강병탁 에이아이스페라 대표 “위협 인텔리전스, 데이터의 신선도가 중요”

“위협 대응, 가시성을 모든 네트워크 레이어에서 확립하고 통계적·데이터 분석적 접근 필요해”

에이아이스페라(AI Spera) 강병탁 대표(고려대 교수). K-CTI 2020에서 ‘사례 중심으로 살펴보는 CTI 기반의 침해위협 정보 분석’을 주제로 강연을 진행하고 있다.

국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2020이 지난 5일 한국과학기술회관 대회의실에서 250여 명의 공공, 금융, 기업 정보보안 실무자들이 대거 참석한 가운데 성황리에 개최됐다.

이 자리에서 에이아이스페라(AI Spera) 강병탁 대표(고려대 교수)는 ‘사례 중심으로 살펴보는 CTI 기반의 침해위협 정보 분석’을 주제로 강연을 진행했다.

강병탁 대표는 우선 ‘CTI(Cyber Threat Intelligence)’ 개념에 대해, ‘CTI’는 보안위협과 공격자 및 공격수단, 악성코드 및 취약점 등을 취합한 데이터셋을 가공해 가치 높은 정보를 도출해 침해사고 대응 및 예방에 활용하는 것을 의미한다고 정의했다. 전 세계에서 일어나는 모든 위협 정보를 수집하고 분석한 다음 여기서 얻은 지식을 활용해 사이버 위협에 대응하는 것이다.

그는 우선 A사에서 발생한 로그인 이슈 조사 사례를 공유했다. 타 사이트에서 유출된 이메일 계정과 비밀번호로 간편결제 로그인과 결제까지 공격이 진행된 사례다. 회원 가입 여부 및 비밀번호 정확도가 굉장히 높고 결제 비밀번호까지 획득해 유입된 사례라 대응이 쉽지 않은 사례였다. 지난해 11월 여러 포털에서도 계정도용 이슈가 불거졌고 조사결과 대부분 VPN IP가 많았다. 타사 중소쇼핑몰 등에서 DB가 해킹당한 이후 같은 아이디와 패스워드를 포털과 금융쪽에 부르트포싱 공격을 한 것으로 예상되는 사례였다.

이 건에 대해 에이아이스페라는 자사 부정탐지 솔루션 ‘Criminal IP(크리미널 아이피)’를 활용해 조사에 착수했다. Criminal IP와 기타 에이아이스페라 내부 DB로 평판 조사를 진행한 것이다.

이 시즌에 해당 시스템에서 발생한 대량 로그인 발생 IP를 조사한 결과에 대해 강 대표는 “해커들은 이미 블랙리스트로 진단된 IP 를 사용하지 않는다. 많은 보안솔루션들이 평판 기반의 시스템이나 IP Block 기능을 사용하고 있어서, 오염도가 높은 IP는 이러한 계정 공격에는 오히려 사용하지 않는 추세를 요즘 트렌드에서 볼 수 있다”며 “VPN IP를 사용할 수밖에 없다. 하지만 VPN 자체를 진단하지 않는 기업의 단점을 이용한다. 실제 공격이 이루어지는 머신의 위치를 감추기 위해 VPN 기술을 사용하는 것이다. 하지만 기업에서는 VPN을 사용했다는 이유만으로 해당 IP에 대해 조치를 가하지는 않는다”고 전했다.

이어 팁으로 △로그인 실패 로그에 집중하지 말 것 △로그인 성공 로그에 대해 기초통계 기반의 증감 여부를 확인할 것 △로그인 성공 로그에 대해 Critical/Dangerous IP의 통계적 흐름을 확인할 것 △로그인 성공 로그에 대해 VPN IP 여부의 흐름을 체크할 것 △국가별 IP를 제공하는 업체 중 Top 격인 MaxMind에서는 VPN DB 를 판매하고 있다고 강조했다.

한편 특정 포트에 운영 중인 서비스를 식별하고 최대한 풍부한 정보를 수집하기 위한 ‘배너 그랩 연구’ 방법도 소개했다. 쇼단(Shodan)과 Nmap, Criminal IP 등이 사용된다.

특히 Criminal IP는 보안취약점 CVE·CWE와 공격코드들을 수집하는 익스플로잇 DB 정보들을 연동해 기업에서 위협포인트가 되고 있는 △네트워크 장비(라우터, 스위치) △내부망용 그룹웨어 △각종 관리자 페이지 △관리자 포트(SSH, RDP, SMB etc) △데이터베이스 포트(MySQL, MS-SQL, Oracle etc) △디폴트 패스워드 △간단한 패스워드(딕셔너리 공격) △취약점 포트를 통한 exploit 공격 등을 스캔해 위협을 사전에 진단할 수 있다.

Criminal IP로 포트/취약점 모니터링을 통해, 사용자가 등록한 네트워크에 열린 포트가 있는지 주기적으로 모니터링 할 수 있다. 또 회사별 기능으로 같은 회사 계정간에 이 페이지가 공유된다.

Criminal IP로 국내 유명 사이트들의 유사 도메인 확인가능. 유사 도메인은 각종 사이버 공격과 사기범죄에 활용되고 있다.

또 도메인 모니터링도 가능하다. 사이버 범죄자들은 유명 기업 도메인과 스펠링이 유사한 도메인을 만들어 다양한 사기범죄에 활용하고 있기 때문이다. Criminal IP로 확인 결과 국내 기업의 정식 도메인과 유사한 도메인 이름들이 상당수 존재했고 실제 사이버 범죄에도 활용되고 있다는 것을 알 수 있다. 즉 Criminal IP는 리스크 매니지먼트로서의 역할을 하는 것이다.

강병탁 대표는 “위협은 끊임없이 진화하며 발전한다. 기술적 접근 방법도 중요하지만 통계적 접근, 데이터 분석적 접근이 필요하다. 기업내 자산에 대한 안전도는 의심하고 의심하고 또 의심할 필요가 있다. 가시성(Visibility)을 모든 네트워크 레이어에서 확립할 수 있어야 한다. 그리고 데이터의 신선도가 중요하다. 기업을 보호하는 것과 사용자를 보호하는 것에 대한 경계선 확립이 필요하다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★