마에스트로포렌식 “AI로 공격 빨라져…진단부터 포렌식까지 연계 대응 필요”
인공지능(AI)이 취약점 탐색과 공격 도구 제작 시간을 줄이면서 기업의 보안 대응 방식도 달라져야 한다는 진단이 나왔다. 공격자가 취약점 발견부터 침투, 내부 이동, 정보 유출까지 더 짧은 시간 안에 이어갈 수 있어, 취약점 진단과 모의해킹, 공격표면관리(ASM), 침해사고 분석을 하나의 대응 흐름으로 연결해야 한다는 것이다.
마에스트로포렌식은 29일 서울 독산동 인섹시큐리티 교육센터에서 ‘취약점 진단·모의해킹 솔루션·침해사고 포렌식 조사 도구 통합 세미나’를 열고 최근 침해사고 동향과 취약점 진단·모의해킹·사고 분석 데모 시연을 진행했다.
마에스트로포렌식은 이번 세미나에서 취약점 진단, 모의해킹, ASM, 침해사고 분석을 연결하는 대응 흐름을 제시했다. 자체 솔루션인 마에스트로 위즈덤은 이 가운데 사고 이후 공격 흔적을 복원하고 원인을 분석하는 포렌식 도구로 활용됐다. 회사는 “Nexpose Enterprise 같은 취약점 진단 도구, Cobalt Strike 같은 모의해킹 도구, 크리미널IP 같은 ASM 솔루션, 마에스트로 위즈덤을 연계해 사고 전에는 외부 노출 자산을 줄이고, 사고 후에는 공격 경로와 삭제된 흔적을 복원하는 체계를 고도화해야 한다”고 강조했다.
김종광 마에스트로포렌식 대표는 “예전에는 취약점 하나를 찾는 데 몇주에서 몇달이 걸렸지만, 이제는 AI를 활용하면 취약점 탐색과 개념검증(PoC) 코드 작성 주기가 크게 줄어든다”며 “공격자는 빈틈 하나를 찾으면 되지만, 기업 보안 담당자는 어디부터 막아야 할지 판단해야 한다”고 말했다. 개념검증은 취약점이 실제 공격에 쓰일 수 있는지 확인하기 위해 만든 코드나 절차를 말한다.
오래된 취약점과 보이지 않는 자산이 통로
마에스트로포렌식에 따르면, 지난해 국내 침해사고 신고 건수는 약 2400건으로, 전년 약 1880건보다 늘었다. 랜섬웨어 피해도 증가했다. 최근에는 금융·통신·플랫폼 기업을 중심으로 피해 규모가 커지고 있으며 대응 시간도 길어지고 있다.
마에스트로포렌식은 최근 침해사고의 주요 원인으로 ‘섀도우 IT’를 꼽았다. 섀도우 IT는 보안팀이 공식 자산 목록으로 관리하지 못하는 서버, 테스트 시스템, 협력사 연결 장비, 방치된 클라우드 인스턴스를 뜻한다. 보안팀이 관리하는 자산은 취약점 점검과 패치 대상에 들어가지만, 조직 밖에서 추가되거나 임시로 만든 자산은 점검망에서 빠지기 쉽다. 공격자는 이런 빈틈을 초기 침투 경로로 삼는다.
섀도우IT의 증가와 함께 취약점 관리의 복잡성도 높아졌다. 공개 취약점 식별번호(CVE)에 등록되는 취약점이 하루 수백건씩 늘면서, 보안 담당자가 수작업으로 자산별 위험도를 판단하기 어려워졌다는 것이다. 여기에 AI가 취약점 탐색과 공격 도구 제작 시간을 줄이면서 대응 부담은 더 커지고 있다.
마에스트로포렌식은 이런 문제를 해결하기 위한 취약점 진단 도구로 래피드세븐의 Nexpose Enterprise를 제시했다. 세미나에서는 Nexpose Enterprise를 활용해 대규모 자산의 취약점을 자동 진단하고, 공개 개념검증 코드나 Metasploit 모듈 존재 여부를 확인하는 과정을 시연했다. Nexpose Enterprise는 서버와 네트워크 자산의 취약점을 식별하고 위험도를 관리하는 도구다. Metasploit은 발견된 취약점이 실제 공격으로 이어질 수 있는지 검증하는 데 쓰이는 모의해킹 도구다.
