"공공 정보기관이나 민간 정보보안 업체는 이메일이나 공문 등의 문서, 웹사이트 등의 형태로 보안 위협 정보를 전달한다. 이런 정보들을 참고해 보안 정책을 생성 및 적용하기에는 시간이 오래 걸렸다. 주된 문제는, 보안 담당자의 주관적 판단에 의존해 위협에 대응할 수밖에 없다는 것이다."
김현석 안랩 차장은 인터뷰에서 보안 위협 인텔리전스 도입이 필요한 이유에 대해 이같이 밝혔다. 보안 담당자가 최신 트렌드를 신속히 파악하고, 이를 실무에 활용하기 위해서는 전문가에 의해 분석, 선별된 보안 정보를 받아볼 필요가 있다고 주장했다. 그렇지 않으면 보다 미숙하고 주관적인 판단 하에 보안 정책을 세우게 되고, 보안 조치를 시행하는 속도도 늦어진다고 분석했다.
전 산업군에 걸쳐 디지털 트랜스포메이션이 진행되면서 IT 도입 범위도 확대되고 있다. 그만큼 해커의 위협 범위도 확대되는 셈이다. 범위가 넓어질 뿐만 아니라, 공격 기술 및 전략도 고도화되는 양상이 나타난다. 분야를 막론하고 최적의 보안 전략 수립이 필요한 이유다.
안랩은 선별된 보안 위협 정보를 제공하는 플랫폼 '안랩 TIP'을 운영하고 있다. 전문 기업의 보안 위협 대응 기술력과 노하우를 집약, 국내외 최신 보안 위협 정보들을 각 조직의 특성에 맞춰 보안 담당자가 바로 의사결정에 활용할 수 있을 만큼 가공해 제공한다는 설명이다.
김현석 차장은 "대형 해킹 사고가 발생하면 고객사들이 해당 사고에 대한 정보 분석을 요청하는 경우가 있다"며 "안랩 TIP은 안랩이 수집하는 위협 정보와 공공, 민간을 포함한 외부 기관에서 수집된 정보를 보안 전문 인력들이 종합 분석해 현실적인 위험도를 평가해 제공한다"고 강조했다.
-안랩TIP을 출시하게 된 배경은?
"안랩은 클라우드 기반 악성코드 대응 기술인 '안랩 스마트 디펜스'가 있다. '안랩 스마트 디펜스'로 수천만대 PC에서 발생한 위협 정보를 실시간으로 수집하고, 해커와 연결된 명령제어(C2) 서버의 정보를 살펴보는 기술인데 다양한 안랩 제품 및 서비스에 적용하고 있다.
최근 타겟형 랜섬웨어 공격이 증가하는 등 보안 위협이 고도화돼 다양한 피해 사례가 발생하면서 이를 대외용 서비스로 만들어달라는 수요가 생겼다. 품질 높은 위협 인텔리전스를 찾는 목소리가 생겨난 것이다.
서비스 출시는 2019년 6월부터 준비했다. 여러 팀을 모아 태스크포스(TF)를 구성하고, 각자 낸 아이디어를 구체화해 작년 11월말 개발을 마치고, 실질적인 서비스는 올해 1월부터 개시했다.
서비스 자체는 유관 부서와 협업해야 할 부분이 굉장히 많다. 어떤 악성코드가 유행하는지 신속히 정보를 수집해 대응해야 한다. 정상 샘플인데 악성으로 판별되는 경우에도 빨리 조치를 취해야 한다."
-보안 위협 인텔리전스를 구현하기 위해 어떤 정보들이 활용되나.
"안랩 솔루션에서 수집되는 텔레메트리 정보들이 있다. 머신러닝 분석 결과값이나 파일 크기, V3에서 처리된 결과, 진단명 등 자사 제품과 연계되는 부분들이다. 해시나 태그가 들어오면 이에 대한 상세 정보를 함께 제공한다.
