728x90
다이아몬드 모델이란?
다이아몬드 모델(Diamond Model of Intrusion Analysis)은 사이버 공격을 체계적으로 분석하고 이해하기 위한 사이버 보안 프레임워크입니다. 이 모델은 공격을 구성하는 네 가지 핵심 요소, 즉 공격자(Adversary), 도구/방법(Capability), 기반 시설(Infrastructure), 그리고 피해자(Victim)로 분류하여 해킹이 어떻게 발생했는지에 대한 전체적인 그림을 제공합니다.
(참고) 미국 정부 정보 기관에서 개발된 만큼 높은 공신력을 가지고 있으며, 사이버 위협을 효과적으로 식별하고 대응하는 데 유용한 분석 도구로 활용됩니다.
다이아몬드 모델을 사용해야 하는 이유 3가지
다이아몬드 모델은 사이버 공격의 복잡성을 이해하고 효과적으로 대응하기 위한 강력한 분석 도구로 활용됩니다.
1. 공격을 전체적으로, 깊이 있게 이해할 수 있음
복잡한 해킹 시나리오도 다이아몬드 모델의 4가지 구성요소(공격자, 도구/방법, 기반 시설, 피해자)로 구분하여 쉽게 파악할 수 있습니다. 또한 해당 모델을 기반으로 "이 공격이 혹시 더 큰 나쁜 계획의 일부일까?", "같은 시간에 다른 곳도 공격당했을까?" 같은 질문에 답하면서 공격의 동기, 목표, 사용된 자원, 그리고 공격이 미치는 영향을 깊게 이해하는 데 큰 도움을 받을 수 있습니다. 이는 단편적인 정보로는 파악하기 어려운 공격의 전체적인 맥락과 숨겨진 의도를 밝혀내는 데 필수적입니다.
2. 해킹 상황을 효율적으로 분석하고, 빠르게 대처
다이아몬드 모델은 공격의 각 요소를 명확히 정의함으로써, 분석가들이 혼란스러운 상황 속에서도 체계적으로 정보를 분류하고 연결할 수 있도록 돕습니다. 이는 공격의 패턴을 신속하게 식별하고, 현재 진행 중인 공격에 대한 통찰력을 얻어 효과적인 방어 및 대응 전략을 빠르게 수립하는 데 기여합니다. 예를 들어, 특정 기반 시설이 반복적으로 사용되는 것을 파악하여 해당 기반 시설을 차단하거나, 공격자의 새로운 도구/방법을 예측하여 선제적으로 방어 체계를 강화할 수 있습니다.
3. 다른 보안 프레임워크와 시너지 효과
다이아몬드 모델은 단독으로 사용될 때도 강력하지만, MITRE ATT&CK 프레임워크나 킬체인 모델과 같은 다른 사이버 보안 프레임워크와 결합될 때 그 효과가 극대화됩니다. 다이아몬드 모델이 공격의 "누가(공격자)", "무엇을(도구/방법)", "어디서(기반 시설)", "누구에게(피해자)"를 명확히 하는 반면, 킬체인 모델은 공격의 "어떻게(단계별 진행)"를 보여주고, MITRE ATT&CK은 "어떤 기술(세부 전술)"이 사용되었는지를 상세히 설명합니다. 이들을 함께 사용하면 사이버 공격에 대한 훨씬 더 포괄적이고 심층적인 이해를 바탕으로, 보다 강력하고 다층적인 보안 전략을 구축할 수 있습니다.
다이아몬드 모델의 4가지 구성요소
다이아몬드 모델은 다이아몬드의 네 꼭짓점처럼 네 가지 주요 구성 요소로 이루어져 있습니다. 모든 사이버 공격에는 이 네 가지 구성 요소가 존재하며 서로 관련되어 있습니다.
예를 들어, 공격자(Adversary)는 특정 역량(Capability)을 사용하여 특정 인프라(Infrastructure)를 통해 피해자(Victim)를 공격합니다.
1. 공격자 (Adversary)
사이버 공격의 배후에 있는 주체로, 공격의 의도를 가지고 실제 침해 행위를 수행하는 개인이나 조직을 의미합니다. 초기에는 파악하기 어려울 수 있지만, 사건 발생 후 수집된 데이터와 시그니처를 통해 점차 그 정체를 특정할 수 있습니다.
다이아몬드 모델은 공격자를 더 깊이 이해하기 위해 공격자 운영자(Adversary Operator)와 공격자 고객(Adversary Customer)을 구분합니다.
-
공격자 운영자 (Adversary Operator): 실제로 해킹이나 침입 활동을 기술적으로 수행하는 "해커" 또는 사람들을 지칭합니다. 이들은 공격 실행을 담당합니다.
-
공격자 고객 (Adversary Customer): 침입 활동을 통해 궁극적인 이득을 얻는 주체입니다. 이는 공격자 운영자와 동일 인물일 수도 있고, 별개의 개인이나 조직일 수도 있습니다. 공격의 동기와 목표를 제공하며, 여러 운영자를 통제하여 다양한 공격을 지시할 수 있습니다.