모의해킹으로 정상 도구 악용 공격 재현
공격 방식도 달라지고 있다. 마에스트로포렌식은 ‘파일리스 공격’과 ‘정상 도구 악용 공격(LOTL)’을 최근 침해사고의 주요 특징으로 제시했다. 파일리스 공격은 악성 파일을 디스크에 남기지 않고 메모리에서만 실행한 뒤 삭제하는 방식이다. LOTL은 파워셸(PowerShell), 윈도우 관리 명령어, 인증서 관리 도구처럼 운영체제에 원래 들어 있는 정상 도구를 공격에 활용하는 기법이다.
이런 공격은 백신이나 엔드포인트 탐지·대응(EDR) 솔루션의 탐지를 우회할 가능성이 있다. 정상 관리 도구가 실행되는 것처럼 보이기 때문이다. 공격자는 한 대의 서버를 장악한 뒤 내부망을 스캔하고, 계정 정보를 빼내고, 자격 증명을 이용해 다른 시스템으로 이동한다. 이를 ‘횡적 이동’이라고 한다. 한 대의 침투가 도메인 전체 장악으로 이어질 수 있는 이유다.
세미나에서는 오래된 오라클 웹로직(Oracle WebLogic) 취약점을 가정한 공격 과정이 재현됐다. 마에스트로포렌식은 취약한 서버를 찾은 뒤 Fortra의 Cobalt Strike를 활용해 시스템과 공격자 서버를 연결하고 침투하는 과정을 시연했다. Cobalt Strike는 원래 레드팀과 모의해킹을 위한 상용 도구지만, 공격자도 이를 악용한다. 내부망 스캔, 파일 업로드, 명령 실행, 권한 탈취 등 공격에 필요한 기능을 한곳에 모아 제공한다.
시연에서는 공격자가 새 관리자 계정을 만들고, Mimikatz로 메모리의 계정 정보를 빼내고, 작업 스케줄러에 악성 작업을 등록하는 흐름이 이어졌다. Mimikatz는 윈도우 인증 정보를 처리하는 메모리 영역에서 비밀번호, 해시, 인증 티켓 등을 추출하는 도구다. 원래 보안 점검에도 쓰이지만, 공격자가 내부 침투에 필요한 계정 정보를 빼내는 데 자주 악용한다.
또 Rclone 같은 클라우드 동기화 도구를 이용해 데이터베이스 백업 파일과 계정 정보 파일을 외부 클라우드로 전송하는 공격 기법도 소개됐다. 김 대표는 “Rclone은 원래 정상적인 클라우드 동기화 도구지만, 최근 공격자들은 이 도구를 악용해 대용량의 자료를 유출하고 있다”고 분석했다.
‘마에스트로 위즈덤’으로 공격 흐름 복원
이런 공격 흐름에 대응하기 위해 마에스트로포렌식은 마에스트로 위즈덤으로 공격 흔적을 복원하는 과정을 시연했다. 마에스트로 위즈덤은 윈도우, 리눅스, 맥, 모바일 등 다양한 환경에서 증거 수집, 디스크 이미징, 이벤트 로그 분석, 삭제 파일 복구, 메모리 분석을 지원하는 통합 포렌식 플랫폼이다.
시연에서 마에스트로 위즈덤은 새 사용자 계정 생성, 관리자 그룹 편입, PowerShell 실행 기록, 임시 폴더에 숨겨진 파일, 작업 스케줄러 등록 내역, Rclone 설정 파일을 추적했다. 예를 들어 윈도우 이벤트 로그에서 사용자 계정 생성과 관리자 그룹 편입 흔적을 필터로 분류하고, 공격자가 실행한 명령어를 시간순으로 확인하는 방식이다.
디지털 포렌식에서 아티팩트는 시스템에 남은 디지털 증거를 뜻한다. 로그인 기록, 프로그램 실행 이력, 네트워크 접속 흔적, 삭제된 파일 정보, 이벤트 로그 등이 여기에 해당한다. 위즈덤은 이런 아티팩트를 항목별로 모아 보여주고, 침해사고 조사에 필요한 계정 생성, 권한 상승, 정보 탐색, 파일리스 의심 흔적 등을 별도 분류한다.
