[데이터넷] “레코디드퓨처는 전 세계를 안전하게 만들겠다는 목표를 갖고 있다. 사이버 위협 대응을 위한 여러 AI 모델을 이용해 디지털 트윈을 만들고, 수집되는 모든 위협을 식별하고 분류해 대응방법을 제안하는 일련의 과정을 자동화했다. 첨단 기술을 이용해 지능화·대규모화 되는 공격을 효과적으로 막을 수 있도록 돕는 레코디드퓨처의 사이버 위협 인텔리전스(CTI) 서비스는 전 세계 1600여 정부 기관 및 기업을 보호하고 있으며, 악질적인 위협 행위자의 활동을 중단시키는데 결정적인 도움을 주고 있다.”

스태판 트루베(Staffan Truve) 레코디드퓨처 CTO는 5일 기자간담회에서 “대규모화, 자동화된 AI를 이용하는 공격에 대응하기 위해서는 특화된 여러 AI 모델을 이용해 성공적으로 위협을 차단하는 것이다. 레코디드퓨처는 여러 AI 모델이 긴밀하게 커뮤니케이션하면서 지능적인 우회공격과 사회공학 기법 공격까지 찾아 선제적으로 대응할 수 있게 한다”고 밝혔다.

다양한 한국 고객 맞춤형 지원 계획 발표

레코디드퓨처는 CTI 시장의 글로벌 리더로, 지난해 한국지사를 정식 설립하고 시장 공략에 나섰다. 국내 글로벌 기업과 정부기관에 서비스를 공급하고 있으며, 정부 및 유관기관과 협력해 우리나라를 타깃으로하는 여러 공격그룹의 위협으로부터 고객을 보호하고 있다.

이제 막 열리기 시작한 국내 CTI 시장에서 경쟁 우위를 확보하기 위해 맞춤형 서비스를 강화하고 있는데, UI의 한글 지원뿐만 아니라 데이터 소스 등 운영 전반에서 한국어 지원을 하고 있으며, 국내 유관기관 및 기업들과 에코시스템을 만들고 서비스 사업자, 기술 연합 파트너를 육성하기 위해 노력하고 있다.

레코디드퓨처가 한국 시장에 공을 들이는 이유는 사이버 공격자들이 노리는 글로벌 기업이 다수 있으며, 중요 위협 행위자들의 집중적인 공격을 받고 있기 때문이다. 특히 지정학적 위치로 인한 국가기반 공격자들이 한국을 대상으로 다양한 캠페인을 벌이고 있어 대응이 시급히 마련되어야 한다.

디큐 리(DQ Li) 레코디드퓨처 아시아 태평양 일본 영업 총괄 부사장은 “한국이 CTI 시장이 본격적으로 열리기 시작했다. 한국 고객들은 빠르게 CTI의 모범사례를 받아들이고 있을 뿐 아니라 효과적으로 운영할 수 있는 방법을 적극적으로 연구하면서 매우 빠르게 성숙도를 높여가고 있다”며 “가속화되는 한국 CTI 시장에서 경쟁우위를 다지는 한편, 한국 고객을 보호할 수 있도록 한국 영업을 위한 적극적인 투자를 단행할 것”이라고 말했다.

여러 AI 모델로 위협 식별·분류

레코디드퓨처는 경쟁사 대비 장점으로 ‘AI’를 강조한다.

공격자는 여러 첨단 기술을 이용해 위협행위를 하고 있으며, 이를 통해 금전적·정치적인 수익을 얻고 있다. 현재 보안 기술은 대규모화되는 정교한 위협을 제대로 차단하지 못하고 있으며, 위협을 식별하고 대응방법을 판단할 수 있는 보안 전문가는 턱없이 부족한 상황이다.

이 문제를 해결하는 방법으로 CTI를 도입하고 있는데, 활용가능성이 떨어지는 위협 피드는 경고피로를 심화하고 보안조직의 업무를 더 늘리는 결과로 이어질 뿐이다. 컨텍스트를 제공하지 않는 단순한 위협 피드는 보안조직의 판단을 돕지 못한다. 보안 분석가 개인 역량에 의지하는 CTI는 자동화·대규모화 되는 공격을 제대로 식별하지 못한다.

