[데이터넷] #사례1: ‘개발자 컨퍼런스 강연 의뢰’, ‘○○○ 정책에 관한 설문조사’, ‘[공지]코로나19 확산 방지 위한 재택근무 권고사항’ 등의 제목으로 수신된 메일의 첨부파일을 클릭했다가 랜섬웨어에 걸리는 사고가 자주 발생한다.

#사례2: 파트너사 담당자가 업무를 위해 필요한 자료를 구글 드라이브로 공유했는데, 사실은 파트너 담당자로 위장한 공격자가 보낸 악성링크였으며, 이 때문에 악성코드에 감염됐다.

#사례3: 인터넷 쇼핑몰에서 필요한 상품을 구입했는데 가짜 사이트여서 신용카드 정보를 유출당했다. 해당 사이트는 정상 사이트와 동일한 디자인을 갖고 있으며, SSL 인증서도 유효한 것이었다.

정상 업무, 신뢰할 수 있는 사람과 인터넷 사이트를 위장한 공격이 횡행하고 있다. 신뢰를 이용하는 이 같은 공격은 기존 보안 솔루션을 우회하는 기능을 갖고 있어 대응이 쉽지 않다. 그래서 기업·기관은 지능형 위협 방어 솔루션을 도입하고 통합·자동화를 위한 도구를 추가하면서 보안 운영을 더 복잡하게 한다. 그렇다고 해서 보안위협을 모두 막을 수 있는 것도 아니다.

윤재탁 레코디드퓨처코리아 차장은 “보안 조직은 너무 많은 정보와 부족한 시간, 외부 상황에 대한 정보 부족, 수작업에 의존하는 비효율적인 탐지·차단으로 어려움을 겪고 있다. 너무 복잡한 보안 운영 환경으로 인해 더 높은 보안위협 상황에 직면하게 된다”고 지적했다.

효과적인 선제대응 지원하는 TI

윤재탁 차장은 <데이터넷TV> 웨비나 ‘사이버 위협 인텔리전스 활용방안’에서 ‘위협 인텔리전스(TI)’를 통해 지능화되는 공격에 선제적으로 대응할 수 있다고 주장했다. TI는 기존 혹은 새로운 위협에 대한 컨텍스트, 매커니즘, 지표, 시사점, 실행 가능한 조언을 지원해 진행중인 위협에 적절하게 대응할 수 있도록 도와준다.

윤 차장은 “솔라윈즈 공급망 공격은 썬버스트 멀웨어를 업데이트 파일에 포함시켜 솔라윈즈 고객에게 유포한 것이다. 만일 솔라윈즈 사용 고객이 해당 위협을 빠르게 인지했다면 피해가 발생하기 전 조치를 취할 수 있었을 것”이라며 “TI는 전 세계에서 발생하는 위협 정보를 제공해 유사한 공격을 신속하게 탐지하고 대응할 수 있도록 도와준다”고 설명했다.

TI가 필요한 이유는 사이버 공격자들도 ROI에 민감하기 때문이다. 공격자들은 투자대비 수익률을 높이기 위해 여러 공격 캠페인에 동일하거나 유사한 공격 도구, 전술·전략을 사용한다. 성공률이 높은 공격은 몇 년 동안 유지하기도하며, 다른 공격조직의 성공한 전략을 모방하기도 한다. 서비스 형 사이버 범죄(CaaS)가 활성화되면서 비슷한 유형의 공격은 더 많이 발생한다.

한 번 발생한 공격의 전술, 전략, 프로세스와 공격도구를 파악하고 있으면 이와 관련된 공격이 다시 진행될 때 빠르게 탐지하고 대응할 수 있다. 다른 국가, 다른 기업·기관에 대한 공격 정보를 파악하고 있으면 이와 유사한 침해시도가 우리 조직에서 발생했을 때 선제적으로 대응할 수 있다.

