“공격자에 유리한 사이버 세상…‘인텔리전스’가 평형자”
상태바
“공격자에 유리한 사이버 세상…‘인텔리전스’가 평형자”
  • 데이터넷
  • 승인 2022.06.14 11:25
  • 댓글 0
이 기사를 공유합니다

레코디드퓨처, ‘데이터넷TV’서 사이버 위협 인텔리전스 활용사례 설명
컨텍스트 이용 실행 가능한 인텔리전스로 실제 위협 대응 효과 높여
전 세계서 가장 인정받는 전문성으로 보안운영 효과 제고

[데이터넷] 사이버 세상은 언제나 공격자에게 유리하다. 그들은 쉽게 드러나지 않는 지하세계에서 공격과 관련된 정보를 공유하고, 공격에 사용할 도구와 계정 정보를 구입하며, 공격에 참여할 이들을 모집한다. 특정 정부기관이나 정치 집단, 기업·기관의 후원을 받아 활동하기도 한다.

공격 목표가 되는 조직은 공개돼 있으며 수많은 취약점을 갖고 있다. 보안 정책을 지키지 않거나 실수하는 사용자로 인해 쉽게 공격자가 침투할 수 있다. 심지어 침해당했다는 사실조차 몇 개월 후에야 파악하게 된다.

윤광택 한국 레코디드퓨처 상무는 “불확실한 사이버 위협 환경에서 인텔리전스만이 공격자와 방어자의 평형을 유지할 수 있는 유일한 장치”라며 “사이버 위협 인텔리전스(CTI)는 공격자부터 공격대상까지 위협에 대한 가시성을 제공하며, 공격에 사용되고 있거나 공격 당할 가능성이 있는 것을 빠르게 알려줘 위협에 대응할 수 있게 한다”고 설명했다.

▲윤광택 한국 레코디드퓨처 상무는 “공격자에게 일방적으로 유리한 사이버 위협 세상에서 인텔리전스는 유일한 평형 장치”라고 설명했다.
▲윤광택 한국 레코디드퓨처 상무는 “공격자에게 일방적으로 유리한 사이버 위협 세상에서 인텔리전스는 유일한 평형 장치”라고 설명했다.

공격자 인프라 모니터링으로 피해 발생 전 대응

윤광택 상무는 <데이터넷TV> 웨비나 ‘사이버 보안 인텔리전스를 활용한 보안 운영 사례’에서 CTI의 정의와 CTI의 활용사례를 상세히 설명하면서 CTI의 필요성을 역설했다.

CTI는 공격자가 사용하는 인프라, 다크웹 등 지하세계와 표면웹(인터넷)에서 발견되는 사이버 위협과 관련된 정보를 수집하고 분석해공격자의 패턴과 공격도구, 공격에 이용되는 계정정보 등을 파악한다. 고객과 관련된 정보가 공유되고 있거나, 공격 시도를 암시하는 언급이 있다면 이를 고객에게 알려 조치를 취할 수 있도록 한다. 중요 공격그룹의 공격 형태를 분석한 보고서를 공개하면서 관련 기관·기업이 적절하게 대응할 수 있게 함으로써 사회에 큰 영향을 미칠 수 있는 사고를 예방할 수 있도록 한다.

가장 일반적은 CTI 활용 사례는 IP, URL, 도메인 등이 공격자의 인프라인지, 혹은 공격에 이용됐거나 이용될 가능성이 있는지 파악하는 것이다. 과거에는 공격에 이용됐지만 현재는 그렇지 않은 정상적인 것인지도 알려줘 현재 활용 가능한 위협 정보에만 대응할 수 있게 한다. 또한 SIEM·SOAR 등 보안 솔루션과 연동해 탐지된 침해 증거를 더 정확하게 분석할 수 있게 한다.

고객의 브랜드나 사이트를 위조해 소비자에게 피해를 일으키는 피싱 사기 시도를 미리 파악하고 대응할 수 있게 한다. 이러한 브랜드 보호 서비스는 소비자들이 피해를 입지 않도록 적극 방어하고 소비자를 보호함으로써 기업의 사회적 책무를 이행하며 자사 브랜드 신뢰를 지키기 위해 국내 금융기관이나 이커머스 기업 등에서 특히 주목하고 있다.

