[데이터넷] 카스퍼스키는 제20회 차세대 보안 비전 2021 온라인 컨퍼런스에서 ‘진화하고 있는 위협에 대한 지능적인 대응’을 주제로 다양한 지능형 위협 피해 사례와 진화하고 있는 위협 등을 소개하고, 위협 인텔리전스(TI: Threat Intelligence)를 이용한 지능형 위협 대응 방안과 해결 사례를 상세히 설명했다.

카스퍼스키는 현재 200여 국가에서 보안 솔루션 및 서비스를 제공 중으로, 한국 지사는 2014년에 설립됐다. 카스퍼스키는 엔드포인트 통합 보안, 서버 보안, 클라우드 보안은 물론 POS 및 임베디드 시스템, OT 보안까지 보안 전 영역에 걸쳐 다양한 솔루션을 공급하고 있다.

강민석 카스퍼스키코리아 기술이사는 “네트워크의 진화로 모든 것들이 디지털 네트워크로 연결되고 있으며 코로나19로 인해 비대면 기술에 대한 적응도 빨라지며 모든 것의 디지털화, 네트워크화가 빠르게 이뤄지고 있다”며 “모든 것이 연결되는 세상이 도래하면서 네트워크의 가치가 높아지고 있지만 그에 따른 위협도 커져 랜섬웨어, 공급망 공격, APT 등과 같은 지속적 타깃 공격은 IT를 넘어 OT 위협까지 그 위험은 광범위해지고, 강력해지고 있다”고 강조했다.

이어 강 이사는 “90%의 공격은 범용적인 악성코드나 알려진 취약점을 이용하기 때문에 엔드포인트 보호 솔루션으로 방어가 가능하지만 나머지 10%는 APT 공격과 같은 지능적인 표적형 공격은 기존 솔루션으로는 탐지 및 차단이 불가능하다”며 “이러한 공격 중 0.1%는 파괴력이 상당한 고도의 전문 공격으로, 지능화된 툴과 전문 지식을 갖춘 인력에 의한 심층 조사를 포함한 대응이 필요하다”고 덧붙였다.

현재 카스퍼스키가 추적하고 있는 APT 그룹만 하더라도 100개가 넘을 정도로 위협은 지속적으로 고도화되며 진화해 나가고 있다. 문제는 공격 탐지가 쉽지 않다는 점이다. 

해커나 첨단 도구 증가, 의도적 교란, 도구 및 공격 공유 등 점점 더 복잡해지고 있고, 대규모 조직이 작은 조직을 장악하거나 감염시켜 공격 대상 접근의 경유지로 사용하기도 한다. 또한 흔적 조작이나 허위 흔적 등으로 교란작전도 심화되고 있다. 결국 진화하는 위협에 대응하기 위해서는 위협 인텔리전스(TI)가 해법으로 주목받고 있다.

SIEM(Security Information and Event Management)은 각종 내부 보안 장비들의 로그를 취합해 상관관계 분석을 통해 보안사건 대응 및 위협 사냥에 중요한 역할을 한다. 하지만 공격의 최초 흔적을 찾아야만 그 로그를 근거로 다른 보안 장비의 로그에서 흔적을 찾을 수 있다는 허점이 있다. 즉 어떠한 보안 장비에서도 공격 흔적을 찾지 못하고 놓치고 있다면 상관분석은 의미가 없기에 침해지표(IoC)가 필요하다.

하이브리드 클라우드 환경, IoT, 다양한 웹, 모바일 앱, 차세대 방화벽 및 IPS 등이 진화함에 따라 수많은 로그들이 SIEM으로 들어온다. 이에 보안경고의 수는 기하급수적으로 증가하지만 보안 담당자들은 중요한 경고를 식별하고 못한 채 그 양에 휩쓸리는 것이 현실이다. 결국 사고 분석이나 위협 제거가 아닌 보안경고 분석 대상 선별에 대부분의 시간을 뺐기고 있지만 절반에 가까운 경고들은 조사되지 않으며 평균 공격지속시간은 늘어나고 있다.

