위협 인텔리전스·다크웹 모니터링·공격표면 관리 등 다양한 인텔리스 제공
[데이터넷] 랩서스 공격그룹은 지난해 남미지역의 기업을 잇달아 공격하면서 보안 전문가들이 주목하기 시작했다. 만일 이들이 남미 지역 기업을 공격한 전술, 전략, 절차(TTP)를 전 세계 모든 기업·기관이 파악하고 대응했으면 피해 확산을 줄일 수 있었을 것이다. 전 세계 위협 정보를 공유해 대응할 수 있도록 도와주는 위협 인텔리전스(TI)가 필요한 이유를 분명히 보여준다.
한규돈 레코디드퓨처 한국지사장은 “TI는 도입 즉시 눈에 띄는 차단 성능을 보여주는 솔루션이 아니며, 기 구축된 보안 솔루션과의 연동, 담당자의 적극성과 전문성에 따라 도입 효과가 다르게 나타난다. 이 때문에 성숙된 보안 환경을 가진 지역에서 시장을 형성할 수 있다고 본다. 한국이 바로 그런 시장”이라며 “국내 기업·기관들도 TI에 매우 높은 관심을 보이고 있으며, 복수의 대규모 조직에 솔루션을 공급하는 성과를 거뒀다”고 밝혔다.
“1분기 2배 성장…향후에도 성장 가도 달릴 것”
레코디드퓨처는 TI 전문기업으로, 2020년 한국지사를 설립하고 시장 개척에 나섰으며, 지난해 10월 한규돈 지사장을 선임하고 영업력을 한층 강화했다. 그 결과 올해 1분기에 2배 이상 성장을 거뒀으며, 2분기에도 높은 성과를 이룰 것으로 자신하고 있다.
한규돈 지사장은 “랩서스 해킹을 비롯해 국내 전 산업군 대상 사이버 위협 수준이 심각한 상황에 이르면서 한국 고객도 진보한 인텔리전스가 필요하다고 인식하게 됐다”며 “레코디드퓨처는 수집한 위협정보 중 고객이 중요하게 검토해야 할 정보를 알려주며, 그에 대한 확실한 증거를 제공해 위협 대응 의사결정을 신속하고 합리적으로 내릴 수 있도록 한다. 이 점을 한국 고객들이 높게 사 좋은 성과를 거두고 있다”고 말했다.
레코디드퓨처는 2009년 설립, 위협 인텔리전스 플랫폼을 제공해 온 전문기업으로, 적기적소에 정확하고 실행 가능한 인텔리전스를 제공해 적보다 한 발 앞서나가는데 필요한 가시성을 제공한다. 전 세계에서 수집된 포괄적인 참조 데이터세트와 수십억개의 외부 엔티티를 상호 연관시켜 충실도 높은 인텔리전스를 제공한다. 공격자부터 공격 경로, 대상까지 위협 전반을 가시화하고, 위협 피드, 공개 인텔리전스, 다크웹, 전문 분석가에 의한 인텔리전스 등을 통해 정확한 위협 정보를 제공한다.
한규돈 지사장은 “기업·기관은 많은 예산을 들여 고급 보안 솔루션을 도입하고 보안 분석가를 고용하며, MSS를 통해 공격을 막고 있지만, 공격자는 모든 보안 대응을 회피할 수 있다. 공격자를 정확하게 파악하고 한 발 앞서 대응할 수 있어야 방어에 성공할 수 있으며, 그 한 방법이 위협 인텔리전스이다”라고 말했다.
업계에서 가장 뛰어난 인텔리전스 제공
최근 국내 보안 기업들이 다크웹에서 거래되는 개인정보·기밀정보의 실태를 분석하면서 TI의 한 영역인 다크웹 모니터링의 중요성을 환기시키고 있다.