다양한 소스에서 위협 정보 수집·제공

레코디드퓨처는 TI 전문기업으로, 다양한 고객과 소스에서 위협 정보를 수집, 분석해 인텔리전스를 제공한다. 모든 위협과 모든 보안 기능에 의미있는 컨텍스트를 추가하고, 10억개 이상 인텔리전스 카드를 통해 업무를 확장하고 가속화하는 중요한 데이터를 제공한다.

레코디드퓨처는 ▲각 알람에 대한 위험점수를 제공해 의사결정을 위한 명확한 근거를 제공하는 ‘세콥스(SECOPS) 인텔리전스’ ▲다크웹 모니터링과 위협 환경에 대한 가시성을 확대하는 ‘쓰렛 인텔리전스’ ▲유사 사이트를 탐지하고 브랜드 공격을 완화하는 ‘브랜드 인텔리전스’ ▲취약점 정보의 우선순위를 지정하고, NVD보다 빠른 취약성 정보를 제공하는 ‘취약점 인텔리전스’ ▲공급업체의 위험요소를 진단하고 사전 예방적 실시간 모니터링을 제공하는 ‘써드파티 인텔리전스’ ▲위치에 기반한 보안 동향을 파악학 주요 인물을 모니터링하는 ‘지오폴리티컬(Geopolitical) 인텔리전스’ 등 6가지 라이선스로 제공된다.

국내 기업·기관 맞춤형 공격 정보도 제공

‘경험해보지 못한 가장 완벽한 인텔리전스를 제공하는 기업’이라고 소개하는 레코디드퓨처는 다크웹, 해커와 범죄자, 극단주의자 들의 포럼, 블로그와 소셜미디어에서 유포되는 정보, 텍스트 공유 웹, 고객 피드백, 자체 리서치를 통해 공격 유형과 도구 등을 상세히 분석하고 보고한다. 우리나라 기업·기관을 타깃으로 한 맞춤형 공격도 온디맨드 방식으로 분석 보고서를 제공할 수 있다.

자연어 처리 기술을 이용해 문맥 안에서 사이버 공격 관련 의미있는 인자를 추출해 분석한다. 한국어도 1단계 자연어 처리를 제공하며 올해 말 문맥을 인지하고 분석하는 자연어처리 수준을 제공할 계획이다.

뛰어난 고급 검색 기능도 레코디드퓨처의 장점이다. 검색과 필터링, 이벤트 타입, 예외처리 등 세분화된 필터를 통해 정확한 정보를 제공할 수 있다. 특정 위험에 대한 위험정도를 수치화하며, 이와 관련된 공격 동향, 공격 이벤트에 사용한 멀웨어 종류, 연관된 공격그룹과 공격 유형 등을 상세히 알려줄 수 있다. 더불어 특정 기업 사이트로 위장한 도메인도 찾아 공격으로 인해 기업의 신뢰를 잃는 것을 방지할 수 있다.

더불어 다양한 취약점 정보를 제공, 조직이 사용하는 제품에 취약점이 포함돼 있는지 빠르게 스캔할 수 있다. 취약점이 실제로 악용되면 높은 수준의 위협정보로 분류하고 우선 대응할 수 있도록 지원한다. 여러 보안 솔루션과 쉽게 연동시킬 수 있으며, API를 제공하지 않는 경우 플러그인을 통해 연동할 수 있다.

윤 차장은 “위협이 지능적으로 발전하면서 보안 조직은 다양한 보안 솔루션을 도입하게 되는데, 너무 많은 보안 시스템으로 인해 실제 위협에 적절하게 대응하지 못한다. 레코디드퓨처의 위협 인텔리전스는 근거기반 지식 정보를 제공해 더 효과적으로 위협 이벤트를 찾아 대응할 수 있다. 또 앞으로 도입될 새로운 장비를 더욱 유용하게 사용할 수 있도록 지원한다”고 밝혔다.

데이터넷 다른기사 보기