강민석 카스퍼스키 이사 “위협 인텔리전스 활용해야 공격 전체 맥락 파악하고 대응 가능해”

데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 강민석 카스퍼스키 기술이사는 ‘위협 인텔리전스를 이용한 공격의 탐지 및 대응’을 주제로 데모시연을 진행했다.

강 이사는 현장에서 실제 카스퍼스키 위협 인텔리전스 툴을 가지고 위협을 분석하고 대응하는 위협 헌팅 시연을 보여 큰 관심을 끌었다.

그는 돈벌이 목적의 해킹은 보안이 취약한 중소기업을 타깃으로 하고 있고 정치적 목적의 해킹은 상당히 장기간에 걸쳐 산업시설, 에너지, 전력 그리고 공공기관, 군기관, 대기업을 타깃으로 공격한다. 정부 지원 해커그룹들이 전세계적으로 30개가 넘고 카스퍼스키는 이들 그룹을 추적하고 있다고 전했다.

그는 블루노로프 스네치크립토 캠페인 사례를 들었다. 특정 파일 하나를 전송하면서 공격이 시작됐다. 이 파일이 비주얼베이직 스크립트를 다운로드하고 이 스크립트가 시스템 내에 EDR 같은 솔루션이 있는지 스캔한다. EDR이 없다면 두번째 스크립트를 다운로드한다. 내부 컴퓨터를 스캔해 원하는 데이터를 탈취하게 된다.

시연을 통해, 바이러스 토탈 등에 탐지가 안되는 특정 악성코드가 유입되면 SIEM을 이용해 각 보안장비 로그들을 모아서 상관 분석을 통해 대응할 수 있다. 하지만 제로데이와 같은 알려지지 않은 악성코드는 어떤 장비에서도 탐지를 못하기 때문에 대응 프로세스가 작동할 수 없다. 즉 기존 보안솔루션으로는 제로데이 공격을 탐지하고 대응할 수 없다는 것을 보여줬다.

그리고 백도어 하나를 찾아서 지운다고 하더라도 백도어가 설치되기 전에 설치됐던 스크립트와 악성파일을 찾을 수 없다면 공격자는 다른 방법으로 공격을 계속하게 된다. 공격자는 계속해서 소스코드 일부만 바꿔 변종 공격을 지속하게 된다. 이러한 공격을 사전에 예방하고 초기에 탐지, 차단하기 위해서 바로 사이버위협 인텔리전스가 필요한 것이라고 그는 강조했다.

위협 인텔리전스를 통해 공격자를 파악하고 그들의 공격도구와 악성 URL, IP 등을 파악해 방화벽이나 IPS에 적용한다면 그들의 공격을 지속적으로 차단할 수 있다는 것이다.

그는 콜로니얼 파이프라인 해킹 사고 예를 들며, 처음에는 피싱 메일과 원격 접속 취약점을 이용해 침투했고 내부 이동을 통해 악성코드를 배포해 미국 석유 공급의 43%를 마비시킨 것이다.

그는 시연을 통해 카스퍼스키 위협 인텔리전스 솔루션이 어떻게 이 공격을 탐지하고 차단할 수 있는지 보여줬다.

샌드박스로 악성코드를 분석한 정보로는 악성이라는 정보만 줄 뿐, 이 악성파일을 누가 만들었고 어디서 배포됐고 어떤 캠페인에서 나온 것인지 등을 알 수 없다. 즉 사고 분석에 한계가 있다. 그리고 공격자들은 샌드박스 별로 특징들을 알고 있기 때문에 샌드박스 분석을 회피하기 위해 한달 이상 공격을 하지 않고 숨죽여 있다가 우회 가능할 때 서서히 공격을 시작한다. 그래서 샌드박스 탐지에는 한계가 있는 것이다.

카스퍼스키 위협 관리 플랫폼은 오랜 기간 축적된 악성코드 DNA를 분석한 게놈지도를 갖추고 있다. 공격자들도 완전히 새로운 악성코드를 만들어내는 것이 쉽지 않다. 그래서 변종을 만들어 공격에 활용하기 때문이다. 카스퍼스키는 이런 악성코드의 모든 정보들을 게놈 지도로 축적해 놓았고 계속 업데이트하고 있다. 이를 토대로 악성코드 변종을 만든 조직이 누구인지 파악할 수 있고 킬체인을 구축할 수 있게 된다고 설명했다.

강 이사는 “한국은 공격을 많이 받는 국가에 항상 상위권에 있고 공격자 12위 안에 북한의 라자루스가 있다. 그만큼 한국은 사이버 위협에 가장 많이 노출되고 있는 국가 중 하나다”라며 “이런 위험한 상황에 위협 인텔리전스는 꼭 필요한 솔루션이다”라고 강조했다.

카스퍼스키는 1억2천만명의 고객으로부터 실시간으로 올라오는 정보와 그동안 축적된 악성코드 게놈 지도 등을 종합해 매일 새롭게 탐지하는 멀웨어만 40만개에 달한다. 이 정보들이 가장 안전하다는 스위스 데이터센터에서 저장되고 보호되고 있으며 카스퍼스키 위협 관리 플랫폼을 사용하는 고객은 이런 방대하고 정교한 데이터를 바탕으로 위협을 예방할 수 있고 초기에 탐지 및 차단, 대응할 수 있게 된다.

강민석 이사는 “카스퍼스키 위협 관리 플랫폼을 통해 고객들은 실시간으로 위협의 실체를 파악할 수 있고 방대한 위협 데이터를 SIEM·SOAR 등과 통합해 자동화되고 실시간으로 예방할 수 있다”며 “기관들은 위협 인텔리전스 기반 보안 운영을 통해 모니터링 및 탐지, 사용자 케이스 개발, 경고 및 검증 강화, 신속하고 정확한 사고 조사 및 대응, 복원 및 지속적인 개선이 가능해 진다. 누가, 언제, 어떻게 공격을 했고 공격의 전후 맥락은 무엇이며, 사고 범위는 어디까지인지, 그리고 어떻게 복원하고 재발방지를 할 수 있는지 해답을 찾을 수 있다”고 전했다.