[데이터넷] 전 세계 빅테크 기업을 해킹하며 유명세를 떨치고 있는 랩서스는 지난해 5월부터 활동이 포착됐으며, 남미 지역을 중심으로 활동을 시작해 공격 범위를 넓혀왔다. 랩서스가 공개한 대부분의 공격은 대규모 조직을 대상으로 한 것이었으며, 피해 조직은 대부분 보안에 많은 투자를 단행한 곳이다. 만일 이들의 공격 패턴을 미리 알고 대비했으면 일부 피해는 막을 수 있었을지도 모른다.

고도로 훈련된 전문가로 조직된 사이버 공격자들이라도 익숙한 공격기법과 공격도구를 사용하며, 특정 공격 인프라를 재사용하는 경향을 보인다. 또한 목표조직과 유사한 인프라를 갖는 관계사, 동일 산업군, 많은 고객에게 영향을 미칠 수 있는 서비스 사업자를 주로 노린다.

침해가 발견됐을 때 어떤 도구를 사용해 어떻게 침입했고, 어떻게 침해 범위를 확장했으며, 시스템 파괴 혹은 데이터를 유출했는지 조사·분석하고, 이를 피해입은 조직뿐 아니라 다른 조직이나 기업·기관에도 대응할 수 있도록 정보를 공유하면 피해를 최소화할 수 있다. 그래서 사이버 위협 인텔리전스(CTI)가 필요하다.

CTI는 현재 진행중이거나 향후 발생 가능한 위협에 대응하는 도구로 사용된다. 전 세계에서 발생하는 위협 정보를 제공하는 서비스로, 동종업계, 동일지역에서 발생하는 위협의 형태와 수준을 파악해 기업·기관으로 향하는 위협에 선제적으로 대응하거나, 이미 발생한 위협을 빠르게 탐지해 대응할 수 있도록 도와준다.

윤광택 레코디드퓨처 상무는 “만일 어떤 공격자가 미국의 통신사를 해킹한 정황이 발견됐다면 이 공격자는 유럽, 아시아 다른 국가의 통신사를 동일한 방법으로 해킹할 수 있다. CTI를 통해 이러한 사실을 바르게 파악하면 공격이 침해로 이어지기 전에 차단할 수 있다. 또한 CTI는 중요 사이버 범죄 조직과 연관되는 위 협 행위 여부를 파악해 공격 자가 원하는 것이 무엇이고 어떤 과정으로 공격을 진행하는지, 위험 수준이 어떻 게 되는지 알려줘 효과적으로 대응할 수 있게 한다”고 설명했다.

정확하게 수치화 된 위협 정보 제공

전 세계 모든 위협 데이터를 수집하면 공격에 대한 모든 정보를 제공할 수 있지만, 너무 많은 정보는 오히려 높은 수준의 위협을 식별할 수 없게 한다. 그래서 CTI는 현재 활동 중인 이벤트를 분석하고 위험 수준을 수치화해 더 높은 수준의 위협에 더 빠르게 대응할 수 있게 하며, SIEM·SOAR 등 보안관제 솔루션과 연계해 보안 탐지와 대응 정확도를 한층 높일 수 있다. 일부 CTI는 산업별 침해지표를 제공해 특정 산 업에 더 집중되는 공격에 대응할 수 있게 한다.

CTI는 자동으로 위협을 차단하는 솔루션이 아니라, 다른 시스템에서 발견된 이벤트가 어떤 공격조직에 의해 진행되고 있고, 어떤 영향을 미치는지, 다른 공격 사례는 무엇이 있는지 알려주고, 자사에 실제로 영향을 미치는지 판단할 수 있는 객관적인 정보를 알려준다. 다시 말해 보안조직이 CTI를 제대로 활용하면 위협 대응에 매우 효과적이지만, 그렇지 않다면 도입의 의미가 반감된다.

특히 CTI를 사용해 보안 담당자의 업무가 증가한다면 보안 담당자는 이를 사용하지 않으려 하기 때문에 정확한 위협 스코어링으로 대응 속도를 빠르게 하고, 보안 업무를 줄일 수 있도록 도와줘야 한다.

CTI는 다양한 지역, 산업군의 기업·기관과 협력해 최신 위협 정보를 공유해야 한다. 특정 지역에 전문성을 가진 현지 기업이나 특정 산업군의 특화된 정보를 공유할 수 있는 전문조직이 있다면 그들과 협력해 공격그룹의 동향을 더 정확 하게 파악하고 대응할 수 있다.

더불어 CTI는 보안 전문성이 있을 때 활용도가 높아지기 때문에 보안조직 스스로 전문성을 높이려는 노력도 해야 한다. CTI 솔루션 기업은 고객의 전문성을 높일 수 있는 교육·훈련 프로그램을 제공하고 있어 적극 이용해 보는 것도 바람직하다.

