Whalebone DNS (Domain Name System) 보호 서비스 제공 업체인 웨일본은 ESET이 제공하는 위험 도메인 대해 IoC (Indicators of Compromise)의 품질 검사를 했습니다. 테스트 결과 ESET 위협 인텔리전스에서 IoC를 포함하면 탐지량이 크게 증가해서 오탐이 사실상 0에 이르는 것으로 나타났습니다. 전반적으로 이 테스트는 ESET 위협 인텔리전스를 IoC의 근거로 하여 DNS 단계 보호를 위해 사용하는 것이 적절하다는 것을 입증했습니다.

2018년 1분기, 체코와 슬로바키아에서 대략 50만 개의 연결 장치에 해당하는 거의 10만 개의 인터넷 연결 샘플을 검사했습니다. 테스트의 목적은 ESET 위협 인텔리전스가 제공하는 피드 품질을 확인하는 것이었습니다. 테스트에서 웨일본은 ESET의 피드 성능을 웨일본의 다른 IoC 소스와 비교하면서 차단된 도메인 수와 허위 경보 수를 자세히 조사했습니다. (테스트 전 웨일본의 데이터 공급자 중 엔드포인트 보호 공급 업체는 없었습니다.)

 

ESET이 제공한 데이터

IT 보안 솔루션 및 서비스 제공 업체인 ESET은 최첨단 보안 기술과 제공 데이터의 규모로 인헌 상당한 양의 가치 있는 데이터를 만들어 냅니다. ESET은 고객사를 보호하기 위해 정기적으로 이 데이터를 활용하고, 파트너와 고객에게 ESET 위협인텔리전스 서비스 형태로 이를 제공합니다.

 

ESET의 파트너 중 하나인 웨일본은 기존 DNS/도메인 차단 리소스에 ESET의 데이터 피드 (로우 인텔리전스 피드)를 추가 했습니다.

ESET 시스템은 하루에 수억 개의 URL 수천만 개의 도메인을 처리하는데, 중에는 수천만 개의  고유한 URL 수백만 개의 도메인이 포함됩니다. ESET ESET 보안 솔루션의 보호 계층 중 하나인 URL 차단 기술에 이 데이터를 활용합니다. 그리고 다른 보호 계층을 통과할 가능성이 있는 악성코드를 차단하는 중요한 역할을 수행합니다.

 

URL 차단 기술은 효과적인 보호가 가능하지만 몇 가지 고려할 세부 사항이 있습니다. 부주의 시 허위 경보 형태로 문제의 위험이 나타날 수도 있습니다.

우선, URL은 여러 이유로 차단될 수 있습니다. 두번째, 싱글 도메인에는 간편 URL을 포함해 서로 다른 URL이 있을 수 있습니다. 이에 따라 상세한 분류법이 필요하게 됩니다. ESET은 분류를 위해 24개 이상의 URL과 도메인을 사용합니다.

ESET URL 차단 기술과 달리 웨일본의 기술은 도메인 기반으로 운영되기 때문에, URL 상태는 웨일본과 무관합니다.

 

고객들은 요청을 통해 인터넷 보안 수준을 보다 상세하게 설정할 있습니다. 도메인의 분류를 간단하게 할 수 있는 4가지 조건은 다음과 같습니다.

 

1.      BLOCK (악성 도메인)

2.      PHISHING (피싱 도메인)

3.      UNWANTED (잠재적으로 유해한 컨텐츠가 있는 도메인, 특히 스캠)

4.      BLOCKED_OBJECT (악성 실행 파일이 있는 도메인)

 

그림 1. ESET 분류에 따른 악성 도메인

 

언급된 4가지 기본 도메인 상태는 웨일본이 도메인을 차단하기 위해 BLOCK과 PHISHING 두 가지의 기본 형태로 줄였습니다. 다른 두 가지는 잘못된 허용을 발생시킬 수 있는데 이 현상은 다중 계층 보안 솔루션을 통해서만 성공적으로 대처할 수 있습니다.

 

  • BLOCKED_OBJECT: 도메인에는 일반적으로 깨끗한 페이지가 많고 특정 URL에 대한 악성 파일 갯수가 적습니다.
  • UNWANTED도메인에는 보통 사기성 제안이나 코인 마이너 스크립트가 있지만 일부 사용자는 이러한 컨텐츠에 접근하기를 원할 수 있습니다.

 

시간 민감성 때문에 웨일본에 데이터가 가능한 빨리 도착하는 것이 매우 중요합니다. 그래서 피드는 ESET 쪽에서 5분마다 생성된 후 표준 보안 정보 형식인 STIX 형식으로 TAXII 서버에 업로드 됩니다. 여기서 웨일본은 데이터를 다운로드하고 시스템으로 가져옵니다.

 

그림2. 시스템 구성도

 

 

웨일본은 다운로드 데이터를 몇 분 간격으로 처리해 웨일본 탐지 엔진에 적용합니다. 3일 연속 악성 도메인이 탐지되지 않으면 그 도메인은 활성 위협 리스트에서 삭제됩니다.

 

웨일본 테스트 결과

테스트 기간 동안 2018년 초에서 2018년 4월 중반까지 ESET이 제공한 고유 악성 도메인 5만5천 개가 IoC피드에서 처리되었습니다. 이 중에서 약 천백 개 도메인이 체코와 슬로바키아에 있는 연결 장치 트래픽에서 탐지되었습니다.

 

테스트 장치의 18.5%는 모든 피드 (ESET 및 기타 모든 곳에서 제공한 IoC) 에서 악성 도메인에 최소 한 번은 닿으려고 했습니다. 테스트에서 발생한 전체 사건은 175만 건 안팎이었습니다. 그 중에서 약 절반 가량 (86만6천 건, 정확히 49.51%)이 ESET에서 제공한 IoC만으로 탐지되었습니다. ESET과 초기 웨일본 두 데이터에서 0.47% 사건만 탐지했고 나머지 50.02%는 ESET에서 독립적으로 탐지했습니다.

 

그림 3. 소스당 제공되는 IoC 백분률 (왼쪽 막대)과 탐지에서 IoC 특정 소스의 유용성을 보여주는 그래프

 

예: 이 차트는 ESET이 데이터에서 모든 IoC의 13%를 제공했고 (왼쪽 막대), 52%가 ESET에서 제공하는 IoC만으로 탐지되었거나 (중간 막대), 일부 사건은 전체 클라이언트 IP 주소의 19%가 ESET에서 제공한 IoC에서만 기반해서 탐지되었습니다 (오른쪽 막대).

 

ESET의 IoC를 기반으로 탐지한 모든 사건 중에서 한 개의 싱글 도메인 차단만이 오탐으로 확인되었습니다.

 

테스트 결과 ESET 위협 인텔리전스에서 제공하는 IoC를 포함하면 탐지량이 크게 증가해서 오탐이 사실상 0에 이르는 것으로 나타났습니다.

 

종합적으로 테스트에서 DNS 단계의 보호를 위해 IoC 소스를 사용하는 것은 적절한 것으로 나타났습니다.

 

ESET Threat Intelligence나 ESET의 다른 맞춤 기업 솔루션이 ISP, Telco 또는 업무 영역과 연관이 있는지 확인하려면 솔루션 개요 (PDF)를 다운받으세요.

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 서초구 바우뫼로 216 화인빌딩 3층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요