[CTI②] 다양한 활용 사례 제공하는 CTI
상태바
[CTI②] 다양한 활용 사례 제공하는 CTI
  • 김선애 기자
  • 승인 2022.06.01 10:00
  • 댓글 0
이 기사를 공유합니다

공격표면 관리·브랜드 사칭 관리 등 여러 활용사례에 CTI 활용
지역·산업군 특화 인텔리전스로 지능적인 타깃 공격 대응

[데이터넷] 위협 인텔리전스 분야에서 최근 빠르게 부상하는 기 능이 공격표면 관리(ASM)다. 공격표면 인텔리전스, 공격접점관리라고도 불리며, 외부에 노출된 공격접점의 취약점을 찾아 제거할 수 있게 한다. 클라우드와 원 격·재택근무로 물리적 보안 경계가 희미해지고 외부에 서 접근할 수 있는 지점이 급증해 ASM의 필요성이 높아지고 있다.

쇼단과 같이 외부에 공개된 서버를 검색하는 서비스도 사용되어 왔는데, 쇼단은 사용자가 일일이 검색해야 찾을 수 있는 서비스이며, ASM은 실시간 혹은 정기 적으로 외부에 공개된 시스템이나 자원을 스캔해 설정 오류와 취약점 여부, 불법적인 침입 가능성을 확인하고 조치할 수 있도록 한다.

ASM을 국내에 가장 먼저 소개하고 시장을 공략해 온 그룹아이비는 국내 기업·기관의 클라우드 도입이 빨라지면서 공격표면 관리가 시급하다고 판단하고 ‘에셋제로’ 판매를 적극 전개해왔다. 에셋제로는 SaaS로 제공돼 즉각적인 도입 효과를 볼 수 있다. SMB부터 엔 터프라이즈까지 모든 규모의 조직이 쉽게 외부 위협에 노출된 IT 자산을 파악할 수 있다.

그룹아이비는 싱가포르에 본사를 둔 위협 인텔리전 스 및 침해대응 서비스 전문기업으로, CTI와 클라이언 트·디지털 신원보호와 실시간 사기방지, 위협 사냥 프 레임워크, 디지털 위험 보호 등 다양한 기능을 제공한 다. 산업별, 규모별 고유한 요구사항을 기반으로 맞춤 형 인텔리전스를 제공하며, 위협사냥과 대응을 간소화 해 위협 확산을 빠르게 차단하고 피해를 최소화한다.

18개 이상 언어로 말하는 글로벌 최고 수준의 보안 전문가와 전 세계에 배치된 전담 위협 인텔리전스 분석가를 통해 수준 높은 위협 정보를 제공하며, 광범위한 소스에서 위협 정보를 수집해 공격자의 인프라와 정밀 하게 매핑하고 공격 원인 파악, 배후조직 추적에 도움을 준다.

국내에서 그룹아이비는 에셋제로, CTI 뿐 아니라 사기방지 솔루션 ‘디지털 위협 방어(DRP)’의 수요가 크 게 늘어나고 있다고 판단하고 이 시장을 적극 공략한 다. DRP는 피싱·사기방지 뿐 아니라 SNS에서 유명인 을 사칭하는 사기행위까지 파악한다. 유명 연예인 사 칭 계정이나 위조상품 판매, 이미지·동영상·영화·음악 등 저작물에 대한 저작권 피해 등에 대응할 수 있다. 이 러한 사기 행위가 발견됐을 때 즉시 해당 서비스와 사 이트를 중단시킬 수 있도록 호스팅 기업, 도메인 관리 기관 등과 긴밀하게 협력하고 있다.

그룹아이비 국내 파트너인 스마일로그의 김재선 수석은 “다크웹 뿐 아니라 일반 인터넷에서도 민감 정보 와 불법적인 정보의 유통이 일어나고 있다. 최근 사이버 범죄자들은 위조 상품 판매, 브랜드 사칭 등으로 더 쉽게 금전 수익을 얻는다. 이러한 범죄에 피해를 입지 않도록 그룹아이비의 인텔리전스 솔루션을 시장에 적 극적으로 알리고 있다”고 말했다.

▲위협 인텔리전스 주요 기능(자료: 그룹아이비)
▲위협 인텔리전스 주요 기능(자료: 그룹아이비)

국경없는 사이버 범죄

사이버 범죄는 국경, 지역에 상관없이 진행한다. 랩서스 공격자의 예로 들어봐도 남미 지역 기업을 대상으로 공격하다 점차 미주, 유럽, 아시아 전 세계로 퍼져 나갔다. 악명 높은 사이버 범죄조직은 돈 되는 조직이 있는 모든 대륙, 모든 국가를 대상으로 활동한다. 그래서 CTI는 전 세계에 위협 정보 수집을 위한 센서를 배포해야 하며, 다크웹 포럼에 요원을 몰래 침투시켜 정보를 수집한다.

수집하는 정보가 많을수록 좋지만, 대량의 정보로 인해 오히려 위협 식별이 어려워질 수 있다. 따라서 현재 공격에 활용되는 고급 정보를 고객 특성에 맞게 제 공할 수 있는 솔루션을 찾아야 한다.

카스퍼스키가 최근 악명을 떨치고 있는 러시아 배후 공격그룹에 대한 심도 깊은 인텔리전스를 제공하고 있어 주목된다. 카스퍼스키는 전 세계에서 위협 정보를 수집하고 있지만, 그중에서도 특히 러시아와 동유럽 기반 공격그룹 식별에 탁월한 전문성을 갖는다.

일례로 평창동계올림픽 해킹 사고 당시 거의 대부분의 보안전문가와 관계기관이 북한을 배후로 지목했지만, 카스퍼스키는 북한 해커를 모방한 다른 조직의 소행이라고 주장했다. 카스퍼스키는 올림픽디스트로이어 공격자가 북한 소행으로 몰아가기 위해 의도적으로 증거를 남겨뒀다고 주장했으며, 조작된 증거 중에서 러시아 배후의 소파시 그룹의 TTP를 발견하고, 이들 혹은 이들과 관계된 그룹이 유럽 생화학 대응기관 등 전 세계 여러 기업·기관을 공격하고 있다고 주장했다. 결국 이는 사실인 것으로 밝혀졌다.

카스퍼스키는 전 세계 중요 사이버 범죄그룹의 TTP를 분석하고 범죄자를 추적하고 있으며, 전 세 계 및 산업별 위협 인텔리전스를 제공하고 있다. KTI(Kaspersky Threat Intelligence)는 ▲풍부한 컨텍 스트와 함께 제공되는 IoC ‘위협 데이터 피드’ ▲고급 분석 기능을 추가한 ‘사이버 트레이스’ ▲카스퍼스키가 조사·분석한 APT 조직·기술 보고서 ‘APT 인텔리 전스 리포팅’ ▲온라인의 기업 디지털 흔적 보호 ‘디지 털 풋프린트 인텔리전스’ ▲클라우드 샌드박스 등으로 구성돼 있다. 베이직, 어드밴스, 프로 버전을 선택할 수 있어 보안 성숙도, 전문인력 유무 등 고객의 상황에 따라 선택할 수 있게 한다.

카스퍼스키 관계자는 “국내에서도 보안관제·컨설팅 기업, 대기업 등 다양한 고객이 KTI를 사용해 위협 대응 능력을 높이고 있다”며 “국내 KTI 영업, 기술인력을 꾸준히 채용하면서 다양한 활용사례를 발굴하고 다 양한 고객의 요구를 수용하면서 선제적인 위협 대응이 가능하도록 한다”고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.