데일리시큐가 주최하는 국내 최대 사이버 위협 인텔리전스 컨퍼런스 K-CTI 2023이 2월 8일 한국과학기술회관 국제회의실에서 500여 명의 정보보호 실무자들이 참석한 가운데 성황리에 개최됐다.
이번 K-CTI 2023은 위협 인텔리전스 CTI가 이제 우리 사회 모든 분야에서 보안의 핵심 요소로 자리잡아 가고 있다는 것을 보여준 시간이었다. 이제 위협 인텔리전스의 필요성에 대한 공감대는 형성됐고 어떤 형태로 CTI를 활용해서 보안업무의 효과와 효율성을 극대화할 것인지에 대한 논의가 이루어지고 있다고 볼 수 있다.
올해 K-CTI 2023의 강연 주제는 다음과 같다.
▲ScarCruft 그룹의 정보 수집 활동(부제: Forward Defense) -한국인터넷진흥원 종합분석팀 이태우 선임-
▲네트워크 트래픽 심층 분석을 통한 고도화된 위협 탐지 및 대응 -RSA 조남용 이사-
▲사이버 위협 인텔리전스, 고객 활용 사례 소개 -레코디드퓨처 코리아 윤광택 본부장-
▲신속한 변화를 위한 암호화 및 양자 위협 -탈레스 John Ray-
▲정보 유출 위협과 인텔리전스 -NSHC 최상명 이사-
▲금융 회사 침해 사고 분석-엔키 안소희·천호진 연구원-
▲사이버 위협 인텔리전스 활용을 통한 불법 가상화폐 거래 분석 및 추적 -인섹시큐리티 김종광 대표 & 천성민 팀장-
▲최신 다크웹 동향으로 본 CTI 필요성 -S2W 박민수 이사-
▲러시아-우크라이나 사이버전 정세 -씨엔시큐리티 백승우 연구원-
▲최신 Attack Surface 위협모니터링(부제: OSINT를 활용한 Malware 악성코드, C2서버, CVE 취약점 위협정보 찾기) -익스웨어랩스 윤영 대표-
KISA 이태우 선임은 스카크루프트 해킹 조직의 한국을 타깃으로 한 다양한 정보수집 활동을 면밀히 분석한 내용을 공개했다. 특히 Defend Forward라는 개념을 설명했다. 국가가 지원하는 적의 증가하는 속도와 정교함에 대응하여 미 국방부가 개발한 개념이다. 공격적인 사고 방식으로 방어하고, 악의적인 사이버 활동을 초기 단계에서 선제적으로 방해하거나 중지하며, 적의 비용을 증가시키는 것을 의미한다. 이것이 공격자와 싸우고 적의 이점을 역전시키는 방법이라고 강조했다. 이어 스카크러프트 그룹이 사용한 go언어 기반 악성코드, go 언어로 수행한 명령 과정 그리고 추적과정에서 확인된 자세한 보고서가 나올 예정이며 참고할 것을 당부했다.
RSA 조남용 상무는 RSA NetWitness Network 솔루션의 고도화된 네트워크 트래픽 심층 분석 능력에 대해 설명하고 실 공격 탐지 및 분석과정 시연을 통해 효율적인 위협 탐지 및 분석 대응 과정을 보여줬다.
레코디드퓨처 윤광택 본부장은 “인텔리전스는 분석가가 사용하는 플랫폼에 인텔리전스를 활용함으로써 빠른 대응이 가능하다. 고객이 보유한 플랫폼에 최적의 인텔리전스를 연동 지원하고, 다양한 곳으로부터 수동으로 데이터를 수집하는 것은 노동 집약적이며, 시간이 많이 소요된다. 단일 플랫폼으로 기업에서 필요로 하는 다양한 인텔리전스 요구사항에 대응하는 것이 비용이나 시간을 절약할 수 있다”고 강조했다.
탈레스 존 레이(John Ray) HSM 프로덕트 관리 이사는 “양자 시대에 대비하여 데이터를 보호하려는 조직들의 경우, 전사적 차원에서 퀀텀 암호화 민첩성(Quantum Crypto Agility) 전략을 채택해 회사의 암호화 인벤토리 및 준비 상태를 평가해 양자 기술로부터 안전한 아키텍쳐 구축을 준비해야 한다. 이 프로세스를 조기에 시작하면 양자 위협으로부터 데이터를 안전하게 보호할 수 있는 구조로의 전환이 용이할 것이다. 또한, 조직 전반에 걸쳐 관련 인재를 채용하고 교육하는 것이 반드시 필요하다"고 강조했다.
