조직이 사이버 공격에 대응하는 그치지 않고 적극적으로 사전 조치를 취하기 위해서는 보안 취약점과 위협 지표, 위협의 진행 방식 등에 대한 이해가 필요하다. 조직은 이런 위협 인텔리전스를 통해 다양하고 지능적, 악의적으로 진행되는 공격을 예방하고, 문제 발생시 빠르게 대처할 수 있어, 보안 피해와 복구에 소요되는 비용을 크게 절감할 수 있으며, 다양한 정보를 취합한 인사이트를 제공함으로써 보안 전략 수립의 기반이 된다는 점에서 많은 기업들의 관심을 모으고 있다.
문제는 인텔리전스는 데이터와 정보를 취합 분석해 의사결정을 위한 형태를 생성하는 것을 의미하기 때문에 일반 기업 차원에서 이를 확보하기는 쉽지 않다. 따라서 대부분의 위협 인텔리전스는 보안 연구소를 운영중인 보안 기업이 제공하는 서비스를 활용하는 것이 일반적이다.
비즈니스 정보 유출과 사이버 위협 정보로부터 자산을 지키는 첫걸음인 위협 인텔리전스를 기반으로 확장된 서비스를 제공하는 NSHC의 XTI(eXtened Threat Intelligece) 서비스인 ‘BOIIM(Business Operational Information Intelligence Management)’은 CTI를 활용해 외부 위협 탐지를 최적화하는 매니지드 보안 서비스다.
이 서비스는 클라우드 위혐 탐지와 대응(CDR), EDR, NDR을 결합해 위협 탐지 범위를 확대하며, 향후 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 통합해 클라우드 네이티브 보안까지 확장할 계획이다.
비즈니스 운영을 위한 확장형 위협 인텔리전스 서비스로서, CTI, DarkWeb/OSINT, ASM, MTI 등 각 인텔리전스 영역에 특화된 모듈을 제공하며, 각 플랫폼에 대한 선택적 구성을 통한 효율적인 인텔리전스를 운영한다.
‘BOIIM’은 CTI(Cyber Threat Intelligence)와 OSINT(Open Source Intelligence), ASM(Attack Surface Mangement)와 외부 위협 정보 관리 기능 등 4가지 요소로 구성돼 있으며, 각각 ‘APT와 사이버범죄 해킹 그룹 분석 사이버위협 인텔리전스’인 ‘ThreatRecon’, Deep/DarkWeb 노출과 유출 정보 조사, 프로파일링 전문 인텔리전스인 ‘DarkTracer’, 공격표면관리인 ‘XTI-ASM’, 고객 맞춤형 외부 위협 정보 관리인 ‘deep.insight’ 등을 통해 서비스를 제공한다.
CTI와 관련해서는 NSHC가 운영중인 ‘ThreatRecon’ 팀을 통해 APT와 사이버 범죄 해킹 그룹의 공격 활동에 대한 분석 자료와 MITRE ATT&CK Matrix 기반의 해킹 기법에 대한 상세 정보를 제공한다. 또한 공격 그룹 프로파일링, 유사성 비교, 활동과 특성을 전문가 입장에서 분석해 악성 코드와 사이버 공격 무기 관련 데이터를 제공하며, 주기적으로 기업 운영 내 활용 가능한 CTI 리포트를 제공한다.
OSINT와 관련해서는 다크웹 위협 모니터링 플랫폼인 ‘DarkTracer’를 통해 2000억 건 이상의 방대한 다크웹 빅데이터 기반 유출 정보 검색 기능을 제공하며, 다크웹과 딥웹에 노출된 기업 도메인과 해킹된 계정, 디바이스 정보를 확인할 수 있도록 돕는다. 또한 위협 정보 연관 관계를 추적하고 시각화해 제공한다.
ASM과 관련해서는 ‘NSHC XTI-ASM’을 통해 외부에 노출된(관리/미관리) IT 자산 확인 서비스(진단&스캐닝)를 제공하며, 공격 위협에 노출된 자산에 대한 지속적인 실시간 관리와 모니터링이 가능하다. 또한 공격자 관점의 공격표면 정보 수집과 보안 위협에 대한 검증(VA/PT) 서비스를 제공해, 노출된 보안 위협을 확인하고 취약점을 자동으로 테스트할 수 있다.
외부 위협정보 리포트를 제공하는 deep.insight는 OSINT DB를 통한 위협 정보 분석과 다양한 IoC를 활용한 위협정보를 분석하고 ID/PW 유출 상황과 감영된 디바이스 데이터 분석 기능을 제공한다.
‘BOIIM’은 비즈니스 의사 결정을 위한 전략적인 큰 그림으로 위협 동향과 범위 등을 다루며, 이를 통해 기업의 의사결정권자가 TTP(Tactic, Technic, Procedure)에 대한 이해로 조직의 보안 전략, 정책, 보안과 IT 환경 구성에 대한 의사 결정을 내리기 위한 기반을 제공한다.
내부 IT 환경의 공격 표면(Attack Surface) 분석으로 공격 발생 과정 분석(MITRE ATT&CK Matrix)을 확보해 보안 관리자가 조직 내부 IT 환경에 대한 인텔리전스와 조직 외부 위협 인텔리전스를 확보해, 신규 공격 표면을 확보할 수 있다.
또한 위협 정보와 데이터 수집으로 지표(Indicators)를 생성해, 해킹 그룹이 활용하는 지표로 실제 공격을 탐지하고 차단할 수 있다.
이를 통해 실시간 인텔리전스 정보를 제공하는 대시보드, 인텔리전스 위협에 대한 주기적인 알림을 제공하는 알람, 정기적인 인텔리전스 요약 보고서, 그리고 외부 유출, 노출 자산 관리 등의 기능을 제공한다.
[알림] GTT KOREA와 전자신문인터넷은 오는 5월 25일 목요일 오전8시 30분부터 오후 5시 30분까지 인터컨티넨탈 서울 코엑스 하모니볼룸에서 “SECaaS Summit 2023”을 개최한다. 이 행사에서는 글로벌 클라우드 보안 리더 기업들이 다양한 클라우드 환경의 보안 트렌드를 조망하고, 기업과 조직에 최적화된 클라우드 전방위 보안 전략, 특히 클라우드 보안 SECaaS를 통해 기업들이 데이터를 보호하고, 가시성 높은 옵저버빌리티를 제공하며, 인프라와 애플리케이션을 보호할 수 있는 전략을 제시하며 미래의 보안 기술도 공유한다.
전자신문인터넷 유은정 기자 judy6956@etnews.com