Google의 대처 방식: 위협 인텔리전스를 활용한 사이버 범죄 발견 및 추적

* 본 아티클의 원문은 2025년 2월 26일 Google Cloud 블로그(영문)에 게재되었습니다.

Google의 보안 전략이 궁금하신가요? 'Google의 대처 방식' 시리즈에서는 Google 전문가들이 직접 전하는 인사이트, 견해, 중요한 팁을 통해 오늘날 가장 시급한 보안 주제, 문제, 우려 사항에 대처하는 Google의 접근 방식을 알아봅니다. 이번 호에서는 Google Threat Intelligence Group의 사이버 범죄 분석 리드인 Kimberly Goody가 리스크 및 보안 측면에서 뛰어난 성과를 거두고 있는 Google 위협 인텔리전스 접근 방식의 핵심 요소를 소개합니다.

온라인에서 발생하는 악의적인 활동은 대부분 금전적 이익을 목적으로 하는 사이버 범죄입니다. 따라서 사이버 범죄 배후에 있는 공격자를 발견해 추적하고 차단하는 일이 방어자의 업무 중 대부분을 차지합니다.

사이버 범죄의 위협은 매우 심각합니다. 2024년에 Mandiant 컨설팅에서는 국가 배후 침입보다 4배 가까이 많은 금전적 이익 목적의 침입에 대응했습니다. 이 내용은 사이버 범죄: 다면적인 국가 안보 위협이라는 새로운 보고서에 자세히 나와 있습니다.

이 보고서에서 Google의 위협 인텔리전스 전문가는 이러한 공격을 '배후 세력의 동기와 상관없이 국가 안보에 대한 위협으로 심각하게 받아들여야 한다'고 이야기합니다.

사이버 범죄를 막기 위해서는 많은 과학과 기술, 약간의 운이 필요합니다. 운은 어쩔 수 없지만, Google은 위협 인텔리전스 신호와 데이터를 활용하여 방어자에게 유리한 상황을 만드는 독보적인 접근 방식을 갖추고 있습니다.

기본 원칙: 실제 상황 파악

위협 인텔리전스의 본질은 '나를 표적으로 누가, 어떻게, 왜 공격하는지'를 찾아내고 예측하는 것이며, 이를 위해서는 데이터 수집이 선행되어야 합니다.

Google Threat Intelligence Group(GTIG)은 Mandiant Intelligence 및 Threat Analysis Group(TAG)팀과 협력해 Alphabet, 사용자, 고객에 대한 사이버 위협을 식별, 분석, 완화, 제거하는 데 힘쓰고 있습니다. GTIG는 광범위한 포트폴리오에 걸친 거대한 데이터 소스의 데이터를 보유하여 개인 정보 보호를 준수하면서 이를 활용할 수 있습니다.

위협 인텔리전스 서비스와 마찬가지로 Google Cloud는 다양한 도구와 방법을 동원해 원시 인텔리전스 데이터를 수집합니다. 예를 들어 GTIG는 봇넷, 사이버 범죄 포럼, 메시지 서비스 등의 소스에서 데이터를 수집할 뿐만 아니라 Google Cloud Security Operations 서비스에서 전 세계 원격 분석 및 보안 침해 대응 사례를 토대로 발견한 인텔리전스를 활용합니다.

그런 다음 AI 모델을 실행하여 멀웨어 분류기, 함수 동작, 주제 분류 같은 유용한 보강 기능을 통해 추출된 데이터를 분류하고 주석을 답니다. 이렇게 얻은 결과는 오픈소스 인텔리전스 피드와 기타 서드 파티 서비스의 정보와 결합되고 교차 참조됩니다.

Google Cloud는 데이터 소스를 결합하는 능력으로 위협의 상관관계를 더 효과적으로 분석하여 오늘날 조직이 처한 위협 환경에 대한 가시성을 확보하고 있습니다. 결과적으로 공격자가 침투에 사용하는 기법, 전술, 절차(TTP)는 물론 침입 후 공격자의 행동까지 피해자 환경에서 발생하는 실제 위협을 자세히 살펴볼 수 있습니다.

