마에스트로포렌식, ‘마에스트로 위즈덤’ DFIR 기능 강화

마에스트로포렌식(대표 김종광)은 인공지능(AI) 기반 자동화 디지털 포렌식·악성코드 분석 통합 플랫폼 ‘마에스트로 위즈덤(MAESTRO WISDOM)’의 디지털 포렌식·침해사고 대응(DFIR) 기능을 강화했다고 10일 밝혔다.

마에스트로포렌식은 최근 킬린 랜섬웨어, 로트엘(운영체제에 내장된 정상 도구를 악용하는 공격), 파일리스(악성 파일을 설치하지 않고 메모리나 정상 기능을 악용하는 공격), 엔드포인트 탐지·대응(EDR) 우회·비활성화 공격이 확산하면서 기존 보안 솔루션만으로는 침해 원인 규명과 확산 차단이 쉽지 않다고 설명했다. 회사는 이런 유형의 공격이 ‘탐지 이후의 원인 규명’과 ‘대응 절차’까지 요구한다는 점에서 DFIR 기능을 강화했다고 덧붙였다.

강화된 기능이 적용된 마에스트로 위즈덤은 윈도우, 맥(macOS), 리눅스(Linux), 모바일(Android·iOS), 클라우드 환경을 대상으로 침해사고 수집–분석–대응–보고 절차를 한 플랫폼에서 수행하도록 설계됐다. 또 ‘포렌식 가속기(Forensic Accelerator)’ 기술을 내장해 증거 식별과 분석 속도를 높였으며, 약 1000개 이상의 디지털 아티팩트(침해 흔적이 남는 디지털 증거)를 연관 분석해 공격 흐름과 행위 체인을 파악하도록 지원한다고 덧붙였다.

마에스트로포렌식은 특히 로트엘·파일리스 공격이 포렌식 관점에서 까다로운 이유로, 운영체제 기본 기능을 악용해 ‘악성 파일’ 흔적이 뚜렷하지 않은 점을 들었다. 최근 공격자는 윈도우에 기본 탑재된 WMI·WMIC(윈도우 관리 도구), 파워셸(PowerShell·윈도우 명령 실행 도구), 원격 파일 전송 프로그램, 원격접속·관리 도구 등을 악용해 별도 악성 파일 설치 없이 공격을 수행한다. 정상 프로그램을 이용해 정보 탐색·유출·탈취를 시도하는 사례도 늘고 있다.

이 때문에 마에스트로 위즈덤은 메모리, 프로세스, 레지스트리, 이벤트 로그, 네트워크 아티팩트 등을 종합 분석해 로트엘·파일리스 공격을 탐지하고, 공격에 사용된 도구·명령어·실행 흐름을 자동 시각화해 제공한다고 회사는 설명했다. EDR을 우회·삭제·비활성화하는 이른바 ‘EDR 킬러(EDR Killer)’ 공격도 식별해, 기존 보안 솔루션이 무력화된 이후의 흔적까지 추적할 수 있다는 설명이다.

마에스트로포렌식은 현장 분석뿐 아니라 원격 대응까지 하나의 흐름으로 묶는 구성도 강조했다. 마에스트로 위즈덤은 현장 조사용 ‘마에스트로 위즈덤 라이브’, 원격 침해사고 대응용 ‘마에스트로 위즈덤 리모트’, 모바일 악성코드 분석용 ‘마에스트로 위즈덤 모바일’로 구성되며, 위협 인텔리전스 플랫폼 ‘마에스트로 CTIP’와 연동된다.

이를 통해 유사 공격 사례 탐색, 악성코드 기원·유포 경로 분석, 행위 패턴 비교를 지원하고, 글로벌 보안 솔루션과 애플리케이션 프로그래밍 인터페이스(API) 연계도 제공한다.

김종광 마에스트로포렌식 대표는 “최근 침해사고는 단순 탐지를 넘어 정확한 원인 규명과 빠른 대응이 핵심”이라며 “포렌식 기반 정밀 분석과 AI 자동화를 결합해 기존 EDR·백신의 한계를 보완하는 침해사고 대응 플랫폼”이라고 말했다. 이어 “킬린 랜섬웨어, 로트엘, 파일리스 공격 등 고도화된 위협 환경에서도 신속하고 체계적인 대응이 가능하도록 기능을 지속 고도화하겠다”고 강조했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network