SK인포섹(대표 안희철)이 지난해 8월 발족한 사내 최정예 보안 전문가 그룹 ‘이큐스트(EQST)’가 다크웹(Dark Web) 정보 수집·분석을 시작한다. 신규 취약점과 공격기법 연구, 위협 정보공유 활동도 한층 강화한다.

이같은 활동으로 확보, 강화한 사이버위협 인텔리전스를 주력 사업인 통합보안관제(SOC) 서비스 고도화에 지속 활용할 방침이다. 올해에는 특히 인공지능(AI) 기술과 보안 자동화·오케스트레이션(A&O) 툴을 활용해 위협 탐지 기능을 개선하고, 보안사고 대응 프로세스도 자동화하는데 주력할 계획이다.

사이버범죄자들이 자동화 공격 도구를 활용해 신규 취약점을 악용한 ‘제로데이’ 공격이 급증하고 있는데다 지능형지속위협(APT)나 소프트웨어 공급망 공격처럼 사이버공격 방식이 한층 정교해지고 있는데 따른 조치다.

이재우 SK인포섹 ‘이큐스트’ 그룹장은 지난 18일 오후 종로 SK서린빌딩에서 열린 ‘2018년 5대 사이버위협 전망’ 미디어데이 행사에서 이같은 계획을 밝혔다.

‘이큐스트(Experts, Qualified Security Team)’는 침해사고대응(CERT), 전략해킹, 디지털포렌식을 포함해 사이버위협 분석·연구 분야에서 검증된 보안전문인력이 모여있다. 현재 100명의 인력이 이큐스트 랩, 전략해킹팀, 취약점진단팀, 침해사고대응팀, 위협 인텔리전스팀에 편재돼 활동하고 있다.

SK인포섹은 다크웹 크롤러(Crawler)를 통해 음지에 숨어있는 악성 사이트(다크웹)를 찾아내, 여기서 배포되는 ▲제로데이 익스플로잇·랜섬웨어·봇넷 등 해킹도구 ▲취약하거나 해킹된 사이트와 취약점 정보 ▲주소·전화번호·이메일·아이디와 패스워드와 같은 개인정보 등에 대한 정보 수집·분석을 강화한다. ‘이큐스트’는 현재까지 2만개의 다크웹을 수집한 상태다.

이큐스트 랩은 침해사고 대응과 모의해킹, 취약점 진단, 위협 정보 수집 활동을 바탕으로 확보한 신규 취약점과 공격 탐지·방어 정책을 연구하는 동시에 위협 동향과 최신 침해지표(IoC) 제공, 공격자그룹 추적·공격기법 연구 수행에도 박차를 가한다. 사내 버그바운티 제도도 운영할 계획이다.


이들 정보를 위협 인텔리전스에 반영해 진화하는 사이버위협에 능동적으로 대응할 수 있도록 하는데 적용할 방침이다.

SK인포섹은 지능형 사이버 공격 대응을 위한 최적의 위협 분석 정보를 제공하는 위협 인텔리전스 서비스인 ‘시큐디움 인텔리전스’를 작년 9월 출시했다.

위협 인텔리전스를 보안관제 서비스에 적용해 기존 보안시스템이 탐지하지 못했던 악성코드 등 기존 대비 위협 탐지율을 40% 이상 개선했다는 평가다. 현재 매일 평균 알려지지 않은 공격을 570건 이상 탐지하고 있다.

여기서 나아가 올해 머신러닝 AI 기술과 자동화·오케스트레이션 툴을 보안관제 플랫폼에 적용해 위협 탐지와 대응을 한층 고도화할 방침이다.

서울대와 작년부터 수행해온 지도학습·비지도학습 기반 AI 과제 수행 결과, 의미있는 결과를 얻었다는 평가다. 이재우 그룹장은 “지도학습을 적용해 93% 수준의 공격 정탐율을 나타냈고, 비지도학습 기반 탐지로 알려지지 않은 위협 탐지율을 40% 개선했다”라면서 “이같은 결과를 상용화할 수 있는 수준까지 끌어올려 올해 시큐디움 보안관제 플랫폼에 반영할 계획”이라고 설명했다.

자동화된 공격에 자동화된 방식으로 대응할 수 있도록 보안 자동화와 오케스트레이션 툴 적용도 검토하고 있다. 자체적으로 플레이북 기반의 보안관제 프로세스 자동화 가능한 표준 보안운영프로시저(SOP)도 개발한다.

아울러 엔드포인트단에서 랜섬웨어나 APT 등의 위협을 탐지할 수 있도록 엔드포인트탐지대응(EDR)·엔드포인트보호플랫폼(EPP)도 활용할 예정이다.


한편, 이큐스트는 올해 5대 사이버위협 전망으로 ▲관리서버 신규 취약점 이용한 APT 공격 ▲취약점 자동화 공격 도구 ▲제로데이(Zero-Day)화 ▲범용 소프트웨어 타깃 자동화 공격 ▲소프트웨어 공급망의 취약한 구조 노린 공격 ▲대규모 랜섬웨어 감염을 노린 공격을 제시했다.

이 그룹장은 “이전에는 새로운 취약점이 발표되면 며칠 뒤에 자동화 공격 도구가 만들어졌다. 그러나 최근에는 취약점 발표와 동시에 자동화 공격 도구가 발견되고 있다”라면서 “공격 피해를 늘리기 위해 해커들의 공격기법이 날로 지능화되고 대범해지고 있어, 신규 취약점과 위협·해킹 연구를 통해 효과적인 대응 방안을 마련해 나갈 것”이라고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


[바이라인플러스 7월 무료 웨비나 ]
  • 진화된 클라우드 보안 방안과 제로트러스트 업무환경 구현
    날짜 : 2022년 7월 6일 (수)
    시간 : 13:10 ~ 17:30
    자세히보기