김 대표는 마에스트로 위즈덤을 개발한 배경으로 외산 포렌식 도구의 한계를 들었다. 그는 “외산 제품은 컴퓨터 디스크 포렌식 중심으로 설계된 경우가 많아 사이버 침해사고 대응에 부족한 부분이 있었다”며 “국가 주요 기관과 수사기관에 납품했던 기능을 모아 2년 동안 제품을 고도화하고 있다”고 설명했다.
마에스트로 위즈덤의 아티팩트는 빠르게 늘어나고 있다. 마에스트로포렌식은 지난해 공개 당시 300여개 수준이던 아티팩트를 현재 500여개 수준으로 확대했다. 김 대표는 “고객이 필요하다고 말하는 기능은 돌아와서 분석하고, 가능하다고 판단하면 아티팩트로 넣고 있다”며 “초기와 비교하면 4~5개월 사이에 2배 가까이 늘었다”고 말했다. 그는 “숫자를 늘리는 것보다 포렌식 초보자도 전문가처럼 분석할 수 있게 만드는 것이 목표”라며 “디스크 이미지만 가져오면 사고 흐름을 볼 수 있는 정도까지 기능을 고도화하고 있다”고 강조했다.
김 대표는 엔드포인트 탐지 대응 솔루션(EDR)괓디지털 포렌식의 역할 차이도 강조했다. EDR은 악성 행위를 탐지하고 차단하는 데 강점이 있지만, 공격자가 침투 이후 파일과 로그, 백업을 삭제하면 사고 전후 맥락을 모두 복원하기 어렵다. 그는 “공격자가 파일을 지우고 로그와 백업까지 삭제하면 EDR이 볼 수 있는 정보가 제한된다”며 “포렌식은 삭제된 흔적을 복구해 분석한다. 그래서 복구의 역할이 중요하다”고 말했다.
실제 고객 사례도 소개했다. 김 대표는 한 물리보안 업체의 랜섬웨어 감염 조사 사례를 들며, 대용량 하드디스크 분석에서 마에스트로 위즈덤의 분석 속도가 강점으로 작용했다고 설명했다. 그는 “2테라바이트(TB) 규모의 하드디스크를 분석해야 했는데, 기존 외산 도구로는 처리가 어려웠다”며 “위즈덤을 활용해 약 3시간 만에 분석을 진행했다”고 덧붙였다.
보안 관제 센터와 기업 침해사고 대응팀의 요구도 제품에 반영하고 있다. 김 대표는 “현장에서는 계정 생성, 권한 상승, 원격 접속, 클라우드 유출 흔적을 한 화면에서 빠르게 확인하는 기능을 요구하고 있다”며 “위즈덤은 이런 요구에 맞춰 침해사고 조사용 아티팩트와 필터를 계속 늘리고 있다”고 말했다.
AI 공격에는 AI 분석 필요
마에스트로포렌식은 AI 시대에 맞춰 AI 에이전트 기반의 침해사고 분석 기능도 위즈덤에 추가하고 있다. 김 대표는 “AI로 공격한 침해사고는 AI 공격 패턴을 기준으로 분석해야 한다”며 “위즈덤에도 AI 에이전트 기반의 해킹·악성코드 패턴 분석 기능을 넣고 있다”고 설명했다.
김 대표는 최근 논란이 되고 있는 앤트로픽의 미토스와 같은 사이버 특화 AI 모델을 보안 환경 변화의 사례로 들었다. 그는 “과거에는 취약점이 공개돼도 실제 익스플로잇이 나오기까지 몇 달에서 몇 년이 걸렸지만, AI가 개입하면 그 주기가 크게 줄어든다”며 “취약점을 찾는 것뿐 아니라 익스플로잇까지 자동으로 만들어지는 상황이 오면 보안 담당자는 더 어려운 환경에 놓일 수밖에 없다”고 말했다.