일각에서는 “다크웹에 공개되는 정보 중 가치있는 정보는 그리 많지 않고, 공격자들이 이름을 알리기 위해 수집한 가짜정보, 유효기간이 지난 오래된 정보를 판매한다고 알린다”며 다크웹 공개 정보를 모두 믿을 수 있는 것은 아니라고 주장한다. 이 주장은 일부 사실이지만, 다크웹에서 판매되는 정보 중 중요 시스템에 접근할 수 있는 특권관리자 계정도 다수 포함돼 있기 때문에 절대로 간과해서는 안된다. 실제로 랩서스 공격자들 역시 다크웹에서 VDI·VPN 계정을 구입해 침투한 것으로 알려진다.
한규돈 지사장은 “다크웹에서 거래되는 정보 중 공격에 사용되는 핵심적인 중요 정보가 있기 때문에 경각심을 가져야 한다. 레코디드퓨처는 공격자들이 자신이 보유한 정보나 공격기술을 과장해서 자신한다 해도 정확하게 이 공격자가 어느 정도 위험한 수준인지 파악할 수 있도록 공격자 신뢰평가 지수를 제공한다. 레코디드퓨처가 오랜 기간 추적하고 분석한 정보를 기반으로 평가한 이 지수를 참고해 다크웹에서 거래되거나 공유되는 정보의 신뢰도를 파악하고 적절히 대응할 수 있다”고 밝혔다.
레코디드퓨처는 단일 플랫폼에서 ▲브랜드 인텔리전스 ▲위협 인텔리전스 ▲써드파티 인텔리전스 ▲섹옵스(SecOps) 인텔리전스 ▲취약점 인텔리전스 ▲지정학적(Geopolitical) 인텔리전스 ▲아이덴티티 인텔리전스 ▲카드사기 인텔리전스 ▲공격표면 인텔리전스 등 9가지 모듈을 제공한다. 다크웹 등에서 피싱이나 사기를 위한 브랜드 사칭, 개인정보와 기밀정보 판매 등의 정보를 탐지하고 고객에게 알려 피해가 발생하기 전에 대응할 수 있게 한다.
가장 대표적인 모듈은 위협 인텔리전스로, 위협 헌팅 기능까지 지원한다. 전 세계 주요 CERT, SOC에서 사용하고 있으며, SIEM과 연동 기능이 뛰어나 호평받는다.
지난 1월 인수한 시큐리티트레일(SecurityTrails)을 통해 획득한 공격표면관리(ASM) 솔루션도 기대된다. 시큐리티트레일은 10년 전부터 레코디드퓨처와 협력해 외부 노출된 취약점 정보를 제공해왔으며, 국내에서도 여러 조직에서 사용하고 있다. 레코디드퓨처는 시큐리티트레일의 기술을 기반으로 한 ‘공격표면 인텔리전스(ASI)를 4월 출시하고 시장 공략에 나섰다.
한국 환경 맞는 솔루션 제공
TI는 자동으로 위협을 차단하는 것이 아니라, 발견된 이벤트를 분석하고 위험 수준을 판단하며 적절한 대응을 취하는데 도움이되는 정보를 제공하는 솔루션이다. 보안 담당자의 적극적인 의지와 전문성이 있어야 제대로 운영할 수 있다.
한규돈 지사장은 “TI 도입 시 보안조직의 전문성이 확보돼 있어야 효과적으로 운영할 수 있다. 레코디드퓨처는 고객이 솔루션을 잘 활용할 수 있도록 솔루션 도입 시 일정 기간 교육을 제공하며, 1년간 매월 해당 내용을 확인해 개선된 활용 방법을 제안한다. 보안에 대한 높은 수준의 전문성을 갖지 못했다 해도 레코디드퓨처가 제공하는 교육 프로그램을 통해 TI를 잘 운영할 수 있게 될 것”이라고 설명했다.
그는 “기업·기관은 선제방어에 실패한 위협을 사후 분석하는 방법으로 대응하고 있는데, 이 방식으로는 진화하는 공격을 막을 수 없다. 실시간 인텔리전스를 결합해 침입이 피해로 이어지기 전에 막아야 한다”며 “레코디드퓨처는 이 점을 적극 알리면서 국내 시장을 개척할 것이다. 고객에 대한 직접 영업 뿐 아니라 MSSP를 통한 서비스 모델도 제안하면서 한국 환경에 맞는 솔루션과 서비스를 공급할 것”이라고 덧붙였다.
