침해 흔적(IOC) 대조만으로는 공격자가 그 흔적을 바꾸는 순간 따라잡을 수 없습니다. 그때 행위 기반의 IOA가 도움이 됩니다. 그 의미와 활용법을 살펴봅니다(공격 절차는 다루지 않습니다).
IOC vs IOA — 결과의 흔적 vs 진행 중인 행위
IOC(Indicator of Compromise) = 결과의 흔적
- 사후 증거: 해시, IP, 도메인
- 알려진 악성과 기계적으로 대조 가능 — 빠름
- 하지만 공격자가 쉽게 바꿈
- 본질적으로 사후 대응적
IOA(Indicator of Attack) = 진행 중인 행위
- 기법의 흐름: 권한 상승 → 측면 이동 → 탈취
- 실시간에 더 가깝게 잡아냄
- 바꾸기 어려움(공격의 본질이므로)
- 도입이 무거움 — 메커니즘 이해가 필요
왜 행위는 바꾸기 어려운가
공격자에게 파일 해시나 IP는 일회용입니다. 하지만 "어떻게 공격하느냐"의 흐름은 목표(권한 획득, 확산, 탈취)에 묶여 있어 쉽게 바꿀 수 없습니다.
소규모 팀도 활용하는 법
전용 EDR(엔드포인트 행위를 모니터링하는 제품)이 없어도, 핵심은 '평소와 다른 행위'를 지켜보는 것입니다.
자신의 '평소'를 알기
행위 이상을 지켜보기
적중 시 격리하고 조사
IOC 대조와 짝지어 유지
본 사이트의 견해: 알아채기와 일어나지 않게 하기는 다르다 — 둘 다 유지하라
IOA는 강력한 "행위로 알아채기" 발상이지만, 본 사이트는 "알아채기"에만 기대지 말 것을 권장합니다. 탐지(IOA/IOC)는 사고가 시작된 이후의 이야기이고, 진짜 목표는 시작·확산을 허용하지 않는 설계 — 최소 권한, 신속한 패치(CVE 모니터링), 피싱 저항 MFA, 평문 시크릿 금지 — 입니다. 완벽한 예방은 존재하지 않으므로, 예방(일어나지 않게)과 탐지(IOA/IOC로 알아채기)는 두 바퀴입니다. 행위 기반 IOA는 흔적 대조보다 한 발 일찍 이상을 드러낸다는 점에서 가치를 더합니다.
다음으로 읽기
- 용어집: IOC(Indicator of Compromise)란 · CVE란
- 피드: 위협 피드
FAQ
QIOA와 IOC의 차이는 무엇인가요?
IOC(Indicator of Compromise)는 침해의 사후 흔적 — 파일 해시, 목적지 IP/도메인 — 입니다. IOA(Indicator of Attack)는 진행 중인 공격의 행위 — 권한 상승 → 측면 이동 → 탈취의 흐름 — 를 지켜봅니다. IOC는 사후적이고 정적이며, IOA는 실시간에 가깝고 행위 기반입니다.
Q왜 IOA가 '더 오래 가나요'?
공격자는 파일 해시와 IP를 순식간에 바꿀 수 있습니다(IOC는 금세 낡습니다). 하지만 공격이 작동하는 방식 — 권한을 얻고, 옆으로 번지고, 탈취하는 것 — 은 공격의 본질이라 쉽게 바꿀 수 없습니다. 그래서 행위(IOA)를 지켜볼수록 방어가 더 오래 유효합니다.
Q소규모 팀도 IOA를 쓸 수 있나요?
고급 EDR 제품이 없어도 발상은 적용됩니다. 핵심은 '평소와 다른 행위'를 지켜보는 것입니다 — 이상한 시각의 대량 전송, 낯선 상주 프로세스, 평소 건드리지 않는 관리자 기능의 반복 사용, 로그인 시도 폭주. 이런 것들이 개별 IOC보다 공격의 진행을 더 일찍 드러낼 수 있습니다.