이어 그는 “AI로 공격하는 시대에는 방어자도 AI로 더 빨리 취약점을 찾고 보완해야 한다”며 “AI 공격은 AI로 대응할 수밖에 없다”고 말했다. 아울러 “미토스와 같은 AI가 취약점 탐색과 익스플로잇 제작 시간을 줄일 경우, 사고 조사 도구도 기존 로그 확인 수준을 넘어 AI 공격의 흐름을 해석할 수 있어야 한다”고 강조했다.
마에스트로포렌식은 AI 생성 이미지와 딥페이크 의심 콘텐츠, 텔레그램 이미지 속 문자 추출 기능도 추가하고 있다. 김 대표는 “최근 일부 기업 내부에서는 직원들이 AI로 만든 가짜 영수증을 청구하는 사례도 있었다”며 “AI 생성물의 진위 확인을 할 수 있게 해달라는 요청까지 나오고 있다”고 했다.
ASM으로 공격 표면도 줄여야
마에스트로포렌식은 침해사고 조사와 함께 공격표면관리(ASM) 솔루션의 필요성도 강조했다. 공격 표면은 공격자가 외부에서 접근할 수 있는 서버, 도메인, 클라우드 자산, 관리자 페이지, 원격 접속 서비스 같은 진입 지점을 뜻한다. 관리되지 않는 자산이 외부 인터넷에 연결돼 있으면 그 자체가 침해사고 통로가 될 수 있다.
세미나에서는 인섹시큐리티가 공급하는 AI스페라(AI Spera)의 크리미널IP(Criminal IP)를 활용한 ASM 시연도 진행됐다. 크리미널IP는 기업이 보유한 공인 IP 대역을 등록하면 서비스형 소프트웨어(SaaS) 방식으로 외부 노출 자산을 주기적으로 스캔한다. 이후 살아 있는 호스트, 클라우드 인스턴스, 인터넷데이터센터(IDC) 자산, 호스팅 자산을 식별하고 위험 수준을 구분한다.
기존 취약점 진단 도구가 내부망이나 폐쇄망 자산 점검에 강점을 가진다면, ASM은 외부 인터넷에 노출된 자산을 찾는 데 초점을 둔다. 김 대표는 “침해사고의 통로는 결국 외부 인터넷에 연결된 자산”이라며 “인터넷 접점 자산을 통합적으로 빠르게 관리하는 것이 공격표면관리의 핵심”이라고 설명했다.
크리미널IP는 열린 포트와 취약점만 확인하지 않는다. IP 스캔 결과, 포트 스캔 결과, 취약점 분석 결과를 조합해 AI로 위험을 분석한다. 예를 들어 WebLogic이나 React 관련 고위험 취약점이 발견됐는지, 조직에서 허가하지 않은 서비스가 열려 있는지, 원격 접속 서비스가 노출됐는지, 관리자 웹페이지가 외부에 드러났는지를 판단한다.
AI 기반 웹페이지 구조 분석 기능도 있다. 열린 포트 뒤에 있는 웹페이지 구조를 분석해 관리자 페이지나 중요 정보가 담긴 페이지인지 식별하는 방식이다. 공격자는 관리자 페이지가 외부에 노출돼 있으면 계정 탈취나 비밀번호 대입 공격을 시도할 수 있다. ASM은 이런 자산을 먼저 찾아 보안 담당자가 우선 조치할 수 있게 돕는다.
공개출처정보(OSINT)와 다크웹 모니터링 기능도 포함했다. OSINT는 공개된 인터넷 정보에서 공격자가 활용할 수 있는 단서를 찾는 방식이다. 크리미널IP는 실제 공격자가 검색할 법한 키워드를 AI로 생성해 외부에 노출된 내부 포털이나 로그인 페이지를 찾는다. 또 다크웹에 유출된 기업 계정 정보가 있는지 모니터링해 계정 삭제나 권한 회수 같은 조치를 돕는다.
마에스트로포렌식은 인섹시큐리티의 자회사로, 디지털 포렌식·취약점 진단·악성코드 분석 기술을 기반으로 공공기관, 군, 수사기관, 기업에 솔루션과 교육을 제공하고 있다. 최근에는 마에스트로 위즈덤을 통해 외산 중심의 국내 포렌식 시장에서 국산 디지털 포렌식 플랫폼의 활용 범위를 넓히겠다는 목표를 내세우고 있다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network