‘신뢰할 수 있는 공격자 정보’ 제공

지하시장에서 공유되는 계정정보, 취약점 정보, 특정 기업·기관에 대한 공격을 암시하는 언급 등을 파악해 해당 고객에게 알려주는 서비스도 중요하다. 지하세계에서 구체적으로 언급되고 있다는 것은 곧 공격이 시작되거나, 공격을 진행하고 있다는 증거가 될 수 있기 때문이다.

때로 공격자의 일방적인 주장을 매체에서 보도하면서 확대 재생산되는 ‘다크웹 공포 마케팅’에 이용될 수도 있다. 그래서 오랜 기간 활동해 온 전문성 있는 CTI 서비스를 찾는 것이 필요하다.

윤광택 상무는 “지하세계의 공격자들도 ‘신뢰’와 ‘평판’을 매우 중요하게 생각한다. 자신이 판매하는 정보, 자신이 자랑하는 공격 성공사례가 거짓이거나 허풍이라는 사실이 드러날 경우, 해당 포럼에서 신뢰를 잃어 활동에 제약이 있거나 쫓겨날 수 있기 때문”이라며 “높은 전문성을 가진 CTI 서비스 기업들은 오랜 기간 공격자들을 추적, 분석하고 있기 때문에 신뢰할 수 있는 공격그룹, 실제로 기업·기기관에 위협이 될 수 있는 인텔리전스를 제공할 수 있다”고 설명했다.

공격그룹을 특정하고, 그들의 공격 패턴과 변화를 분석하는 것도 CTI에서 중요하게 생각하는 것이다. 공격자의 TTP(Tactics, Tools, and Procedure)를 파악해 탐지된 침해 증거가 어떤 침해활동 중에 남은 것인지, 공격자는 어떻게 침투해서, 어디로 확장했는지 알아낼 수 있다. 공격자의 TTP를 잘 정리한 마이터 어택을 참고해 보안조직이 제대로 대응할 수 있도록 도와주는 역할도 CTI의 중요한 역할이다.

▲레코디드퓨처는 사이버 위협 정보를 모니터링하고, 조사, 분석하며, 보안운영을 효율화한다. 더불어 연구조사 내용을 바탕으로 공격자에 대한 상세 정보를 제공해 관계기관이 사이버 위협에 대응할 수 있게 하며, 전문 미디어를 통해 사이버 위협에 대한 인식 제고 활동을 한다.
▲레코디드퓨처는 사이버 위협 정보를 모니터링하고, 조사, 분석하며, 보안운영을 효율화한다. 더불어 연구조사 내용을 바탕으로 공격자에 대한 상세 정보를 제공해 관계기관이 사이버 위협에 대응할 수 있게 하며, 전문 미디어를 통해 사이버 위협에 대한 인식 제고 활동을 한다.

전 산업군·전 세계 아우르는 위협 정보 제공해야

악명높은 공격그룹 중 주로 공격하는 대상이 따로 있는 경우가 많다. 북한 배후 공격그룹은 정치·외교적인 목적으로 우리나라 통일·외교·국방 등의 분야를 공격하며, 러시아 기반 공격그룹은 우크라이나를 ‘테스트베드’ 삼아 공격한다. 그래서 우리나라에서 오랫동안 침해대응 서비스를 해 온 기업은 북한 배후 공격자와 국내 기업·기관을 노리는 공격자에 대한 가장 전문성있는 서비스를 제공할 수 있다고 강조한다.

윤 상무는 “특정 지역이나 산업군에 특화된 인텔리전스가 해당 분야의 공격을 막는데 탁월한 전문성이 있는 것은 맞다. 특히 국내 CTI 서비스는 국내 타깃 공격 대응 경험이 충분히 축적돼 있으며, 한국어에 대한 완벽한 이해로 더 빠르고 정확하게 공격에 대한 가시성을 가질 수 있다. 그러나 북한 배후의 공격그룹이 아니라 전혀 다른 공격그룹의 공격을 받았을 때에도 같은 전문성을 보장할 수 있을지 생각해봐야 한다”고 말했다.

