Google Threat Intelligence 도입으로 공격 트렌드와 흔적 추적 효과 높여
위협 사냥 기법으로 공격에 선제적 대응
샌드박스 환경으로 안전하게 추가 공격 패턴 확인
플레인비트는 Google Threat Intelligence의 방대한 데이터를 통해 작은 흔적으로도 피해의 전체적인 흐름을 파악하고, 더 나아가 사후 분석에 머물던 DFIR 분야에 선제적 보안 대응 역량을 확보할 수 있었습니다.
플레인비트는 Google Threat Intelligence의 방대한 데이터를 통해 작은 흔적으로도 피해의 전체적인 흐름을 파악하고, 더 나아가 사후 분석에 머물던 DFIR 분야에 선제적 보안 대응 역량을 확보할 수 있었습니다.
고도화되는 사이버 위협 풀어내는 DFIR의 분석적 과제
인터넷과 연결되는 서비스가 늘어나면서 해킹, 정보 유출 등 보안 위협과 사고가 끊이지 않습니다. 보안 위협은 개인과 기업을 가리지 않고, 늘 호시탐탐 빈틈을 노리고 있습니다. 단순한 보안을 넘어 이를 미리 알고 적절한 조치를 취하는 것이 중요합니다.
플레인비트는 사이버 보안 공격의 실마리를 통해 공격 방법을 파악하고, 공격 주체를 찾아내는 디지털 포렌식, 그리고 침해 사고 대응 전문 기업입니다. 범죄나 사고 현장에서 흔적과 증거를 찾아 범행 방법과 범인을 찾아내는 과학 수사대의 역할을 사이버 범죄의 현장으로 옮긴 것과 비슷합니다. 특히 최근의 사이버 공격은 대규모 그룹 뿐 아니라 국가 단위로도 이뤄지기 때문에 그 흐름을 정확히 읽고 어떤 경로를 노리는지 파악할 필요가 있습니다.
플레인비트는 최근 보안 위협의 트렌드와 패턴을 읽는 과정에 Google Threat Intelligence를 도입해 더욱 고도화되고 정교해지는 보안 공격, 침해 사고에 효과적으로 대응할 수 있는 기반을 다졌습니다.
플레인비트의 핵심 역량은 공격 발생 시 컴퓨터와 스마트폰 데이터를 분석해 공격 패턴과 주체를 찾아내고, 이를 법적 효력이 있는 증거로 만드는 데에 있습니다. 이를 DFIR(Digital Forensics Incident Response)이라고 부릅니다. 침해 사고의 대응은 현상을 파악하고 원인을 분석해서 근본적인 문제를 파악하는 데에서 시작합니다. 중요한 것은 흔적인데, 전통적인 방법은 기기에 남겨진 로그 데이터를 살펴 해커가 남긴 발자취를 찾는 것입니다.
Google Threat Intelligence는 현재 전 세계에서 이뤄지는 공격 패턴에 대한 광범위한 데이터베이스를 바탕으로 보안 위협을 탐지하고, 공격자를 파악할 수 있도록 도와 플레인비트의 사이버 위협 분석 및 대응 역량을 한 단계 끌어올릴 수 있었습니다.
이준형
플레인비트 사이버위협대응센터장
이준형 플레인비트 사이버위협대응센터장은 Google Threat Intelligence를 통해 사이버 사고를 조사하는 과정에서 공격자가 남긴 작은 흔적들의 의미를 더욱 뚜렷이 할 수 있었고, 최신의 공격 흐름을 파악해 추가적인 피해를 막을 수 있는 기반이 갖춰졌다고 말합니다.
하지만 최근 사이버 공격은 고도화되면서 점차 흔적을 찾는 것 자체가 어려워지는 추세입니다. 최신 악성코드들은 흔적을 최소화하고, 그나마도 최대한 지우거나 훼손해 추적을 막도록 설계되고 있습니다. 플레인비트는 포렌식 기술을 더해 사이버 공격 전 과정에서 지워진 정보들을 되살려 공격자의 모든 행위를 깊이 있게 분석합니다.
특히 랜섬웨어처럼 핵심 데이터베이스와 수많은 데이터를 삭제하는 공격에서는 남은 흔적이 파편화되어 그 자체로는 의미를 알기 어렵습니다. 이 때문에 최근의 침해 사고 대응은 체계적인 포렌식을 기반한 고도의 분석 기술이 필요합니다.