외부에서 수집되는 위협 정보 및 연관 보고서도 있다. 협력관계인 국내외 업체나 공공기관을 통해, 또는 오픈소스로도 공유되는 정보들이다. 보안 권고문에도 특정 제품에 대한 취약점과 그에 대응하는 보안 패치 및 위협 행위자에 대한 정보들이 있다.
이런 정보 수집망을 통해 공격 배후 및 공격이 유입된 이후 어떤 파일을 갖고 어디로 접속하는지 등에 대한 행위 정보가 모아진다. 안랩 솔루션에서 유사한 진단명이 있다면 유사 샘플에 대한 정보를 표시하고, 해외 보고서에서는 어떻게 언급됐는지도 알려준다.
고객사가 가장 많이 활용하는 건 통계 정보다. 어떤 악성코드가 가장 유행하는지 알 수 있다. 대기업 보안 관제 측에서 수요가 높은 정보다. 악성코드의 트렌드를 파악하고 미래에 대응할 목적으로 보안 제품에 대한 투자에 참고하기 위함이다.
안랩이 국내 주요 보안 기업인 만큼 텔레메트리 정보가 많다. 다양한 제품에서 올라오는 통계 정보를 토대로 각 공격 유형의 증감 여부를 파악할 수 있다. 전날 수집된 상위 10개 침해지표(IoC) 정보를 제공하는데, 이는 타 악성코드 검색 엔진에선 관련 정보가 나타나지 않는 경우가 많다. 안랩이 국내 공격에 특화해 정보를 수집하기 때문에 나타나는 차별점이다.
뉴스 클리핑도 강점이 있는 서비스다. 새 맬웨어 소식이 나오면 관련해 확보한 샘플 파일들과 동작 방식, 연관 보고서 및 대응 방법을 제공한다. 언론 보도가 나오면 기업들이 당황하는데, 뉴스에 나온 맬웨어가 유입됐는지 여부를 바로 확인해준다. 안랩TIP 서비스에서 뉴스를 클릭하면 공격 관련 세부 정보를 제공하는 식이다. 안랩이 유관 기관이나 국내외 보안 기관과 밀접한 관계 갖다 보니 수집된 샘플이 많다. 관련 기사에 함께 제공되는 IoC 정보를 통해 담당자가 빠른 조치를 취할 수 있어 만족도가 높은 기능이다."
-보안 위협 정보를 큐레이션 형태로 제공받아야 하는 이유는?
"안랩TIP을 API 형태로 제공하는데, 이를 조직에서 사용하는 보안정보이벤트관리(SIEM) 또는 보안 오케스트레이션·자동화 및 대응(SOAR) 솔루션과 연계하면 보안 위협에 대해 자동화된 대응이 가능하다. 대응 속도가 자연히 빨라진다. SIEM에서 수집되는 수많은 정보를 SOAR에서 수신받아 분석하고, 분석한 결과를 안랩TIP에 보고해 보안 문제를 확인한 뒤 이에 대한 대응이 자동으로 이뤄지는 식이다.
'실시간' 대응에도 편리하다. 뉴스 클리핑이나 SNS로 들어온 최신 소식에 대한 정보를 바로 확인할 수 있다. 악성코드가 V3에서 가장 먼저 탐지되는 경우도 많다. 해외 공격도 수집하고 있으니까."
-'클라우드 샌드박스' 기능이 찾아내기 어려운 악성코드를 탐지할 수 있는 이유는?
"외국의 경우 견적서 형태를 띈 메일이 많이 온다. 정상 무역회사나 제조업의 이메일을 해킹한 이후, 이를 사칭해 이번 달 발주 견적서를 보낸다며 담당자에게 악성코드를 첨부한 메일을 보내는 경우가 많다. 여러 백신의 분석 결과를 종합적으로 조회할 수 있는 '바이러스토탈' 같은 곳에 이런 메일 내용을 조회해도 악성코드가 검출되지 않는 경우가 있다.
