S2W “랩서스, 올해 계기로 막강한 영향력 가질 것”

CTI ‘퀘이사’ 출시하고 다양한 위협 채널서 고객·업권 맞춤형 인텔리전스 제공
랩서스 공격 분석하며 위협 인텔리전스 필요성 역설…랩서스 모방 범죄 이어질 것

[데이터넷] “랩서스의 일부 멤버가 검거된 후 그들의 활동이 잠시 주춤한 것은 사실이지만, 그들은 계속 성장하고 있다. 올해를 계기로 막강한 영향력을 갖는 공격그룹이 될 것이다. 또한 그들을 모방하는 공격그룹이 무수히 등장할 것이다.”

곽경주 S2W 이사는 이렇게 말하며 “다크웹에는 공격에 사용할 수 있는 내부자 계정, 각종 취약점 정보, 공격 방법, 중요한 데이터가 셀 수 없이 많다. 다크웹 모니터링으로 공격자들이 이용하는 계정과 취약점을 파악하면 실제 공격이 발생하기 전에 막을 수 있다”고 강조했다.

▲서상덕 S2W 대표는 "퀘이사는 다크웹과 딥웹에서부터 시작되는 공격을 비롯해 랜섬웨어나 피싱, APT 공격 등 까다로운 신종 사이버 위협에 대응하기 위한 효과적이고 즉각적인 예방책"이라고 말하며, "편의성과 성능, 위협을 관리할 수 있는 커버리지 면에서 압도적인 솔루션이 될 것"이라고 자신했다.

실행 가능한 인텔리전스 제공

S2W는 28일 사이버 위협 인텔리전스(CTI) 솔루션 ‘퀘이사(Quaxar)’ 출시 기자간담회를 통해 랩서스 공격 분석과 퀘이사 서비스에 대해 자세히 설명했다.

퀘이사는 다크웹 인텔리전스 솔루션 ‘자비스 엔터프라이즈(Xarvis Enterprise)’를 업그레이드 해 다크웹, 딥웹 등 다양한 출처에서 수집된 정보에서 핵심적인 부분만 정제해 사용자에게 맞춤형으로 제공한다.

S2W는 자사 인텔리전스의 가장 중요한 특징으로 ‘실행가능한 인텔리전스(Actionable Intelligence)’를 든다. 기존 CTI는 너무 많은 정보를 제공하기 때문에 보안 조직에서 참고해야 할 정보를 알아보기 어렵다. 또한 보안 담당자의 전문성과 적극성이 있어야 제대로 활용할 수 있어 도입 효과를 가늠하기 어렵다. S2W는 직관적인 관리 환경과 고객의 특징에 최적화된 정보를 제공할 수 있어 위협 탐지와 대응 효과를 높일 수 있다. 또한 고객에게 제공하는 위협 데이터의 신뢰 수준이 경쟁사 대비 최대 3배 높다.

곽경주 이사는 “S2W는 다양한 공개정보를 수집·분석하면서 액티브 인텔리전스를 지속적으로 고도화하는 한편, 모바일 앱 출시로 관리 편의성을 한층 더 높일 것이다. 고객과 함께 위협 정보를 공유하면서 더 정교하고 정확하며 실행 가능한 인텔리전스를 만들어 제공할 것”이라고 말했다.

퀘이사는 ▲브랜드 사칭과 악용 사이트 등 잠재적 위협으로부터 브랜드를 보호하는 ‘디지털 리스크 보호’ ▲기업 핵심 자산정보 유출 여부 실시간 탐지 ▲다양한 외부 위협에 대한 유의미한 대응책을 신속하게 제공하는 ‘동적 위협 및 취약점 관리’ 등의 기능이 포함돼 있다. 또한 사이버 위협 상황 발생의 사전 예방을 위한 침해지표(IOC)를 제공하고, 사고 발생 시 보안 전문팀의 신속한 지원으로 비즈니스를 빠르게 복구할 수 있다.

나아가 S2W는 퀘이사 이용 기업간 공격 관련 첩보 등 핵심 정보를 공유할 수 있는 생태계 ’퀸테스(QUINTES)’를 조성해 신속하고 효과적인 공동 대응의 구심점 역할을 강화해 나갈 계획이다.

서상덕 대표는 "퀘이사는 다크웹과 딥웹에서부터 시작되는 공격을 비롯해 랜섬웨어나 피싱, APT 공격 등 까다로운 신종 사이버 위협에 대응하기 위한 효과적이고 즉각적인 예방책"이라고 말하며, "편의성과 성능, 위협을 관리할 수 있는 커버리지 면에서 압도적인 솔루션이 될 것"이라고 자신했다.

랩서스 멤버 검거는 ‘꼬리자르기’

한편 S2W는 이날 랩서스 공격 세부 내용을 공개하며 “랩서스 멤버 일부가 검거된 것은 일종의 꼬리자르기다. 랩서스는 여전히 지하세계에서 각광받는 공격그룹이며, 많은 해커들이 그들의 일원이 되고 싶어한다”고 설명했다.

랩서스는 다크웹에서 판매하는 계정을 구입하거나 계정 해킹에 사용하는 유명한 도구인 레드라인 스틸러를 이용했다. 내부자 매수와 SIM 스와핑으로 SMS 기반 MFA를 우회해 중요 시스템으로 저근했다.

내부 침투 후 AD 익스플로러를 이용해 해당 네트워크 내 모든 사용자와 그룹을 열거하고, 그룹에서 사용하는 다양한 협업도구를 검색해 접근했다. 시스템에 저장된 코드서명 인증서를 탈취해 추가공격도구에 서명하고 정상적인 프로세스로 내려받았다. 피해기업 내 클라우드에 공격용 신규 가상머신을 생성하며, 클라우드 인스턴스 글로벌 관리자 계정을 생성했다.

이들은 제로데이 취약점이나 고도로 정교하게 생성한 악성코드가 아니라 계정탈취와 내부자 매수로 쉽게 침투했다. 보안 전문가 브라이언 크랩스는 자신이 운영하는 블로그에서 티모바일 해킹에는 내부 조력자가 참여한 것으로 보인다고 설명한 바 있다. 크랩스에 따르면 애플이 수사기관의 영장 청구 요청이 있을 때 사용자의 정보를 넘겨주는 EDR을 이용했으며, 공격자가 경찰의 계정을 알고 있었을 것으로 분석했다.

곽경주 이사는 “랩서스의 활동은 지난해부터 다크웹에서 탐지됐으며, 외부에 공개된 서버의 알려진 취약점, 서비스·외주업체와 퇴사자 등의 계정 등을 이용해 침투했다. 다크웹을 모니터링하면 공격자들의 다음 공격을 예상할 수 있다”며 “다크웹·딥웹 및 공개된 정보 모든 곳에서 정보와 자산에 대한 가시성을 확보하고, 위협 정보를 수집, 분석하고 대응하는 것은 비즈니스를 지키는데 필수적인 활동”이라고 설명했다.

김선애 기자 다른기사 보기