인텔리전스 기반 DFIR, 사후 분석에서 선제적 위협 헌팅으로 보안 관점 확장
플레인비트는 지난 10여 년간 DFIR을 통해 수많은 사고들을 추적하고 대응해 왔습니다. 플레인비트의 DFIR은 크게 준비, 분석, 대응의 세 가지 단계를 거칩니다. Google Threat Intelligence는 이 모든 과정에서 방대한 데이터와 경험을 통해 적절한 대응이 이뤄질 수 있도록 돕습니다.
준비 단계에서는 보통 침해 사고가 일어난 환경을 이해하고 새로운 공격 패턴과 변종 공격 등을 파악합니다. 이를 파악하기 위해서 관련 뉴스나 커뮤니티, 혹은 분석 자료들을 다각도로 살펴야 합니다. Google Threat Intelligence는 구글의 경험과 정보를 바탕으로 한 최신의 공격 트렌드를 체계적으로 정리해서 지속적으로 제공합니다.
분석과 대응 단계에서도 Google Threat Intelligence는 강력한 도구가 되어 주었습니다. 침해의 도구가 되는 악성코드들이 흔적을 남기지 않기 위해서 많은 것을 스스로 지우기 때문에 일반적인 분석 과정에서는 모든 증거의 조각이 원활하게 맞춰지지 않습니다. Google Threat Intelligence 안에는 악성코드를 분석하는 서비스가 포함되어 있어서 각 악성코드가 남기는 지문같은 흔적을 체계적으로 대조해서 찾아냈습니다. 이준형 센터장은 Google Threat Intelligence가 침해 사고 분석에 활용하기에 가장 빠르고 방대한 데이터베이스를 갖췄다고 말합니다.
Google Threat Intelligence에는 사실상 현존하는 거의 모든 악성코드의 정보가 모두 담겨 있습니다. 최신의 공격 트렌드는 물론이고, 다양하게 모습을 바꾸는 변종 공격에 대한 정보도 모두 갖췄습니다. 이를 하나하나 직접 분석하는 것은 시간이 많이 필요한 과정입니다. 이전에 쓰던 도구와 방법으로 며칠씩 걸리는 일이 Google Threat Intelligence를 이용하면 몇 분 만에 정확한 답을 내어 주었습니다.
이준형
플레인비트 사이버위협대응센터장
플레인비트가 오랜 시간 DFIR을 수행하며 가장 어려웠던 점은 빠르게 변화하는 공격 방법을 따라잡는 것이었습니다. 여러 창구를 통해서 정보를 수집하다보니 전체적인 흐름보다는 하나하나의 사례에 따라 정보가 파편화되는 경향이 있었고, 이 때문에 의미 있는 답을 끌어내는 데에 어려움이 있었습니다. 하지만 Google Threat Intelligence는 모든 정보가 체계적으로 정리되어 있어 공격 방법과 경로는 물론이고, 어떤 해킹 그룹인지, 심지어 국가 단위로 이뤄지는 공격을 읽어낼 수도 있습니다. 이때 중요한 것은 판단의 신뢰도입니다.
“특히 분석 결과를 고객에게 보고할 때 큰 변화가 있었습니다. 특정 공격이 국가 배후 해킹 그룹의 소행이라고 결론 내렸을 때, 그 근거를 세계 최고 수준의 Google Threat Intelligence 데이터를 통해 제시함으로써 분석 결과에 대한 고객의 신뢰도를 극대화할 수 있었습니다.”
보안 위협에 대한 정보를 제공하는 ‘위협 인텔리전스(Threat Intelligence) 서비스들은 몇 가지 있습니다. 하지만 대부분 일방적으로 정보를 제공하는 데에 그치는 경우가 많습니다. 하지만 Google Threat Intelligence는 정보 뿐 아니라 새로운 트렌드에 대해서 함께 찾고 나누는 구조가 갖춰져 있습니다. 조금 더 능동적이라고 볼 수 있습니다.
특히 ‘위협 사냥(Threat Hunting)’에 대한 시스템이 잘 갖춰져 있었습니다. 위협 사냥은 공격을 발견하기 전에 먼저 공격이 이뤄졌다는 가상의 전제를 바탕으로 침해의 흔적을 찾는 과정을 말합니다. Google Threat Intelligence는 기업들 뿐 아니라 개인까지 누구나 참여해서 공격 정보를 찾고 공유해서 보안 위협에 대한 거의 모든 것을 담고 있습니다.