다양한 소스에서 위협 정보 수집

CTI는 정보의 성격과 사용처에 따라 다음과 같은 주요 기능으로 구성된다.

• 위협 인텔리전스: 다크웹·표면웹 전체에서 사이버 위협과 공격조직을 식별하고 대응 우선순위를 지정하고, 조사·추적할 수 있게 돕는다.
• 취약점 인텔리전스: 공개되는 취약점의 우선순위를 지정하고, 신속한 패치에 필요한 컨텍스트를 제공 해 취약점 대응 효율을 높인다.
• 공급망 인텔리전스: 공급망 내 기업의 위협을 신속 하게 감지하고 조직에 미칠 영향을 분석한다. 에코 시스템 전반의 의심스러운 활동에 대한 심층적인 가시성을 제공한다.
• 지정학적 인텔리전스: 특정 지역·국가가 갖는 지정학적 위협 동향을 분석한다. 사이버·물리 시스템 전반에 대한 위협 정보를 수집하며, 허위정보도 감지하고, 공개된 모든 소스에서 정보를 수집하는 OSINT 조사도 수행한다.
• 계정 인텔리전스: 오픈소스, 다크웹, 기타 여러 소스에서 ID 침해를 식별하고 즉시 조치할 수 있게 한 다. 다크웹 등에서 고객과 임직원 정보 판매 혹은 악용을 탐지하고 보호 대책을 마련한다.
• 브랜드 사칭 탐지: 피싱 등 신뢰할 수 있는 조직이나 브랜드를 사칭하는 공격을 찾아낸다. 위조된 상품을 판매하는 사이트는 물론이고, 계정탈취나 기타 다른 목적으로 가짜 사이트나 이미지를 이용하는 공격을 차단한다. 사람들이 자주 일으키는 오타를 이용해 가짜 사이트 접속을 유도하는 타이포스쿼팅도 찾아낼 수 있다.
• 카드사기 인텔리전스: 훔친 신용카드나 조작한 신용 카드를 이용한 사기거래를 차단한다. 탈취한 카드를 이용해 공격자가 사기거래를 하기 전 탐지할 수 있어 피해를 줄일 수 있다.
• 보안운영 인텔리전스: 모든 소스에서 데이터를 수집·컨텍스트화해 보안운영센터(SOC) 대응을 효율 적으로 만든다. 경보 분류와 위협 탐지·차단의 정확성을 높인다.
• 공격표면 인텔리전스: 외부에 노출된 IT 자산과 취약 점을 검색해 보여주고 공격당할 가능성을 낮추며, 위협을 완화한다.

CTI 전문기업인 레코디드퓨처는 단일 플랫폼에서 CTI의 주요 기능을 모듈형으로 제공해 조직이 시급히 필요로하는 인텔리전스를 쉽게 도입할 수 있게 한다. 레코디드퓨처는 2007년 위협 인텔리전스와 관련된 특허를 세계 최초로 출원하고, 전문 기업으로 비즈니스를 시작했다. 전 세계 800명 이상의 직원과 1400곳 이상 고객에게 인텔리전스를 제공하고 있으며, 국내에도 주요 정부 기관과 글로벌 대기업 등에 공급했다.

레코디드퓨처는 CTI 분야에서 가장 오랫동안 활동해 온 만큼, 공격그룹의 변화와 역사에 대해 정확하게 파악하고 대응할 수 있는 정보를 제공해 줄 수 있다고 강조한다. 관제팀이나 침해대응조직이 즉각 인지하고 대응할 수 있도록 발견된 침해 증거와 관련된 공격그룹과 공격 형 태를 알려준다. 해당 위협이 언제, 어느 지역에서 활동했는지 확인해 조직에 미칠 영향을 빠르게 파악하고 대 응할 수 있게 한다.

1월 인수한 시큐리티트레일을 통해 공격접점관리 기술을 확보하고, 클라우드로 확장되는 공격면을 보호할 수 있게 한다.

시각화된 대시보드를 통해 위협 식별과 조치를 효과적으로 하며, 주요 SIEM·SOAR와 연동해 SOC 편의성을 높였으며, 한달가량의 POC를 제공해 인텔리전스 도입을 통한 효과를 직접 체험한 후 사용할 수 있게 한다.

윤광택 레코디드퓨처코리아 상무는 “랩서스 해킹 이 후 CTI에 대한 고객의 이해가 빠르게 높아지고 있으며, 솔루션 도입 문의가 눈에 띄게 늘어나고 있다. 특 히 중요 정보를 취급하는 핵심 정부기관뿐 아니라 글로 벌 대기업, 이커머스, 게임, 포털 등 다양한 산업군에 서 수요가 발생하고 있다”며 “직관적인 사용자 환경을 통해 전문성이 충분히 확보되지 않은 기업도 CTI를 도입할 수 있다는 사실을 알리면서 시장 확장에 나설 것” 이라고 말했다.

김선애 기자 다른기사 보기