이 인텔리전스는 실제 익스플로잇을 기반으로 리스크 프로필을 생성하는 데 도움이 되므로 Google 보안팀과 고객 보안팀은 위협에 반응하기보다는 선제적으로 대처할 수 있습니다.

우선순위 설정, 컨텍스트 파악, 선제 대응

Google의 위협 인텔리전스 분석 주기에서 우선순위 설정, 컨텍스트 파악, 선제 대응의 세 가지 요소는 서로 연관되어 영향을 미칩니다.

우선순위 설정: Google Cloud 방어 및 고객 방어 측면에서 즉시 대응해야 하는 가장 시급한 사이버 공격을 파악하는 능력으로 분석의 중요한 구성요소입니다.

Google은 광범위한 규모와 범위의 위협 인텔리전스를 갖췄으며 매일 전 세계에서 발생하는 침입에 대응하는 기업인 만큼 조직에 실질적이고 직접적인 영향을 미치는 일상적인 위협을 파악할 수 있습니다. 이러한 공격 성공 사례를 토대로 Google Cloud에서는 장기간 연구하고 추적할 그룹의 우선순위를 결정하는 데 활용할 요소를 파악할 수 있습니다.

컨텍스트 파악: 공격이나 공격의 특정 구성요소를 연관 짓는 능력으로 전체적인 상황을 파악하는 데 도움이 됩니다. 예를 들어 침입에 사용된 멀웨어 유형을 파악하고 언더그라운드 포럼 데이터와의 연관성을 파악하면 특성을 판단할 수 있습니다.

선제 대응: 공격과 관련된 포럼을 운영 중인 특정 공격자 또는 공격에 사용된 도구를 식별할 수 있으면 선제적인 모니터링이 가능합니다. 이 모니터링 프로세스를 통해 공격자가 금전 요구서를 맞춤 작성하거나 암호화 알고리즘을 변경하는 등 멀웨어를 변경한 시점을 파악할 수 있습니다.

일례로 '서비스' 형태로 판매되고 침입에 사용되는 멀웨어를 식별하는 경우를 살펴보겠습니다. Google Cloud는 조사를 통해 이 서비스가 클라이언트 대신 도메인을 등록하거나 클라이언트에 명령 및 제어 인프라를 제공한다는 사실을 발견합니다.

이 패턴과 일치하는 도메인을 발견하더라도 패턴이 멀웨어 사용자를 나타내는 것은 아니기 때문에 그다지 중요하지 않은 정보로 보일 수 있습니다. 사실 멀웨어 사용자마다 목표가 다른 만큼 방어자가 이러한 사용자 공격에 대응하는 양상도 매우 다를 수 있기 때문에 패턴은 매우 중요한 차이점이라고 볼 수 있습니다.

특성을 위한 감각과 논리

간단히 말해 특성은 기술적 특징을 살펴 이전 활동과 일관성이 있을 만한 패턴을 식별하는 것입니다. 이는 디지털 지문을 만드는 과정과 비슷합니다.

이를 위해서 공격 배후에 있을 주체에 대한 심층적인 답을 얻기 위해 많은 질문을 던져야 합니다. 이 중 하나의 질문에 답하거나 여러 개에 답하더라도 신뢰도 높은 특성을 파악하기란 어렵습니다. 하지만 충분히 많은 답의 연관성을 파악하면 유용한 결론을 도출할 수 있습니다.

Google Cloud에서 특성을 파악할 때 자주 살펴보는 질문은 다음과 같습니다.

• 공개적으로 사용할 수 있는 도구인가?
• 여러 공격자가 이 도구를 사용한 적이 있는가?
• 도메인 등록 패턴이나 도메인 구조가 알려진 공격자와 연관성이 있는가?
• 피해자가 이전에 표적이 된 적이 있는가?
• 특정 피해자가 표적이 된 이유를 이해하는 데 도움이 될 지정학적 컨텍스트가 있는가?
• 공통된 인프라 특징(예: 커스텀 필드, 인증서, 포트, 인터넷 서비스 제공업체)이 있는가?