그는 “사이버 공격은 국경도, 지역도 없이 진행되기 때문에 특정 지역·산업군에 대한 전문성을 가진 서비스만으로는 대응할 수 없다. 전 세계, 전체 산업군을 아우르는 인텔리전스를 제공하는 서비스가 반드시 필요하다. 이에 더해 특정 분야에 특화된 인텔리전스 서비스와 협력해 대응하거나 API를 통해 쉽게 연동할 수 있도록 하는 것도 좋다”고 말했다.

클라우드와 하이브리드 업무 환경이 확대되면서 기업 내에서 관리되던 인프라와 애플리케이션이 외부에 노출되고, 공격자들이 쉽게 접근할 수 있는 공격접점(Attack Surface)이 늘어나고 있다. 다크웹에서 판매되는 VPN 계정이나 클라우드 계정을, 노출된 서버의 공개된 취약점을 이용해 쉽게 데이터와 애플리케이션에 접근할 수 있다. 그래서 외부에 공개된 취약점과 침투 가능한 공격 접점을 실시간으로 파악해 고객에게 알려주는 공격접점관리(ASI)도 필수다.

윤광택 상무는 다양한 CTI 활용사례를 설명하며 “CTI는 모든 규모, 모든 산업군의 기업·기관에 필요한 서비스로, 단순히 위협 정보를 모은 데이터의 집합이 아니라, 복잡한 컨텍스트를 이해하면서 실제로 활동중인 위협을 찾아내고 파악해 피해를 막을 수 있도록 하는 것”이라며 “모든 보안 프로세스에 통합되는 실행 가능한 인텔리전스가 핵심”이라고 설명했다.

▲CTI는 실시간 컨텍스트를 통해 실행 가능한 인텔리전스를 제공할 수 있어야 한다.
▲CTI는 실시간 컨텍스트를 통해 실행 가능한 인텔리전스를 제공할 수 있어야 한다.

도입 효과 즉시 제공하는 CTI

레코디드퓨처는 CTI를 가장 먼저 출시한 전문 서비스 기업으로, 하루 4000만건 이상의 문서와 60억개 이상 엔티티를 분석하고, 20억개 이상 인텔리전스 카드를 제공해 고객이 필요한 카테고리별로, 공격 유형별로 위협을 파악하고 대응할 수 있게 한다.

정보기관, 군 등에서 사이버 정보 수집과 분석·대응을 수행해 온 고도의 전문가 그룹 인식트(Insikt )가 제공하는 3만1000개 이상 분석가 노트를 이용해 보안 전문성이 충분하지 않은 보안 담당자들도 탐지된 위협의 의미를 파악하고 대응할 수 있도록 도와준다. 인식트 그룹은 전 세계 13개 언어를 지원해 세계 주요 국가와 지역에서 발생하는 위협에 대한 심도 깊은 결과를 제공한다.

윤 상무는 “레코디드퓨처는 전 세계에서 가장 먼저, 가장 높은 전문성을 갖고 CTI 서비스를 출시하고 시장을 이끌어왔다. 가장 신뢰받는 인텔리전스 공급자로 가장 정확하게 위협 증거를 수집, 파악하고 실행 가능한 인텔리전스를 고객과 유관기관에 제공하고 있다. 전문 미디어를 운영해 관련 업계에서 위협을 파악하고 대응하는데 결정적인 도움이 될 수 있도록 지원하고 있다”고 말했다.

그는 “CTI는 쉽게 도입·운영할 수 있으며, 투자 이상의 효과를 볼 수 있다. 해킹 대응뿐 아니라 브랜드 보호, 계정탈취 대응, 공격접점 관리, 취약점 관리, 공급망 보호, 카드 사기 대응 등 다양한 기능을 제공하고 있으며, 고객이 즉시 활용할 수 있는 정보를 제공하고 있다”며 “레코디드퓨처는 기업·기관이 도입과 운영에 대한 부담 없이 즉시 효과를 거둘 수 있는 CTI를 제공한다고 자부한다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.