NSHC 최상명 이사는 “올해 설 연휴는 ‘샤오치잉’이라는 해커 조직의 등장으로 대한민국이 떠들썩했다. 그들은 디페이스 공격을 수행했지만 최종적으로는 피해기관들의 내부 데이터베이스 자료들을 유출시켰다. 또한 작년 초에도 ‘랩서스(LAPSUS)’ 해커 조직에 의해 글로벌 빅테크 기업들의 내부 자료들이 유출되는 큰 사건이 발생했었다”며 이날 강연에서 위 사례와 더불어 국내 보안업체, 통신사, 온라인쇼핑몰 등 최근에 연이어 발생한 해커 조직들에 의한 내부자료의 유출 위협들을 인텔리전스 플랫폼을 통해 살펴보고 관련 해커 조직들을 추적한 결과를 라이브로 진행해 큰 관심을 끌었다.
인섹시큐리티 천성민 팀장은 ‘사이버 위협 인텔리전스를 활용해 불법 암호화폐 거래 분석 및 추적’에 대해 강연을 진행했다. 그는 2022년 암호화폐 탈취 기법과 CTI를 활용한 암호화폐 사기 분석, 암호화폐 사기 방지를 위한 발전 방향에 대해 상세히 설명하는 시간을 가졌다.
S2W 박민수 이사는 최신 다크웹 동향과 보안담당자를 위한 CTI 솔루션의 필수 요건을 설명했다. 그는 “다크웹 유저들은 꾸준히 증가하고 있으며 일평균 접속자가 250만명을 넘고 있다. 주요 해킹 포럼 회원수도 꾸준히 증가하고 있다. 딥웹, 다크웹을 중심으로 사이버범죄 생태계가 지속적으로 진화하고 있다”며 “유출되는 파일도 기업 기밀자료, 개인정보, 소스코드, 도면 등 광범위해지고 유출 피해 기관도 증가하고 있어 이를 예방하고 신속하게 대응하기 위해서는 기업 맞춤형 CTI 서비스를 활용해 위협 대응 프로세스를 확립하고 기업의 핵심 자산을 보호해야 한다”고 강조했다.
엔키(ENKI) 안소희·천호진 연구원은 지난해 실제 금융 회사 침해 사고 분석 내용을 공개했다. 실제 금융기관 침해사고 조사 현장에서 해커의 악성행위를 분석한 내용이었다. 해커가 실제로 피해 서버를 장악해 악성코드를 설치하고 C&C 서버와 통신하며 인포스틸러를 실행하는 과정. 그 과정에서 사용된 루트킷과 백도어에 대해 상세히 설명했다. 추가로 APT 공격그룹에 대한 설명, 외부 서버에서 내부 서버까지 정밀하게 공격을 수행하는 과정을 공유했다.
씨엔시큐리티 백승우 연구원은 러시아-우크라이나 사이버 전쟁에 대해 상세한 니용을 국내 처음으로 공개발표했다. 그는 양 국가의 사이버 부대 및 해킹그룹의 모집과정과 조직도, 주요 공격 목표, 사이버 작전 수행 과정, 수행 결과, 통신장비, 운영체제 등 사이버전에서 사용된 다양한 정보들을 최초 공개해 눈길을 끌었다. 한국도 북한 및 타국가와 사이버전에 대비해 철저한 대비를 해야 하는데 좋은 참고 자료가 될 전망이다.
익스웨어랩스 윤영 대표는 OSINT 기반 어텍 서페이스 모니터링을 주제로 강연을 진행했다. 그는 IP&Port/Doamin/SSL 인증서 등 수집된 OSINT 정보를 통해 Malware 및 CVEs 취약점에 노출 위협정보를 쉽게 찾아낼 수 있는 방법과 SSL 인증서(Certificate) 분석을 통해 획득할 수 있는 OSINT 정보도 공유했다. 이어 악성코드(Malware) 위협정보 사례, CVEs 취약점 정보 검색사례 등 OSINT 검색 기술을 활용한 취약점 및 위협정보를 찾는 방법을 실무자들에게 공개해 도움을 주었다.
K-CTI 2023은 국내 최대 사이버 위협 인텔리전스 컨퍼런스로 자리매김했으며 이날 전시회에서는 RSA(굿모닝아이텍), 레코디드 퓨처, 탈레스(유니포인트), NSHC 등이 참여해 최신 CTI 솔루션에 대해 500여 명의 정보보호 실무자들에게 소개하는 시간을 가졌다.
K-CTI 2023 컨퍼런스 발표자료는 데일리시큐 자료실에서도 다운로드 가능하며 강연 영상은 일주일 뒤 데일리시큐 유튜브 채널을 통해 일부 공개될 예정이다.
★정보보안 대표 미디어 데일리시큐!