[CTI③] 다크웹 모니터링으로 위협 동향 파악
상태바
[CTI③] 다크웹 모니터링으로 위협 동향 파악
  • 김선애 기자
  • 승인 2022.06.02 09:08
  • 댓글 0
이 기사를 공유합니다

국내 공격 집중 분석하는 토종 기업 CTI ‘효과적’
실제 활용 가능한 인텔리전스 제공해야

[데이터넷] 사이버 범죄에 대한 가장 많은 정보가 모이는 곳이 다크웹이다. 지하시장, 사이버 범죄 세계 등으로 불리기도 했으며, 일반 검색엔진에서 검색되지 않고 전용 브라우저를 통해 접속해야 한다. 범죄그룹별로 커뮤니 티나 포럼을 만들어 운영하며, 여기에 접근하기 위해서는 별도의 가입절차가 필요하다.

다크웹은 정치적으로 박해를 받는 인사들이나 사회 운동가들이 활동하기도 하지만, 각종 범죄와 관련된 정 보를 공유하는 활동이 대다수다. 사이버 범죄는 물론이고, 마약, 밀수, 불법 총기거래, 인신매매, 청부살인, 불법 음란 동영상, 불법 저작권 콘텐츠 등 수많은 범죄 정보가 거래된다. 자신의 범죄 사실을 떠벌리기도 하 고, 공격 성공 사례를 공유하면서 발전시키기도 한다.

CTI 기업들은 다크웹에서 오가는 정보를 모니터링 해 공격그룹의 활동을 추적하고, 사용하는 공격도구와 전술·전략, 프로세스를 파악한다. 다크웹에서 거래되는 기밀정보·계정정보를 파악해 피해입은 기업에게 알려 즉각 조치할 수 있도록 한다.

다크웹은 일반 검색 기술로 검색되지 않기 때문에 오랜 기간 다크웹에서 활동해 온 전문성이 필요하다. 다 크웹 모니터링으로 축적한 정보를 바탕으로 새로운 범죄 동향을 예측할 수 있으며, 숙련된 보안 전문가가 포 럼에 잠입해 동향을 파악하기도 한다.

전문가 중에서는 범죄조직원을 이간질시켜 개발자들 이 공격도구 소스코드를 공개하거나 랜섬웨어 복호화 키를 공개하도록 부추기기도 한다. 경쟁관계의 공격그 룹에 갈등을 부추겨 상대방의 공격 인프라를 공개하거 나 공격하도록 하고 이를 증거로 공격 인프라를 찾아 내 와해시키고 범죄자를 검거하는데 성공한 사례도 다 수다.

다크웹 공포 마케팅 주의해야

우리나라에서도 다크웹 모니터링으로 공격 동향을 파악하는 전문기업이 다수 있다. 이들은 특히 국내 개 인정보가 다크웹에서 판매되는 정황을 밝혀 기업·기관 과 개인이 개인정보 보호에 더 적극적으로 나서도록 한 성과를 거두기도 했다.

그런데 이들이 공개한 개인정보 판매 증거가 공격자 들의 일방적인 주장을 그대로 전달하는 수준으로, 공격자의 인지도만 높이는 결과로 이어졌다는 비판도 있다. 이른바 ‘다크웹 공포 마케팅’이다. 다크웹 판매자들은 자신이 보유한 개인정보가 얼마나 가치있는지 샘플로 몇 가지를 공개하는데, 공개된 샘플 중에는 이미 오래 전 유출된 정보로 현재 사용 가치가 없거나 가짜로 조작된 것, 다른 공격자들이 탈취한 것을 다시 훔쳐서 게시 해 공격자들끼리 갈등을 빚고 있는 것이 대다수다.

금융보안원이 다크웹에서 판매되는 신용카드 정보를 분석한 결과, 50%는 가짜였다. 2020년 클롭 랜섬웨어 그룹이 이랜드에서 카드정보 200만건을 탈취했다고 주장하며 10차례에 걸쳐 자신이 입수한 개인정보 일부를 공개했는데, 이전에 공개됐던 오래된 카드 정보가 70% 정도였으며, 유효한 카드 정보는 그리 많지 않았다.

서상덕 S2W 대표는 “다크웹 공포마케팅이 있는 것은 사실이다. 그렇다고 해서 다크웹 위협 정보의 중요 성을 무시할 수는 없다. 다크웹 위협 정보를 정확하게 파악하고 제대로 된 대책을 마련하는 것이 필요하다” 며 “다크웹을 포함해 모든 소스에서 수집한 정보를 즉 시 활용할 수 있는 인텔리전스(Actionable Intelligence) 가 필요하다”고 말했다.

S2W는 다크웹에서 발생하는 사이버 범죄정보를 수집, 분석해 기업·기관이 대응할 수 있도록 지원하는 한 편, 수사당국과 공유해 범죄자 추적과 검거에 도움을 주는 활동을 해왔다. 인터폴과 협력해 글로벌 랜섬웨 어 갱단을 검거하는데 결정적인 역할을 하면서 인지도를 높여왔다.

S2W는 다크웹 모니터링 역량을 전체 인터넷으로 확장해 완성된 CTI 솔루션 ‘퀘이사(Quaxar)’를 출시하고 시장 공략에 나섰다. S2W는 데이터 수집과 분석 역 량을 더욱 발전시켜 사이버 범죄 뿐 아니라 비즈니스를 위한 데이터 인텔리전스 기업으로 성장시킬 계획이다.