예시: 어떤 기업이 경쟁사 정보 탈취를 위해 해커 그룹에 의뢰했다면, 실제 침투를 담당하는 해커는 '공격자 운영자'이고, 정보 탈취를 통해 이득을 얻으려는 기업은 '공격자 고객'이 됩니다. 이 구분을 통해 사이버 공격의 복잡한 동기와 구조를 명확히 분석할 수 있습니다.
2. 피해자 (Victim)
공격자의 목표가 되는 대상입니다. 조직, 개인, 특정 이메일 주소, IP 주소, 도메인 등 다양하며, 모든 사이버 공격에는 항상 피해자가 존재합니다. 피해자는 공격자에게 시스템 침투의 기회를 제공할 수 있습니다.
피해자를 분석할 때는 피해자 페르소나(Victim Personae)와 피해자 자산(Victim Assets)을 구분하는 것이 중요합니다. 이 둘은 서로 다른 분석적 기능을 수행합니다.
- 피해자 페르소나 (Victim Personae): 공격의 대상이 되는 사람과 조직을 의미하며, 이들의 자산이 공격받고 악용됩니다.
- 피해자 자산 (Victim Assets): 공격 표면을 구성하며, 공격자가 자신의 역량(Capability)을 직접적으로 겨냥하는 시스템, 네트워크, 이메일 주소, 호스트, IP 주소, 소셜 네트워킹 계정 등을 포함합니다.
3. 역량 (Capability)
사이버 공격 이벤트에서 공격자가 사용하는 기술, 도구, 기법을 의미하며, 공격자의 **전술, 기술, 절차(TTPs: Tactics, Techniques, and Procedures)**를 명확하게 보여줍니다. 이는 수동적인 비밀번호 추측부터 악성코드 개발이나 악성 도구 제작과 같은 고도로 정교한 기법까지, 피해자를 공격하는 데 사용되는 모든 기술을 포함합니다.
역량은 다음 두 가지 개념으로 더 자세히 설명될 수 있습니다.
-
역량 용량 (Capability Capacity): 공격자가 가진 **개별 도구(역량)**가 얼마나 다양한 유형의 취약점이나 시스템을 공격할 수 있는지를 나타냅니다.
-
공격자 무기고 (Adversary Arsenal): 공격자가 보유하고 있는 모든 도구(역량)들의 총합을 말합니다.
(참고) 공격자는 필요한 역량을 반드시 갖추고 있어야 합니다. 이러한 역량은 악성코드 및 피싱 이메일 개발 기술일 수도 있고, 서비스형 악성코드(MaaS)나 서비스형 랜섬웨어(RaaS)를 구매하는 것과 같이 역량에 접근할 수 있는 능력일 수도 있습니다.
4. 인프라 (Infrastructure)
인프라는 공격자가 사이버 공격을 수행하거나 공격을 통제하기 위해 사용하는 모든 연결 수단을 의미합니다. 이는 소프트웨어든 하드웨어든 상관없이, 공격자가 자신의 '역량(Capability)'을 피해자에게 전달하거나, 공격 후 피해자 시스템을 계속 제어하는 데 필요한 물리적 또는 논리적 연결망을 말합니다.
예시:
-
명령 및 제어(C2) 센터: 공격자가 악성코드를 통해 감염된 컴퓨터에 명령을 내리거나 정보를 받아오는 서버.
-
데이터 유출 경로: 공격자가 피해자의 데이터를 훔쳐 자신에게 전송할 때 사용하는 경로.
-
IP 주소, 도메인 이름, 이메일 주소: 공격자가 악성 웹사이트 호스팅, 피싱 이메일 발송, 통신에 사용하는 주소.
-
악성 USB 장치: 사용자가 컴퓨터에 꽂도록 유도하는 물리적인 연결 수단.
인프라는 두 가지 주요 유형으로 나뉩니다.
-
유형 1 인프라 (Type 1 Infrastructure): 공격자가 직접 통제하거나 소유하는 인프라입니다.
-
유형 2 인프라 (Type 2 Infrastructure): 중개자에 의해 통제되는 인프라입니다. 때로는 중개자가 이를 인지하지 못할 수도 있습니다. 피해자가 공격자로 인식하는 인프라가 바로 이 유형 2 인프라입니다. 유형 2 인프라는 활동의 출처와 귀속을 모호하게 하는 목적을 가집니다.
- 예시: 악성코드 스테이징 서버, 악성 도메인 이름, 손상된 이메일 계정 등.
