SK인포섹 보안전문가조직 이큐스트(EQST)그룹이 '다크웹(dark web)' 정보를 수집하는 자동화 툴(크롤러, crawler)을 개발 중이다. 일반 인터넷 세계에 노출되지 않는 다크웹의 정보를 사이버범죄 대응 단초로 활용하겠다는 구상이다.
다크웹은 사이버범죄자들이 신원을 노출하지 않은 채 범죄 정보를 공유하고, 해킹 도구와 공격 활동을 암거래하는 인터넷 웹사이트를 가리킨다. 인터넷 기술을 사용하지만 구글, 네이버같은 일반 검색엔진에 검색되지 않게끔 은폐돼 딥웹(deep web) 또는 다크웹이라 불린다.
SK인포섹 이재우 이큐스트그룹장은 지난 18일 "다크웹에 올라오는 신규 취약점, 범죄자들이 거래하는 개인정보와 공격툴 정보를 일반 검색으로는 수집할 수 없다"며 "이 정보를 수집, 분석해 인텔리전스에 반영하는 작업을 올해 진행하기 위해 다크웹 크롤러를 개발 중"이라 말했다.
이큐스트그룹은 SK인포섹 안에서 해킹사고 대응, 외부사고 분석, 취약점 연구를 수행하는 전문인력 100여명으로 구성된 지능형위협 대응조직이다. 침해사고대응팀(CERT), 모의해킹, 디지털포렌식 담당인력을 포함한 대표이사 직속 조직으로 지난해 8월 출범했다. [☞관련기사]
■SK인포섹 위협인텔리전스 강화할 듯
이큐스트그룹이 만드는 다크웹 크롤러는 SK인포섹 보안관제 플랫폼 '시큐디움'의 데이터 수집 및 분석기를 보완할 수 있다. 고객사의 6천여대 보안장비에서 수집한 관제 데이터와 사이버쓰렛얼라이언스(CTA) 정보를 활용한 위협인텔리전스 '시큐디움인텔리전스'를 강화할 전망이다.
위협인텔리전스는 알려지지 않은 공격의 이상징후를 파악, 대응하기 위해 여러 경로로 수집한 데이터와 확인된 위협 정보간 관계를 분석, 프로파일링하는 활동이다. 기존 보안시스템의 정책기반 이상징후 분석, 탐지의 한계를 보완한다.
SK인포섹의 시큐디움인텔리전스는 지난해 이큐스트 출범 직후 출시됐다. 당시 SK인포섹은 시큐디움인텔리전스로 위협탐지율을 높인 뒤 이큐스트로 공격 영향 분석과 취약점 보완을 수행하는 종합적인 대응서비스를 제공하겠다는 구상을 내놨다. [☞관련기사]
이 그룹장은 "다크웹 크롤러는 토르(Tor)로 어니언(.onion) 사이트에 접근한 다음 다크웹의 데이터와 피드를 가져온다"며 "해킹툴, 제로데이 익스플로잇, 랜섬웨어 공격툴, 악성코드 소스 수집, 신규 공격 인지와 대응, 유해도구 판매 현황과 기타 동향 파악에 활용할 것"이라 말했다.
그는 이날 서울 종로 SK서린빌딩 수펙스홀 미디어데이 현장에서 2017년 사이버위협 분석과 2018년 사이버위협 전망을 발표했다. [☞관련기사] 이큐스트의 다크웹 크롤러 개발 언급은 이어지는 SK인포섹 2018년 위협대응 활동방향의 일부로 제시됐다.
이큐스트그룹이 파악한 2017년 사이버위협분석 이슈를 요약하면 관리서버 취약점 악용 APT공격, 아파치 스트럿츠2 취약점 사고, 다양한 랜섬웨어 악성코드, 가상화폐 마이너 악성코드, 원격관리SW 해킹사고, 보안솔루션 우회기법 고도화, SW공급망 허점 공격, 7가지다.
이큐스트그룹은 이를 바탕으로 2018년 관리서버 APT공격이 지속되고, 대처수단이 만들어지기 전 취약점 자동화공격 툴이 성행하고, 범용SW 자동화공격 위협이 대두되고, SW공급망 허점도 계속 악용되고, 대규모 랜섬웨어 감염을 의도한 취약점공격이 시도될 것이라 내다봤다.
