이스트시큐리티와 알아보는 보안이야기 #Threat Inside편

안녕하세요? 이스트시큐리티입니다.

 

인공지능 기반 악성코드 위협 대응 솔루션 Threat Inside는 딥러닝 기술을 통해 기업이나 조직에 유입된 위협의 유형을 분류하고, 나아가 위협의 상세 정보와 유형별 대응 가이드의 확장된 개념으로 위협 인텔리전스를 제공합니다. 또한 EDR과의 연동을 통해 발견된 악성코드 위협에 신속하게 선제적으로 대응이 가능하여 완벽한 엔드포인트 보안 체계를 구축합니다.  

 

그래서 오늘은 악성코드 위협 분석 및 대응 솔루션 Threat Inside의 유용한 기능 Top 5에 대해 하나씩 자세하게 알아보도록 하겠습니다. 

 

📌5위. 최근 국내외 보안이슈에 대한 큐레이팅 서비스 제공

 

점점 더 고도화되어가는 지능형 사이버 위협 속에서 이제는 알려진 공격보다, 알려지지 않은 새로운 공격들이 나타나고 있습니다. 급증하는 사이버 공격의 규모와 공격 방식의 발전에 대응할 수 있도록 기업 및 기관의 대응 체계 고도화가 시급합니다. 이에 Threat Inside는 빠르고 신속한 보안 정보를 알 수 있도록  뉴스 큐레이팅을 제공합니다. 

 

[그림 1] Threat Inside 뉴스 큐레이터 목록 화면

뉴스 큐레이터는 관심 있는 검색어를 알림 검색어로 설정하면 매칭되는 뉴스를 한 곳에서 모아 볼 수 있는 서비스입니다. Threat Inside는 최근 발생하는 보안 이슈를 한 번에 볼 수 있도록 해외 및 국내 뉴스를 큐레이팅하여 제공하기 때문에, 일일이 검색하지 않아도 관련 정보를 쉽게 찾아볼 수 있습니다.

 

특히, 알림 키워드 등록 기능을 통해 ‘악성코드’, ‘랜섬웨어’, ‘취약점’, ‘해킹’, ‘사이버보안’ 등의 주요 키워드를 최대 5개까지 등록할 수 있어 설정한 키워드와 매칭되는 뉴스가 제공됩니다. 이제 Threat Inside에서 맞춤형 키워드를 이용한 뉴스 서비스로 빠르게 보안 이슈를 점검해보세요.

 

📌4위. 핵심 분석 정보를 빠르게 파악 가능한 데이터 시각화 기반 대시보드 제공

 

지능화된 위협에 대응하기 위해서는 기존의 패턴 분석 방식과 정적 분석 방식에서 벗어나, 다차원 분석 시스템으로 악성코드 식별 정보를 데이터 시각화하여 정밀하게 대응할 필요가 있습니다.

이에 Threat Inside에서는 실시간 위협 정보와 현황을 한눈에 볼 수 있도록 대시보드를 제공합니다.

 

[그림 2] Threat Inside 대시보드 화면

Threat Inside의 실시간 탐지 피드에서는 전 세계에서 유포되고 있는 악성 샘플들을 운영 체제별 탐지하고, 가장 많이 발견되고 있는 악성코드의 순위를 보여줍니다. 위협 국가와 IP 등의 공격 형태와 실시간 위협 정보를 제공하여 선제 대응이 가능하게 도와줍니다. 

 

무엇보다 Threat Inside의 강력한 장점은 최근 탐지된 위협을 실시간으로 시각화하여 보여준다는 것입니다. 24시간 언제든지 의심되는 파일이나 정보들을 분석하고, 악성 여부나 종류를 자동으로 판별하여, 기하급수적으로 늘어나고 있는 신/변종 악성코드 등을 탐지하고 대응하는 최상의 방법을 제공합니다.

 

📌3위. 시큐리티 대응센터(ESRC)에서 분석한 샘플과 연관 위협 인텔리전스 리포트 제공

 

최근 신규 사이버 위협이 급증하고 수법이 정교해져 제한된 전문 분석가만으로는 모든 위협을 식별하기 어려운 상황이며, 중소 기업이 해외 위협 인텔리전스 제품을 도입하여 활용하기에는 비용 측면에서 부담이 가는 것도 사실입니다. 악성코드로부터 기업을 안전하게 보호하기 위해서는 위협 정보 이력을 제공하는

인텔리전스 리포트가 해결책이 될 수 있습니다. 

 

Threat Inside의 인텔리전스 리포트는 악성코드의 유형별 특징부터 다차원 분석 결과와 유형별 구체적 대응 방안까지 실질적 대응 가이드를 제공합니다. 딥러닝 기술을 활용하여 새롭게 발견되는 위협 정보의 이력을 제공하며, TLP (*민감한 정보가 적절한 대상과 효율적으로 공유하기 위해 만들어진 공유 범위에 관한 프로토콜) 지침에 따라 규격별 위협 추적에 활용할 수 있는 리포트를 제공합니다. 또한 연쇄적으로 발생하는 악성 URL을 탐지하여 악성코드 유포 정황도 파악할 수  있습니다. 