서상덕 대표는 “S2W는 우리나라에서 시작한 스타트업이지만, 글로벌 전문기업과 견주어도 손색없는 전 문성을 갖췄다고 자부한다. 인터폴과 공조한 성과가 이를 분명히 보여준다고 자신한다”며 “S2W는 보안담 당자가 쉽게 사용할 수 있는 인텔리전스를 제공해 보 안조직의 업무 부담을 줄이면서 더 정확하게 위협을 식 별하고 대응할 수 있게 한다”고 설명했다.

▲APT 공격 단계별 인텔리전스 확보 방법(자료: S2W)
▲APT 공격 단계별 인텔리전스 확보 방법(자료: S2W)

토종 기업, 액셔너블 인텔리전스 제공 ‘경쟁력’

CTI 중요성이 강조되면서 국내 기업들도 CTI 솔루션을 출시하고 시장 공략에 나서고 있다. 이들은 국내 고객의 침해대응과 관제 서비스를 제공하면서 축적해 온 전문성을 강조한다. 특히 우리나라는 북한과 중국으로부터 사이버 공격을 많이 받고 있기 때문에 북한· 중국 기반 공격 분석에 특화돼 있다는 점을 강조한다. 더불어 한국어와 한글을 이용해 진행되는 우리나라 타깃 공격은 글로벌 기업들의 이해가 떨어지기 때문에 국 내 기업의 경쟁력이 매우 높다고 강조한다.

사용 편의성도 글로벌 솔루션에 비해 높다는 점도 강 점이다. 한국어로 제공되는 위협 식별 지표와 대응방안, 보고서 등은 영어에 익숙하지 않은 보안담당자도 쉽게 이해할 수 있으며, 국내 보안 담당자가 선호하는 관리환경을 구성할 수 있고, 국내 SIEM·SOAR 연동도 편리하다는 것을 강점으로 든다.

대표적으로 이스트시큐리티의 ‘쓰렛 인사이드 (Threat Inside)’가 있다. 이스트시큐리티 시큐리티 대 응센터(ESRC)가 특화된 전문성을 갖고 있는 북한 배후 공격그룹 분석 역량을 적극 앞세우는 쓰렛 인사이드는 국내 기업·기관이 가장 많이 피해를 입는 한국어 사용 공격을 분석하고 빠르게 관련 정보를 고객과 관계 기관에 알려 피해 예방에 나설 수 있게 한다.

이스트시큐리티는 백신 ‘알약’과 EDR ‘알약EDR’을 결합해 3단계 심층방어 전략을 수행할 수 있게 한다. 알려진 위협은 알약으로, 알려지지 않은 위협은 알약EDR로 분석, 차단하며, 국내 타깃 공격에 대한 빠른 인텔리전스를 제공하는 쓰렛 인사이드를 결합해 선 제 대응 효과를 높인다.

이스트시큐리티는 가상자산 금융기관에 공급해 성공 적으로 사용하는 성과를 보였다. 금융권 망분리 환경 내에서 알려지지 않은 위협에 신속하게 대응하기 위해 알약EDR과 쓰렛 인사이드를 구축했으며, 보안 담당자 들이 식별된 악성코드 정보를 확인할 수 있게 해 위협 정보를 찾는 불필요한 시간을 소비하지 않게 됐다.

이스트시큐리티는 호텔, 리조트 등 외부 접점이 많 은 서비스 기업, 가상자산·주식 등 거래 형태가 다변화 되는 금융권, 전자·완성차와 ICT 커넥티드 생태계 등 국내 중요 산업에서 수요가 늘어날 것으로 기대하고 관련 분야의 영업을 강화하고 있다.

국내 기업·기관 최적화된 서비스 제공

이글루코퍼레이션은 관제 서비스를 진행하면서 축 적한 역량을 집결시킨 ‘이글루 CTI’ 서비스를 제공한 다. 이글루 CTI는 ▲국내외 위협 정보와 취약점 정보, 동향 정보를 수집하고 특징에 따라 그룹화하는 ‘정보 수집’ ▲침해 지표(IoC), 위협 스코어링, 화이트리스 트 등에 따라 수집한 정보를 정제 및 처리하는 ‘정보 분석’ ▲API 통신을 통해 여러 보안 제품군에 데이터를 공유하는 ‘정보 공유’ 3가지의 프로세스로 구성된다.

이글루 CTI는 실질적인 위협 데이터 활용에 중점을 둔 액셔너블 인텔리전스로, 보안관제센터를 운영하는 국내 기관·기업에 최적화된 위협 정보 활용과 연계를 지원한다. 보안 전문가들은 포털을 통해 IP, URL, 해시 등의 위협 정보와 탐지 룰을 손쉽게 검색하고 다운로드 할 수 있다. 또한 연동을 위한 별도 서버와 프로그램 설 치나 관리가 불필요한 RESTful API 방식으로 통합보안 관제시스템(SIEM)과 AI 보안관제 솔루션을 손쉽게 연계할 수 있다.

연동된 위협 정보의 위험도에 기반한 자동화된 룰 등록과 타 CTI와의 연계, 방화벽·침입탐지시스템/침입방지시스템(IDS/IPS) 등 이기종 보안장비와의 연동을 통한 자동 차단 기능도 활용할 수 있다.

이글루코퍼레이션 관계자는 “비대면 디지털 전환에 속도가 붙으면서, 사이버 공격자가 노릴만한 공격 면 도 더 넓어졌다. 이에 거의 대부분의 산업군에서 기업에 영향을 미치는 핵심 위협 정보를 빠르게 파악할 수 있는 위협 인텔리전스의 중요성이 더 부각될 것”이라며 “이글루 CTI는 고도화된 머신러닝을 이용한 위협 스코어링, 마이터 어택 연계 등의 기능을 추가하는 한편, 클라우드 서비스로 제공해 국내외 고객사들이 더 쉽게 이용할 수 있도록 할 방침”이라고 밝혔다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.