올해 초부터 중국 해커그룹 ‘샤오치잉’, 북한 해킹 조직 ‘라자루스’ 등 공격 그룹이 주요 기업 및 기관의 정보 탈취를 목적으로 사이버 공격을 이어가고 있다. 이와 더불어 보안 시스템 우회, 공격 흔적 삭제, 사회공학적 기법 등으로 공격 기법이 고도화하고 새로운 취약점을 활용한 공격 또한 지속되고 있다.
이에 따라 사이버 위협에 대한 신속한 정보 습득과 이에 기반한 대응의 중요성이 대두되고 있다. ‘사이버 위협 인텔리전스(Cyber Threat Intelligence)’가 그 해결책으로 주목받고 있다.
안랩이 내놓은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP(Threat Intelligence Platform)’는 안랩이 축적한 보안 위협 대응 기술력과 노하우를 집약한 제품이다.
안랩 TIP는 △다양한 수집처에서 수집·분류된 데이터로부터 생성한 위협침해지표(IoC) 기반의 위협 유형, 악성 파일정보, 인터넷프로토콜(IP), 인터넷주소(URL) 등 ‘즉시 대응 가능한 위협 인텔리전스’ △전문 분석조직이 분석한 공격자 그룹 정보 및 공격 기법 정보 △사용자가 업로드한 의심 파일이나 URL에 대해 다차원 행위 분석으로 결과를 제공하는 ‘클라우드 샌드박스 분석’ △악성코드 분석·취약점·포렌식 결과 보고서, 보안 권고문, 주요 보안 소식(연관 IoC포함) △딥웹·다크웹 등 비공개 출처 정보 기반의 위협 트렌드 및 대응 정보 등 최신 보안 위협에 효과적으로 대응하기 위한 포괄적인 위협 인텔리전스 서비스를 제공한다.
특히 안랩의 엔드포인트 보안 솔루션 및 네트워크 보안 장비 센서에서 수집한 파일, URL, IP와 더불어 여러 외부 제휴기관에서 수집한 정보 등 광범위한 위협 데이터를 기반으로 안랩 시큐리티대응센터(ASEC)와 침해 대응(CERT) 분야 전문 인력이 분석한 최신 위협 정보를 제공하고 있다.
이를 바탕으로 안랩 TIP를 이용하는 고객들은 위협 파일에서 파생되는 C2(C&C) URL 정보, 위협 행위자(Threat Actor)별 상세 정보 외에도 국내 보안 환경에 특화된 위협 정보를 신속하게 확인하고 보안 위협에 대응할 수 있다.
이와 함께 ‘안랩 TIP’는 보안 오케스트레이션, 자동화 및 대응(SOAR) 제품인 ‘안랩 SOAR’, 샌드박스형 지능형지속위협(APT) 대응 솔루션 ‘안랩 MDS’, 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR’ 등 안랩의 다양한 보안 제품과 연계·연동이 가능하다. 이외에도 애플리케이션 프로그램 인터페이스(API)를 기반으로 타사의 보안 제품 및 서비스와도 손쉽게 연계해 실시간으로 위협 정보를 활용할 수 있다.
최근에는 딥웹과 다크웹 등 다양한 사이버 보안 위협요소를 수집·가공해 고도화된 위협 인텔리전스를 제공하는 ‘DDW(Deep&Dark Web) 모니터링 기능’도 도입했다. 소속 조직 및 서비스 계정 데이터의 딥웹·다크웹 상 노출 여부를 확인할 수 있어 보안 담당자는 신속하게 위협을 인지하고 대책 수립과 대응이 가능하다고 회사는 설명했다.
안랩 관계자는 “안랩은 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’를 통해 위협 데이터 수집처 확대 및 취약점 정보 확장 등 더욱 폭넓은 위협 인텔리전스를 제공해 나갈 예정”이라고 말했다.
정현정 기자 iam@etnews.com