 

[그림 3] Threat Inside의 위협 인텔리전스 보고서 히스토리

Threat inside는 공격자에 대한 위협 인텔리전스 보고서 히스토리를 함께 제공함으로써 관리자는

Threat Inside를 위협 타임라인 분석에도 활용할 수 있습니다. 특히 Threat Inside의 위협 인텔리전스 보고서 중 일부가 MITRE ATT&CK 레퍼런스에 링크될 정도로 활용되고 있어, 보고서 측면에서 이스트시큐리티는 타사 대비 월등하다고 말할 수 있습니다.

 

📌2위. TTPs(Tactics, Techniques, Procedures) 공격 기법 기반 심층 분석 및 침해지표(IOC) 제공

 

최근 A.I는 보안 업계에서 자주 활용되고 있습니다. 특히 Threat Inside의 딥 코어(Deep Core) AI 엔진은 표면적으로만 주장하는 A.I가 아닌 실제 가치 창출을 위한 A.I로 딥러닝 및 다양한 모델을 기반으로 악성코드를 탐지 및 분류할 수 있습니다. 

 

[그림 4] 최근 분석된 샘플의 MITRE ATT&CK Matrix 지표

Threat Inside는 비영리 연구개발단체인 MITRE(마이터)에서 실제 공격 사례를 바탕으로 킬체인(Kill Chain: 타격순환체계) 5단계를 자체적으로 개발하고, 연구하여 만들어진 ATT&CK Framework를 참조하고 있습니다. Threat Inside와 EDR(Endpoint Detection&Response)을 함께 사용할 경우에는 보고서 정보 및 MITRE ATT&CK TID 정보 등 관리자가 조금 더 빠르게 판단할 수 있는 정보를 확인할 수 있습니다. 또한 Threat Inside는 ATT&CK 활용을 통해 공격자로부터 발생한 일관된 행동 패턴을 분석하여, TTPs(Tactic, Techniques, Procedures) 정보를 매핑(대입)한 정보로 공격자의 행위를 식별할 수 있도록 제공합니다. 

 

Threat Inside는 딥 코어(Deep Core) 기반으로 악성코드를 소분류 100개, 대분류 12개 형태로 자동 분류함으로써, 관리자 입장에서 쉽게 판단할 수 있는 정보를 제공합니다. 따라서 보안 전문가에 의한 수동 분석을 거치지 않아도 어떤 악성코드인지 식별과 추적이 가능함으로써 침해 대응을 위한 디지털 포렌식에 중요한 단서를 제공합니다. 

 

📌1위. 실시간으로 탐지한 위협(파일/URL) 분석 요청 

 

전 세계적으로 대략 4초에 1개의 새로운 악성코드가 만들어지고 있으며, 2초마다 악성 URL이 새롭게 발견되고 있습니다. 공격자는 타겟으로 삼은 기업과 기관의 시스템에 침투하기 위해, 사회공학적 기법을 교묘하게 사용하고 있습니다. 침투 후 잠복하면서 정보를 지속적으로 수집하고, 시스템을 파괴할 수 있는 정도의 고도화된 지능형 악성코드로 위협적인 공격을 수행하고 있습니다. 

이에 기업 및 기관은 조직으로 유입되는 의심 파일들에 대한 정확한 식별과 분석을 통해 파일의 악성 여부를 밝히는 것 뿐만 아니라, 보다 실효적인 대응책을 마련해야 합니다. 

[그림 6] Threat Inside 파일 및 URL 분석 요청 화면

Threat Inside에서는 파일 또는 URL 분석을 위해 딥러닝을 기반으로 샘플의 악성코드 유형을 분류하는 딥 코어(Deep Core) 엔진을 활용하고 있습니다. Threat Inside는 악성 URL에서 탐지된 IP 또는 도메인 위협 히스토리를 함께 제공하여 연쇄적으로 발생하는 악성 URL을 탐지합니다. 또한 악성코드 유포 정황을 파악하여 실시간으로 탐지된 위협 정보를 제공합니다. 

필요한 위협 정보는 실시간으로 검색할 수 있으며, 의심스러운 파일과 URL은 언제든지 분석 요청을 할 수 있습니다. 분석한 샘플의 해시값은 Threat Inside에서 조회하여, 등록된 백신사별 탐지 여부와 탐지명 등의 정보를 심층적으로 파악 할 수 있습니다. 또한 해시값 외의 다양한 검색 키워드 제공을 통해 관리자는 원하는 위협 정보를 빠르고 정확하게 찾을 수 있습니다. 

특히 Threat Inside의 Deep Insight에서는 악성, 의심, 탐지 위협이 없음 등으로 구분하여 위험 정도를 파악할 수 있습니다. 특정 해시를 조회할 경우에는 딥 코어(Deep Core)기반으로 자동 분류된 유형 정보를 제공하고 있으며, IP/URL 정보를 조회할 경우에는 조금 더 빠르게 판단할 수 있도록 자동 분류 태그 정보를 제공하고 있습니다. 

이렇게 오늘은 Threat Inside의 유용한 기능 Top 5에 대해 알아보았습니다. 점점 더 위협이 고도화되고 있는 만큼, Threat Inside를 통해 악성코드 위협에 신속하게 선제적으로 대응하여 완벽한 엔드포인트 보안 체계를 구축해보시는 건 어떠실까요?