레코디드퓨처는 다양한 AI 모델을 이용해 자동으로 위협 정보를 식별하고 분석해 대응할 수 있게 한다. 공격 인프라 및 공격 방법, 도구와 관련된 정보를 모두 수집하고, 식별한 위협에 대한 증거를 제공해 보안조직이 정확하게 의사결정할 수 있도록 돕는다.

또한 대용량 언어 모델, 자연어 처리 모델, 이미지 처리 모델 등을 보유하고 있으며, 딥 시맨틱 분석으로 사회공학 기법의 맞춤형 공격도 식별할 수 있다. 레코디드퓨처의 자연어 처리 모델은 사이버 보안 문서를 98% 이상 이해하고 자동으로 보고서를 작성할 수 있어 분석가의 업무를 크게 줄일 수 있다.

실제로 레코디드퓨처 CTI 서비스를 도입한 한 기업은 기존의 위협 탐지 및 대응 시스템에서 생성되는 과도한 노이즈를 줄여 보안조직의 업무를 줄이고 실제 진행되는 위협에만 집중할 수 있게 됐다고 평가하고 있다.

스태판 트루베 CTO는 “레코디드퓨처는 실제로 활용 가능한 위협 정보를 인텔리전스 그래프로 보여주며, 쓰랫맵을 통해 대응 우선순위를 알려줘 가장 위험한 이벤트에 먼저 대응할 수 있게 한다. 또 EDR, SIEM, SOAR 등 보안솔루션과 연동돼 탐지된 위협을 자동으로 처리할 수 있게 한다”고 말했다.

세계 최고 수준 분석가 통한 위협 분석 진행

레코디드퓨처는 세계 최고 수준의 분석가를 통한 위협 분석도 진행한다. 수집한 위협 이벤트에서 유사성을 찾아 분류하고, 각 공격그룹간의 TTP를 파악해 대응에 도움이 될 수 있게 한다.

예를 들어 북한 사이버 정보 수집 그룹 TAG46을 분석한 보고서에 따르면 이들은 국내 유명 포털사이트 로그인 화면으로 위장한 피싱사이트로 통일, 외교, 안보 분야 전문가의 계정정보를 탈취한다. 이들은 타깃 피해자만 연결되는 피싱 사이트를 이용하며, 피해자의 계정정보를 유출한 후에는 다시 정상 사이트로 연결시켜 보안 탐지를 불가능하게 한다. 이들의 공격을 분석하기 위해서는 분석가가 감염되어야 하는데, 정교한 타깃 맞춤형 공격을 단행하는 북한 공격자를 속이는 것이 쉬운 일은 아니다.

레코디드퓨처의 북한 위협 전문 분석가 미치 하자드(Mitch Haszard) 수석 연구원은 “북한이 여러 국가를 대상으로 정보수집, 금전적인 이익을 위해 위협 행위를 하고 있지만, 대부분의 캠페인은 한국을 대상으로 한다. 이들은 피해자가 의심할 수 없는 내용의 피싱메일을 이용하며, 보안탐지를 피할 수 있는 다양한 우회 기술을 사용한다”며 “북한은 지금까지 사이버 공격을 통해 많은 수익을 얻었으며, 정보를 습득해왔다. 이를 바탕으로 앞으로 더 적극적인 공격 행위를 진행할 것으로 예상된다”고 밝혔다.

한규돈 레코디드퓨처 한국지사장은 “북한 위협을 포함해 한국은 다양한 공격그룹의 타깃이 되고 있다. 그래서 CTI를 이용해 보안 대응을 효율화하기를 원한다. 많은 국내 고객의 IT·보안 성숙도가 높아지고 있으며, 현재와 미래 위협에 효과적으로 대응할 수 있는 CTI 모범사례를 찾고 있다. 레코디드퓨처는 한국 기업·기관에 맞는 인텔리전스 서비스로 고객을 보호하는 한편, 한국의 사이버 안보를 위해 적극 노력하겠다”고 강조했다.