사이버 공격은 클라우드, IoT, AI와 같은 진화하는 IT 기술을 이용해 한층 더 지능적으로 진화하고 있다. 반면 기업/기관은 새로운 기술이 가져올 신종 위협에 대응하고, 변화하는 비즈니스 환경에 맞춰 보안 전략을 수립하는 한편, 보안인식 없는 경영진과 임직원을 설득해야 한다는 삼중고에 시달리고 있다. 진화하는 위협 상황에서 기업/기관의 비즈니스를 보호하는데 도움을 주는 보안 제품과 서비스를 소개한다.<편집자>
사이버 공격 대응을 위해 위협 인텔리전스 서비스에 관심을 갖는 기업/기관들이 늘어나고 있다. 전 세계에서 발생하는 위협 정보와 자신의 조직에서 탐지된 위협 정보를 비교해 탐지된 위협이 실제 피해를 입힐 수 있는 것인지 판단하고 대응할 수 있는 기준을 마련하고자 하는 수요도 늘어나고 있다.
조직 내에 구축해 운영하는 APT 방어 솔루션이 탐지한 이벤트가 실제 공격인지 여부를 확인하기 위해서는 위협 이벤트를 분석하는 전문가가 필요하다. 위협 인텔리전스와 연계해 탐지 정확도를 높이기 위해서는 매우 높은 수준의 전문지식이 있어야 한다.
오픈베이스의 ‘타르고스(TARGOS)’는 각 조직에 설치된 샌드박스와 위협 인텔리전스를 제공하는 컨트롤타워의 정보를 연계해 위협 가시성을 확보할 수 있도록 도와주는 시스템이다. 오픈베이스가 자체 개발해 2016년 출시한 지능화된 위협정보 공유·관리시스템인 타르고스는 각 기관에서 보유하고 있는 APT 탐지 시스템(샌드박스)을 효과적으로 활용할 수 있도록 지원한다.
특히 컨트롤타워에서 제공하는 위협정보를 기관에 설치된 샌드박스에 빠르게 적용해 위협 확산을 차단한다. 또한 기관에서 발생한 위협정보를 수집해 제공함으로써 컨트롤타워에서 기관의 위협현황을 전체적으로 파악할 수 있도록 도와준다.
조직화되고 지능화된 위협과 동적으로 변경되는 악성코드, 다양한 경로를 통한 위협 등을 컨트롤타워에서 배포되는 탐지 규칙을 바탕으로 다중 분석해 APT 대응 가시성을 제공한다.
타르고스 시스템은 ‘타르고스 릴레이(TARGOS Relay)’와 ‘타르고스 매니저(TARGOS Manager)’로 구성된다. 릴레이는 컨트롤타워에서 배포되는 탐지규칙을 기관에 설치된 샌드박스에 적용하며, 샌드박스에 탐지된 탐지 결과를 수집, 내부 저장소에 저장하고, 컨트롤타워에 전달한다.
타르고스 매니저는 타르고스 릴레이에서 수집한 탐지결과를 바탕으로 가시성을 제공한다. 탐지 결과를 다양한 분류 기준으로 분류 및 통계화 한 후 이를 사용자에게 제공한다.
이를 통해 ▲샌드박스 탐지 결과 수집 ▲국가 배포 서버와 연동을 통한 자동 룰 동기화 ▲기관별 가상화 ▲다양한 분석 방식을 활용한 다중 분석 제공 ▲위험도 기준의 대시보드 및 Top N 정보 제공 등을 제공한다.