의심되는 첨부파일은 클라우드 샌드박스로 실행한 결과를 본 뒤, 악성으로 판단되면 분석 후 폐기하거나 차단시키는 프로세스를 거친다. 악성 URL도 마찬가지다. 사용자가 URL 링크를 누르지 않고 샌드박스 분석으로 드롭 파일이나 IP를 알아낼 수 있다. 시간대별 움직임도 알 수 있다. 악성코드에 따라 특정 운영체제(OS)에서만 공격하는 경우도 있고, 32비트인지 64비트 OS인지에 따라서도 파일 동작이 달리 나타나기도 한다. 악성파일이 실행되면서 어떤 프로세스를 건드리는지도 알려준다. 기업 내 보안 전문가들이 활용할 수 있는 정보들이다.
정상 파일이 악성으로 분석되는 경우도 있는데 분석가 팀에서 추가 검증 통해 악성으로 나왔다 하더라도 정상으로 명기해서 오진 오탐 되지 않도록 지원하고 있다."
-현재 안랩TIP을 활용 중인 주요 고객사는?
"연초 서비스를 개시한 뒤 현재 정부부처와 공공기관을 비롯해 금융사, IT 대기업, 유통사 등 다양한 산업군에서 고객사를 확보했다.
SOAR와 SIEM과 연계해 쓸 수 있는 만큼, 이런 솔루션을 사용하는 대기업들이 안랩TIP을 많이 활용하고 있다. 중소기업도 수신되는 메일이 포함한 첨부파일 또는 URL이 안전한지 살펴보기 위한 목적으로 안랩TIP을 많이 찾는다."
-안랩TIP에 대한 서비스 고도화 계획은?
"보다 양질의 콘텐츠를 확보하기 위해 안랩의 엔드포인트, 네트워크 보안 솔루션 및 보안 관제 서비스와의 연계를 강화할 예정이다.
각종 보안 취약점에 대한 보고서도 보강하려 한다. 취약점 악용 방식과 이 취약점이 어케 악용되고 있는지, 최신 취약점 트렌드는 무엇이고, 향후 대응은 어떻게 해야 하는지 등에 대해 상세히 전달하고자 한다. 현재 서비스를 출시한 지 9개월 정도 됐는데, 내년 6월까지 이런 사항들을 반영하는 것이 목표다.
APT 인텔리전스도 보완할 계획이다. 주요 공공기관과 제조사들이 이런 정보를 알고 싶어 한다. 신규 공격자 그룹이 나타나면 이들이 어떤 정보를 갖고 있고, 어떤 유입 경로를 거쳐 어떤 공격을 어디에 하는지에 대한 정보다. 특정 공격자에 연관된 IoC는 무엇인지, 내부 시스템에 접근했는지 등의 정보에 관심이 많다.
국가별 특화된 공격 정보를 구축하는 것도 계획에 있다. 클라우드 샌드박스도 OS 지원 범위를 넓히고, 룰도 추가하는 등 분석 기능을 고도화할 예정이다. 클라우드 샌드박스 기능은 별도 API 상품으로 만들 계획이다."
-일반적인 검색, 브라우저로는 접근할 수 없는 '다크웹' 모니터링도 지원할 예정이라고 했는데.
관련기사
- 안랩, 보안 위협 인텔리전스 플랫폼 출시2021.01.08
- '양자암호' 공들이는 안랩…암호모듈에 기술 탑재2021.09.08
- 안랩, 하이엔드 차세대 방화벽 상위 모델 출시2021.08.13
- 안랩, 2Q 영업익 46억…전년 대비 16.6% ↓2021.07.29
"해커들이 정보 교류, 해킹 도구 판매 등의 목적으로 다크웹을 이용하는데, 내년 6월쯤 다크웹 관련 정보도 안랩TIP에서 제공할 수 있도록 준비하고 있다.
준비는 올초부터 했는데, 다크웹에서 수집한 정보를 안랩TIP에서 제공하려면 고려해야 할 점이 많다. 서비스 과정에서 개인정보 유출 문제가 발생하지 않도록 조치하는 과정을 거칠 예정이다. 다크웹 외에도 국내외 다양한 기관과 협력하며 정보 수집 경로를 확대하고 위협 인텔리전스를 더욱 정교화할 계획이다."