데이터와 트렌드 반영한 분석 역량 강화로 비즈니스 가치 높여
공격자들은 해킹을 감추기 위해 추적과 포렌식을 방해하는 삭제나 변경, 파괴 등이 많이 일어나다 보니 조각난 정보들을 놓고 결론을 내지 못하는 일이 적지 않았는데, Google Threat Intelligence를 도입한 이후로는 정확한 실마리를 찾을 수 있는 기회가 크게 늘었습니다. 속도는 물론이고 정확도가 높아지면서 훨씬 정확한 보안 위협의 흔적을 찾아낼 수 있었습니다.
“무엇보다 Google Threat Intelligence 도입 이후 능동적인 대처를 할 수 있게 됐습니다. 기존에는 사고가 발생한 이후에 남겨진 데이터와 흔적을 통해서 사고를 수습하는 경우가 많았는데, Google Threat Intelligence를 도입한 이후로는 침해 흔적과 관계 없이 능동적으로 위협 사냥 등을 통해 흔적을 찾아내 미리 피해를 막을 수 있는 기회가 늘었습니다.”
직접 위협 정보를 분석하는 이대후 플레인비트 인텔리전스2팀 팀장은 Google Threat Intelligence를 통해 작은 흔적으로도 공격의 패턴을 읽을 수 있게 되면서 한 발 앞서 사고를 막고 피해를 최소화할 수 있는 기회가 늘어났다고 설명합니다. 또한 샌드박스를 통해 악성코드나 공격 도구들에 대해 체계적인 분석을 할 수 있는 조건이 갖춰지면서 숨겨진 추가 피해를 안전하게 읽어낼 수도 있게 됐습니다.
연구원 입장에서는 침해 분석 과정에서 특정 해시값을 보고 악성코드를 품고 있는 파일이라는 것 정도만 알 수 있었는데, Google Threat Intelligence를 도입한 이후로는 문제를 일으킨 악성코드의 원본을 내려받을 수 있어서 해당 공격이 발견된 것 외에 다른 위협을 하는지 확인할 수 있습니다. 특히 이를 안전하게 실험할 수 있는 샌드박스 공간도 마련되어 악성코드의 2차 공격이나 아직 발견하지 못한 위협의 가능성을 파악할 수도 있었습니다.
이대후
플레인비트 인텔리전스2팀 팀장
이준형 센터장은 악성코드를 실험할 수 있는 서비스들은 많이 있지만 Google Threat Intelligence는 하나의 샌드박스 안에서 여러가지 가능성을 분석해서 동시에 다양한 사례를 분석할 수 있는 안전한 플랫폼 역할을 해 주어서 고도화되는 공격에 대응이 수월해졌다고 말합니다.
또한 Google Threat Intelligence의 방대한 기능과 데이터를 적절하게 활용할 수 있도록 구글 클라우드와 파트너사인 다온기술의 지원도 큰 도움이 되었습니다. 다온기술은 Google Threat Intelligence의 위협 정보 뿐 아니라 다양한 탐지 기능들을 활용할 수 있도록 교육과 기술 지원을 도와 플레인비트의 탐지 서비스 곳곳에 Google Threat Intelligence가 적절히 결합될 수 있었습니다.
“사이버 위협은 점점 더 복잡하고 정교해지고 있습니다. 이제는 단편적인 지식이나 경험만으로는 대응할 수 없습니다. Google Threat Intelligence는 전 세계의 위협 정보를 가장 빨리, 또 폭넓게 제공하는 백과사전과도 같습니다. 플레인비트의 분석 역량과 구글의 인텔리전스를 더해 국내 기업과 기관들이 사이버 위협을 안전하게 지켜낼 수 있는 DFIR 서비스를 만들어 갈 수 있게 됐습니다.”
플레인비트
플레인비트는 2013년 설립된 디지털 포렌식 및 침해사고 대응 전문 기업으로, 국내외 공공·민간 기관의 사이버 사고를 DFIR 중심으로 분석하고 대응해 왔습니다.
산업 분야: 기술
위치: 대한민국
사용된 제품: Google Threat Intelligence
Google Cloud 파트너 정보 — 다온기술
다온기술은 정보보호 솔루션 구축 및 컨설팅을 통해 위협에 대한 불안과 걱정을 덜어주고, 신뢰를 판매하는 기업입니다. 차별화된 솔루션과 가치를 제공하고, 고객 비즈니스의 실질적인 성공을 위해 가장 가까운 곳에서 문제를 분석하고 해결책을 제시하는 신뢰할 수 있는 보안 파트너입니다.