더불어 다크웹 크롤러를 개발 외에도 2018년 다양한 사이버위협 대응 활동을 예고했다. 다크웹 크롤러를 통한 정보수집 및 분석, 통합 보안관제센터(SOC) 기술 고도화, 위협인텔리전스기반 탐지 대응, 신규취약점 연구 및 정보공유, 엔드포인트위협 탐지 및 대응, 5가지를 예고했다.
■통합 SOC 관제서비스 고도화
SK인포섹은 관제기술을 통합모니터링, 빅데이터분석, 위협인텔리전스를 넘어 인공지능(AI) 활용, 자동화 및 오케스트레이션(A&O), 안전감시 단계로 성숙시킬 계획이다. 관제영역도 인터넷, 클라우드, 사무전산(OA)망, 서비스망을 넘어 물리보안, 산업제어시스템(ICS)까지 확장한다.
이 그룹장은 "서울대와 수행중인 (탐지 자동화 관련) 연구과제에서 인지된 공격사례 활용한 지도학습, 알려지지 않은 공격을 탐지하는 비지도학습 모두 개선돼 의미있는 결과를 얻었다"며 "상용화할 수준까지 개선해 시큐디움 플랫폼의 인텔리전스에 반영할 것"이라고 설명했다.
■사이버위협 인텔리전스 기반 탐지 대응
SK인포섹은 탐지대응 활동을 지원할 인텔리전스를 고도화하기로 했다. 이를 위해 백신업체나 악성코드 대응솔루션 업체 및 글로벌 벤더와 협력하기로 했다. 이를 위해 앞서 지난해 6월 아시아 기업 최초로 사이버위협정보를 공유하는 글로벌연합 CTA에 가입했다. [☞관련기사]
회사의 위협탐지체계는 국내외 네트워크장비, 샌드박스시스템, CTA 공유정보로 수집된 데이터와 인터넷에서 추가 수집한 정보를 바탕으로 분석해 공격그룹을 식별, 알려지지 않은 공격 탐지 과정으로 진행된다. 현재 일평균 알려지지 않은 공격 570건 이상을 탐지 중이다.
■엔드포인트 위협 탐지 확대
공격자들이 네트워크에서 암호화 통신을 사용하고, 악성코드는 보안솔루션 우회기법을 활용하는 추세다. 실제 위협을 탐지하고 대응하기 위해 네트워크뿐아니라 공격대상이 되는 엔드포인트 영역의 위협 탐지와 대응(EDR) 기술이 중요해졌다.
SK인포섹은 랜섬웨어와 APT 등 알려지지 않은 공격을 탐지하고 차단하기 위해 행위분석 기반 EDR 솔루션을 활용할 계획이다. 엔드포인트 공격시 초기감염, 확산, 제어권 확보, 정보유출 단계 중 초기 감염단계 활동부터 대응한다는 구상이다.
■신규 취약점 연구 및 정보공유
관련기사
- SK인포섹 "지난해 암호화폐 채굴 악성코드 기승"2018.01.19
- SK인포섹 "싱가포르 보안관제서 400만달러 매출 낼 것"2018.01.19
- 지니언스-SK인포섹, 위협 인텔리전스 협업 나서2018.01.19
- SK인포섹, 클라우드 사업자-고객 사이 보안관리 책임진다2018.01.19
이큐스트그룹은 신규취약점 연구와 정보공유 활동도 예고했다. 팀별로 해킹흔적 파악, 공격정보 확보, 취약점정보 수집, 위협데이터 확보를 수행 중인데, 향후 축적된 데이터와 정보를 신규 취약점과 공격탐지 대책 연구, 최신 위협정보 제공 및 공격기법 분석에 활용할 계획이다.
이 그룹장은 "이큐스트랩(EQST Lab) 활동으로 사내 버그바운티 제도를 만들어서 보안 벤더 제품 취약점 연구를 장려하고 패치 만드는 데 협력할 예정"이라며 "고객들이 위협을 빠르게 인지, 대응하도록 공격그룹 주요 활동, 기법을 보고서나 온라인으로 공유할 것"이라 말했다.
