사이버위협 인텔리전스는 지능형 사이버공격과 위협을 빠르게 탐지, 식별하고 대응하는데 필요한 정보를 말한다. 최근 보안담당자들이 보안업무를 수행하는데 있어 위협 인텔리전스 확보의 중요성이 점점 강조되고 있는 추세다.

비즈니스 환경의 디지털화가 가속화되고 IT 환경이 더욱 복잡해지는 가운데, 사이버위협도 지능화, 정교화되고 있고 그 위협의 수 역시 지속적으로 증가하고 있기 때문이다. 기업이 사용하는 보안 장비의 수도 늘어나면서 수많은 로그와 이벤트가 홍수를 이루는 상황이지만, 보안담당자들이 분석조차 못하는 보안 경보들이 절반에 달한다는 조사결과가 있을만큼 위협 탐지·분석·대응에 한계가 노출되는 상황이다.

카스퍼스키랩 역시 위협 인텔리전스 서비스가 보안담당자들의 이같은 어려움을 지원하는 것은 물론, 진화하는 보안위협에 대응하는데 도움을 줄 수 있다고 강조하고 있다.

위협 인텔리전스(TI)란

카스퍼스키랩은 위협 인텔리전스를 ‘사이버보안 위험을 줄이기 위해 조직 내 의사결정 및 전달 과정, 선제적 사이버 방어체계를 구축하기 위한 고급 정보’라고 정의한다.

강민석 카스퍼스키랩코리아 이사는 “6단계로 구분하는 위협 침해지표 가운데 하단에 있는 해시(Hash), IP 주소, 도메네임같은 정수나 문자로 나타낼 수 있는 침해지표는 위협 정보라고 할 수 있다. 보안 장비 관점에서 보면 침입탐지시스템(IDS)이나 침입방지시스템(IPS), 안티바이러스(AV), 방화벽, URL 필터링 시스템 등에서 사용되는 시그니처”라면서 “상위로 갈수록 정수나 문자 값으로 나타낼 수 없는 네트워크나 호스트 구조, 공격 툴과 전술·기술·절차(TTPS)로 표현되는 침해지표는 찾아내기 힘들다. 이에 대응하기 위해 필요한 것이 위협 인텔리전스”라고 설명했다.

위협 탐지·대응에서 필요한 정보와 업무 강도를 표기한 ‘고통의 피라미드(Pyramid of Pain)’ 가운데 상단에 있는 정보들이 위협 인텔리전스를 확보하는 것이라고 할 수 있다.

강 이사는 “위협 인텔리전스는 누가 우리 회사와 기관을 공격 목표로 하고 있고, 원하는 것은 무엇인지, 또 어떠한 위협그룹이 우리 사업분야나 지역에서 활동하고 있는지, 사용하는 공격 방법은 무엇인지를 제공해야 한다. 또 수많은 보안 장비에서 발생하는 수천 건의 경고 중에서 참과 거짓 정보를 확인해 정말 중요한 경고를 선별해낼 수 있어야 한다. 공격 전후 맥락과 사고의 범위, 추가 위협지표, 영향을 받은 시스템과 사용자 정보까지도 제공해야 한다”고 강조했다.

“공격자 침투, 침해사고 사전 방지, 보안사고 대응역량 강화에 기여”

카스퍼스키랩은 그동안 축적해온 사이버위협 관련 지식을 카스퍼스키 위협 인텔리전스 포털을 통해 웹서비스로 제공하고 있다.



위협 인텔리전스 데이터 소스는 매우 다양하다. 먼저 카스퍼스키 보안 제품을 사용하는 전세계 4억명의 사용자 가운데 1억1000만명이 자발적으로 제공하고 있는 보안 데이터(개인정보 제외)를 비롯해 다크웹, 웹크롤러, 봇팜(Bot Farm) 등 다양한 경로로 데이터를 취합해 분석한다. 전세계에서 활동하는 지능형 공격그룹들을 추적·분석하는 글로벌 위협 연구·분석팀(GREAT)과 카스퍼스키 보안운영센터(SOC), 카스퍼스키 레드팀, 산업제어시스템(ICS) 침해사고대응팀(CERT)에서 정제한 정보까지 망라해 시스템과 전문가 분석을 거쳐 위협 인텔리전스로 제공하고 있다. 카스퍼스키 위협 인텔리전스 포털을 통해 웹서비스로 제공한다.