특히 인포메이션과 인텔리전스는 큰 차이가 있다. 위협 침해지표를 6단계로 구분하는 고통의 피라미드를 예로 들면 아래쪽에 있는 해시값, IP주소, 도메인 네임과 같은 정수나 문자로 표현되는 침해지표가 인포메이션으로 IDS, IPS와 같은 보안장비에서 사용되는 시그니처다.

반면 피라미드 위로 올라갈수록 정수나 문자 값으로 나타낼 수 없는 네트워크/호스트 구조, 공격 툴, TTPs 등의 침해지표는 찾아내기 힘들고, 정형화가 어려운 내용이 인텔리전스다. 이에 대한 대응을 위해 필요한 것이 TI로 위협을 빠르고 정확하게 탐지할 수 있다.

카스퍼스키는 다양한 소스를 사용한 위협 정보 수집을 통해 TI를 고도화하고 있다. 1억1000만 사용자의 자발적 공유에 의해 개인정보를 제외한 보안 데이터들이 카스퍼스키 시큐리티 네트워크에 업로드되고, 이 데이터는 웹 크롤러, 봇팜과 같은 카스퍼스키 독점의 정보로 보다 풍부해 진다. 카스퍼스키는 매년 36만개 이상의 새로운 멀웨어를 탐지하고 있으며, 1000명 이상의 연구원이 위협 관련 연구를 지속하고 있다.

강 이사는 “카스퍼스키 TI 소스는 앞에서 언급한 카스퍼스키 시큐리티 네트워크의 데이터뿐 아니라 OSINT, 다크웹 등의 정보까지 총망라해 정제한 정보를 고객에게 제공하고, 정보 보안 전략에 따라 적합한 TI 제품군을 선택할 수 있다”며 “카스퍼스키는 TI 포털이라는 단일 접점을 통해 모든 TI 서비스를 제공하고, 축적된 사이버 위협 및 상관관계에 대한 모든 지식을 하나의 강력한 웹 서비스로 통합해 지원한다”고 설명했다.

이어 강 이사는 “카스퍼스키의 목표는 고객에게 가능한 많은 데이터를 제공하는 것이 아니다”며 “이러한 접근방법은 보안담당자를 지치게 만들 뿐으로 카스퍼스키는 대응이 필요한 데이터의 적시 제공으로 공격 침투를 효과적으로 방어하는데 있다”고 덧붙였다.

카스퍼스키 TI는 위협 룩업, 클라우드 샌드박스, 침해지표 위협 데이터 피드 등 다양한 기능을 지원하며 고객의 보안을 강화하고 사건 대응 역량을 높이는데 기여하고 있다. 특히 카스퍼스키 TI 포털에서는 URL, 도메인, IP주소, 파일 해시, 위협 이름, 통계/동작 데이터, WHOIS/DNS 데이터, 파일 특성, 지리적 위치 정보, 다운로드 체인, 타임스탬프 등 최신 보안 위협이 상세하게 정리돼 있는 인텔리전스 검색 서비스를 제공한다.

강 이사는 “카스퍼스키가 자랑하는 침해지표 위협 데이터 피드는 악성IP, URL, 파일 해시, 봇넷, C&C, 랜섬웨어, APT, ICS 등 20가지 카테고리 정보를 담고 있다”며 “10분마다 업데이트되는 침해지표 위협 데이터 피드를 SIEM, SOAR, 방화벽, IPS 등에 통합해 기존 보안 솔루션의 기능을 업그레이드하고, 단순 탐지를 넘어 공격에 대한 배후 정보까지 제공한다”고 설명했다.

이어 강 이사는 “카스퍼스키 TI는 SIEM, SOAR 등과 쉬운 연동을 위한 앱을 제공하고, 국산 솔루션과도 즉각 연동이 가능하다”며 “최고 수준의 보안 전문가로 구성된 GReAT팀에 의해 작성되는 TI 리포팅 서비스는 일반적인 APT 인텔리전스 리포팅은 물론 금융권 위협 인텔리전스 리포팅, 기업 맞춤형 위협 인텔리전스 리포팅 등 다양한 형태로 제공하는 등 TI를 이용한 지능협 위협 대응에 최선을 다하고 있다”고 덧붙였다.

강석오 기자 다른기사 보기