이러한 모든 특징을 종합하여 신뢰할 수 있는 특성과 신뢰도가 낮은 특성을 구분할 때 프로세스와 결과가 달라질 수밖에 없습니다.

이처럼 데이터 소스가 많으면 프로세스가 더 복잡해지지만, 현재 동향과 특정 위협의 확산 규모를 전체적으로 파악하여 궁극적으로는 향후의 위협 변화 양상을 더 정확하게 예측하고 경고할 수 있습니다. 사이버 범죄자는 다른 집단으로 이동하고, 기존 또는 새로운 기법, 전술, 절차(TTP)를 혼합한 완전히 새로운 집단을 형성하고, 다른 표적에 집중한다고 알려져 있기 때문에 이는 결코 사소한 문제가 아닙니다.

Google에서 위협 인텔리전스를 활용하는 방식

너무나 다양한 정보 소스가 존재하기 때문에 위협 인텔리전스 데이터를 대규모로 분석하는 일도 Google의 과제입니다. Google Cloud에 어떤 데이터 리소스가 있는지, 이러한 리소스가 Google Cloud의 오랜 위협 모델링 관행과 어떻게 연결되는지, 이러한 리소스를 결합하여 어떻게 위협 인텔리전스 역량을 강화할 수 있는지 설명하려면 오랜 시간이 필요합니다.

이러한 역량 덕분에 여러 분야가 힘을 모아 공격자의 활동을 저해한 사례가 많습니다. Chrome 사용자를 표적으로 인포스틸러 멀웨어인 CryptBot을 사용한 공격자 사례도 그중 하나입니다.

한 GTIG팀은 Google의 사이버 범죄 조사 그룹과 협력하여 멀웨어를 조사했고, 법무 소송팀은 CryptBot 멀웨어 배포자를 상대로 민사 소송을 제기할 수 있었습니다.

간략하게 사례를 소개했지만, 사용자와 고객을 더욱 안전하게 보호하기 위해 Google에서 얼마나 많은 팀이 협력하고 있는지 알 수 있는 좋은 예입니다.

GTIG에서 위협 인텔리전스를 분석하는 방식의 차별성은 멀웨어 샘플의 특성 평가나 기술적 특징처럼 다양한 소스의 데이터를 모델링한 10년 이상의 경험에서 비롯됩니다. 여기에는 원격 분석, 언더그라운드 포럼 데이터, 대규모 기술 연구, 사고 대응 데이터도 포함됩니다.

또한 AI를 최대한 활용하여 특히 수동 작업을 간소화하는 방법을 모색하고 있습니다. 위협 인텔리전스의 관점에서 관련 뉴스를 게시하는 일일 '뉴스 분석' 제품의 구성요소를 예로 들 수 있습니다. AI가 뉴스 기사를 요약하므로 분석가는 더 높은 수준의 작업에 집중하고 보다 많은 뉴스 이벤트를 분석할 수 있습니다.

더 나은 위협 인텔리전스 확보를 위한 호기심 발휘

개인이나 하나의 팀에서 모든 위협을 모니터링하기란 불가능합니다. 검토해야 할 정보가 너무 많기 때문입니다.

호기심을 따라 정보를 탐구하는 방식이 도움이 될 수 있습니다. 질문을 통해 관련 위협을 식별하고 우선순위를 지정해 보세요.

이 게시물은 Cloud Security 팟캐스트의 'Decoding the Underground: Google's Dual-Lens Threat Intelligence Magic(언더그라운드 포럼 파헤치기: 위협 인텔리전스의 마법을 얻기 위한 Google의 이중 관점)' 에피소드에서 다룬 인사이트를 참고해 작성했습니다. 자세히 알아보려면 위협 인텔리전스 블로그를 확인해 보세요.