다이아몬드 모델 활용 예시
2020년에 발생한 SolarWinds 공급망 공격은 다이아몬드 모델을 적용하여 각 요소를 명확히 파악할 수 있는 대표적인 사례입니다. 이 공격은 전 세계 수많은 정부 기관 및 기업에 영향을 미친 대규모 사이버 스파이 캠페인이었습니다.1. 공격자 (Adversary): 'APT29' 또는 'Cozy Bear' (러시아 국가 지원 해킹 그룹)
-
공격자 운영자: 실제 침투 및 악성코드 개발, 배포 활동을 수행한 러시아의 국가 지원 해킹 그룹 'APT29' (또는 'Cozy Bear'로도 알려짐)의 기술자 및 작전 팀. 이들은 고도의 기술력과 조직력을 갖추고 장기간에 걸쳐 공격을 계획하고 실행했습니다.
-
공격자 고객: 러시아 대외정보국(SVR)과 같은 러시아 정부 기관. 이들은 서방 정부 및 기업의 기밀 정보를 탈취하고 사이버 스파이 활동을 수행하는 것을 궁극적인 목표로 삼았습니다.
2. 피해자 (Victim): SolarWinds 사용자 및 그들의 고객
-
피해자 페르소나:
- 1차 피해 조직: 네트워크 관리 소프트웨어인 SolarWinds Orion 플랫폼을 사용하는 전 세계 정부 기관, IT 기업, 포춘 500대 기업 등 수많은 조직. 이들은 공격자의 1차 침투 대상이자 소프트웨어 공급망 공격의 희생양이 되었습니다.
- 2차 피해 조직: SolarWinds Orion을 사용하는 1차 피해 조직과 연결된 고객사나 파트너사.
- 피해자 자산:
- SolarWinds Orion 소프트웨어가 설치된 네트워크 관리 시스템 및 서버.
- 침투된 네트워크 내의 민감 정보 (예: 이메일 서버, 파일 서버, 클라우드 환경 접근 정보).
- 관리자 계정 정보, 시스템 설정 정보 등 공격자가 추가 침투를 위해 노린 핵심 자산.
3. 역량 (Capability): 교묘한 소프트웨어 업데이트 조작 및 백도어 악성코드
-
역량 용량: 공격자들은 SolarWinds Orion 소프트웨어의 합법적인 업데이트 메커니즘을 조작하여 악성코드를 삽입하는 고도로 정교한 기술을 사용했습니다. 이는 단순한 악성코드 유포를 넘어, 신뢰할 수 있는 소프트웨어 공급망을 오염시키는 광범위한 역량을 보여줍니다. 삽입된 악성코드는 다양한 환경에서 동작할 수 있도록 설계되었습니다.
-
공격자 무기고:
- SUNBURST (Trojanized Orion Software Update): SolarWinds Orion 소프트웨어 업데이트에 삽입된 백도어 악성코드. 이 코드는 시스템에 잠복해 있다가 특정 기간이 지난 후 C2 서버와 통신하여 추가 악성코드를 다운로드하거나 명령을 실행할 수 있었습니다.
- SUNSPOT: SolarWinds 빌드 시스템을 감염시켜 SUNBURST 악성코드를 합법적인 소프트웨어 업데이트에 주입하는 데 사용된 악성코드. 이는 빌드 환경 자체를 조작하는 매우 정교한 역량을 의미합니다.
- TEARDROP/RAINDROP: SUNBURST를 통해 추가적으로 배포된 메모리 상주형 백도어.
합법적인 도구 사용: Mimikatz, BloodHound 등 시스템 내부에서 권한을 상승시키거나 네트워크를 정찰하는 데 사용된 합법적인 관리 도구들.
4. 인프라 (Infrastructure): 합법적인 공급망 및 클라우드 서비스 활용
-
유형 1 인프라 (공격자 직접 통제): 공격자들이 SUNBURST 악성코드와 통신하고 추가 명령을 내리기 위해 사용한 C2 서버. 이 서버들은 주로 해외에 위치하거나 클라우드 서비스를 악용하여 익명성을 유지했습니다. 초기에는 도메인 생성 알고리즘(DGA)을 사용해 특정 기간에만 C2 도메인을 활성화하기도 했습니다.
-
유형 2 인프라 (중개자에 의해 통제, 피해자가 인지):
- SolarWinds Orion 업데이트 서버: 가장 핵심적인 인프라로, 공격자들이 합법적인 SolarWinds 소프트웨어 업데이트 시스템을 침해하여 악성 업데이트 파일을 배포하는 데 사용했습니다. 피해 기업들은 이 서버를 신뢰할 수 있는 업데이트 출처로 인식했습니다.
- 감염된 피해자 네트워크: SUNBURST가 설치된 피해 기업들의 내부 네트워크 및 시스템 자체가 공격자에게 추가 공격을 위한 거점 역할을 했습니다.
- 클라우드 서비스: Microsoft 365, Azure 등 합법적인 클라우드 서비스를 악용하여 C2 통신을 위장하거나 탈취한 데이터를 외부로 유출하는 데 사용했습니다. 이는 네트워크 방화벽 우회를 용이하게 했습니다.