정을 내리는 위험이 존재합니다.
이를 예방하고자 데이터 기반의 분석, 대응, 의사결정을 지원하는 사이버 위협 인텔리전스를 운영하고 데이터 기반의 사이버 위협 인텔리전스를 활용한 조직의 정보보호 체계를 수립해야 할 필요성이 증가하고 있습니다.
이러한 시기에 사이버 보안 업무를 담당하며 이전에 없던 새로운 환경, 특히 재택근무 체계에 대응하기 위한 조직의 사이버 보안 체계 고도화를 고민하던 중 이 책을 접했습니다. 사이버 위협 인텔리전스와 위협 사냥의 중요성, 데이터 기반의 정확하고 효과적인 체계를 만들기 위한 설명과 실습을 제공하는 책이기에 비슷한 고민을 하고 있을 우리나라의 정보보호 및 IT 업무 담당자, 위협 인텔리전스에 관심이 있는 학생들에게 도움을 주고자 번역을 시작했습니다.
재택근무라는 새로운 근무 환경의 등장으로 급증하는 사이버 보안 위협에 대응하느라 바쁜 일상 속에서도 조금이라도 빨리 출간해 많은 분에게 도움이 되고자 이 책의 번역을 빠르게 마칠 수 있도록 최선을 다했습니다. 번역을 시작한지 이미 꽤 오랜 시간이 지났지만 위협 인텔리전스와 위협 사냥에 관한 입문서로서 여전히 훌륭한 정보와 가치를 제공한다고 생각하고 많은 업무 담당자의 당면한 문제를 해결하고 개선하는 데 실질적인 도움이 되기를 바랍니다.