강 이사는 “카스퍼스키 위협 인텔리전스 포털에는 그동안 축적해 온 사이버위협과 그 상관관계에 관한 모든 지식이 통합돼 있다”라면서 “목표는 고객사 보안팀에게 가능한 한 많은 데이터를 제공해 공격이 조직에 침투하는 것을 미연에 방지하는데 있다. 그 결과로 전세계적으로 새롭게 출현하는 위협을 파악할 수 있어 조직의 보안을 강화하고 사건 대응 역량을 높이는데 효과적으로 기여한다”고 강조했다.

그에 따르면, 위협 인텔리전스 포털에서는 URL, 도메인, IP 주소, 파일 해시, 위협 이름, 통계·동작 데이터, 파일 특성, 지리적 위치 정보, 다운로드 체인, 타임스탬프 등 분석하고자 하는 최신 보안위협 정보를 검색할 수 있다. 사용자가 확보한 URL, IP 주소, 파일, 해시 등 위협 정보를 업로드할 경우에는 즉각 분석해준다. 바로 위협 룩업(Threat Lookup) 기능이다. 강 이사는 “위협 룩업은 신속한 사건 조사와 대응력을 강화해 공격 지속시간을 크게 줄일 수 있다”고 기대효과를 설명했다.

클라우드 샌드박스도 제공한다. 별도의 가상 악성코드 분석 장비를 도입하거나 구축할 필요 없이 위협 인텔리전스 포털에서 바로 사용할 수 있다.

또한 카스퍼스키는 악성 IP(평판)와 URL, 파일 해시, 봇넷, 명령제어(C&C) 서버, 랜섬웨어, 지능형지속위협(APT) 정보를 담고 있는 위협 데이터 피드를 방화벽, IPS, SIEM, 이메일 보안시스템 등 보안 솔루션에 통합해 대응할 수 있도록 제공한다.

보안 시스템에서 나오는 로그를 위협 데이터 피드를 이용해 분석해주는 전용 툴인 사이버트레이스(Cyber Trace)도 기본 제공한다. 강 이사에 따르면, 이 도구는 카스퍼스키 뿐만 아니라 타사·사용자 지정 피드 등 모든 위협 인텔리전스 피드를 JSON, XML, CSV 형식으로 통합할 수 있다. 또 다양한 SIEM 솔루션·로그 소스와 즉시 통합할 수 있다. 더욱이 사이버 트레이스를 이용해 로그를 분석한 뒤 SIEM으로 전송하면 SIEM의 부하를 크게 줄일 수 있다. SIEM을 사용하지 않는 경우에도 분석이 가능하다.

또한 APT 인텔리전스 리포팅, 금융권 위협 인텔리전스 리포팅, 특정 기업이나 조직 맞춤형 위협 인텔리전스 리포팅 등 다양한 위협 인텔리전스 리포팅 서비스도 제공한다. 이같은 위협 인텔리전스 리포트는 카스퍼스키가 자랑하는 전문가 집단인 GREAT이 작성한다. 한국을 포함해 유럽, 러시아, 미국, 아시아, 호주, 중동 등 전세계에 걸쳐 전문가들이 소속돼 있다. 한국에는 박성수 책임 연구원이 GREAT 소속으로, 한국어를 사용하는 APT 그룹에 대한 연구를 지속적으로 수행하고 있다.

강 이사는 카스퍼스키 인텔리전스 서비스의 강점으로 “카스퍼스키는 20년 전부터 GREAT팀 운영하면서 공격자 추적해왔다. 1000명이 넘는 연구진, 사람이 직접 찾아내 분석하고 있다. 리소스가 부족한 타사에서 공격자들이 충분히 회피할 수 있는 자동화 툴을 사용하는 것과는 차별화된다. 카스퍼스키는 글로벌 회사이면서도 유일하게 한국인 연구자를 보유하고 있어 현지에서 직접 전문가가 분석해 위협 인텔리전스를 제공하며, 문제가 발생하면 지원하고 있다”고 부각했다.

* 이 기사는 바이라인네트워크가 최근 개최한 바이라인플러스 웨비나에서 발표된 내용을 바탕으로 작성했습니다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network