국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024가 지난 2월 6일 더케이호텔서울 2층 가야금홀에서 700여 명의 정보보안 책임자 및 실무자가 참석한 가운데 성황리 개최됐다.
한국인터넷진흥원 사고분석1팀 강동화 책임은 지난해 국내 주요 침해사고 동향을 설명하며 통신사 개인정보 유출부터 쇼핑몰, 의약유통, 차량부품제조사, 가상통화거래소, 서점, 교육업체, 의약제조사 등 다양한 침해사고 사례에 대해 공유하는 시간을 가졌다. 특히 크리덴션 스터핑, 공급망 공격, 백업솔루션 취약점, 무단 문자발송, 공유기 디도스, 국내 웹사이트 대상 웹변조 및 정보유출 등에 대해 상세히 설명했다.
레코디드퓨처 윤광택 상무는 인터넷에 노출된 자산을 식별하고 위험을 관리하기 위해 무엇을 해야 하는지에 대해 강연했다. 우리 회사의 자산 중 외부에 노출된 자신은 무엇인지? 자산을 어떻게 찾아낼 것인지? 실제 노출된 취약점을 어떻게 찾아내 공격을 예방할 것인지 등에 대해 설명했다.
카스퍼스키 강민석 이사는 위협 인텔리전스를 이용한 위협 헌팅 관련 데모를 시연해 눈길을 끌었다. 그는 최근의 공격 동향을 살펴보고, 이러한 공격에 대응하기 위하여 위협 인텔리전스가 조직에 어떠한 서비스와 정보를 제공해 주어야 하며, 이 제공된 서비스와 정보를 실무에 어떻게 활용해 공격을 유의미한 시간 내에 효과적으로 탐지, 분석, 대응할 수 있는지 시연을 통해 보여주는 시간을 가졌다.
RSA Net Witness 사업부 조남용 이사는 이미 수많은 네트워크 위협 탐지 솔루션들을 도입했으며 이를 통해 다양한 공격을 탐지하고 차단하고 있지만, 여전히 공격자들은 우리 네트워크에 침투해 정보유출, 랜섬웨어 설치, 시스템 파괴 등 다양한 보안 사고를 일으키고 있다며, 세션에서 네트워크에서 일어나는 모든 일을 파악하고 비정상 트래픽을 선별해 고도화된 위협을 탐지/대응할 수 있는 네트워크 위협 헌팅 기술 및 자동화된 위협 탐지 방안에 대해 설명했다.
파고네트웍스 권영목 대표는 사일런스 EPP와 센티넬원 EPP/EDR, 스텔라사이버 오픈 XDR 등을 통합해 인공지능 사이버위협 플랫폼으로 활용하는 파고 MDR 서비스 ‘딥액트(DEEPACT)’의 특장점을 소개했다. 그는 실제 현장에서 분석한 랜섬웨어 탐지 및 예방 사례를 상세히 소개하고 실질적인 대응방안을 어떻게 도출해 고객사의 보안 강화에 도움을 주고 있는지 설명했다. EPP, EDR, NDR, XDR를 통합한 파고 MDR 서비스 딥액트가 실질적 보안강화에 도움이 될 수 있는지 보여주는 시간이었다.
프루프포인트 최윤환 매니저는 이메일, 당신을 속이는 4가지 기법을 소개하기 위해 먼저 BEC의 개념에 대해 설명했다. BEC는 사이버 범죄인 이메일 사기를 뜻한다. 첨부파일/URL 없이 이메일 본문만으로도 사람을 속여서 피해를 끼치는 그러한 범죄를 의미한다. 그는 프루프포인트의 강력한 BEC 이메일 게이트웨이와 함께 임직원들의 훈련과 교육이 중요하다고 강조했다. PSAT는 이메일 모의훈련을 하는 템플릿과 에디터 기능을 제공하고, 수백여 가지의 온라인 동영상 및 퀴즈, 시뮬레이션 등의 교육 컨텐츠를 제공한다고 전했다.
국내 대표 보안기업 안랩 이명수 A-FIRST 팀장은 CTI 업체들이 위협 관리 및 TA 명명법 차이들을 소개했다. 그는 TA 특정이 어려운 이유에 대해 조사 기관과 기업마다 TA 활동의 일부분만을 보고 판단하고 국가를 연결시키는 명확한 정보도 부족하다. 그리고 공격자는 계속 변하기 때문에 특정하기가 어렵다고 설명했다. 이어 TA를 구분하는 기준은 다양한데, 주로 공격 의도, 지역 또는 국가, 공격 대상, 공격자의 공격 기술, 공격자의 능력 및 기술 수준 등을 기준으로 위협 활동자를 분류하고 이해해야 사이버 보안 전략을 수립하고 대응하는데 도움이 될 것이라고 전했다. 한편 안랩은 TA 명명법을 절지동물 이름으로 명명하기로 했다. 그 이유는 좀더 자세한 기사로 소개할 예정이다.
한국 넷앱 강현석 차장은 넷앱 ONTAP의 ARP(Anti-Ransomware Protection)는 머신러닝을 활용해 볼륨 내 파일 활동과 이상 징후를 분석하며, 이상행위가 감지되면 복구에 중요한 복구지점을 자동 생성하여 공격으로 인한 피해를 최소화한다. 또한 SaaS로 제공되는 클라우드 인사이츠는 사용자 수준의 모니터링을 통해 이상징후를 식별할 뿐만 아니라 이상징후 탐지 시 복구지점을 생성하고 사용자를 차단함으로써 피해를 최소화하고 데이터 보호를 제공한다. 또한, 추가로 제공되는 포렌식 기능을 통해서 피해 범위를 빠르게 추적하고 이를 통해 복구에 많은 시간을 소요하는 복구 시간을 최소화하는 이점을 제공한다고 강조했다.
카스퍼스키 GReAT팀 박성수 책임은 국내 최고의 위협 인텔리전스 분석가로 이름이 높다. GReAT팀에서 한국을 위협하는 북한 및 동아시아, 중국, 러시아 해킹그룹의 최신 동향을 면밀히 분석하고 있다. 특히 그는 이 자리에서 북한 해킹 그룹 김수키(Kimsuky) 및 안다리엘(Andariel) 등과 관련된 가상화폐 해킹 사례에 대해 상세한 분석 내용을 공개해 관심을 끌었다.
체이널리시스 김효민 수사관은 블록체인과 가상자산을 설명하며 북한을 비롯한 러시아, 이란, 중국 등 해킹 그룹들이 가상자산을 해킹하는 과정에서 랜섬웨어 공격이나 불법 채굴, 불법자금세탁, 현금화환 수익금으로 무기 개발, 테러단체 자금 지원 등 범죄행위들이 지속적으로 이루어지고 있다고 경고했다. 특히 2023년도 발생한 가상화폐 거래소 해킹, 블록체인 공격 벡터 등 가상자산 위협 및 침해사고 사례에 대해 상세히 설명하면서 경각심을 가질 것을 강조했다.
익스웨어랩스 윤영 대표는 국내 대표적인 OSINT 위협 인텔리전스 전문가다. 이 자리에서 그는 최근 사이버 도박, 마약, 불법 온라인 스트리밍 등 불법 콘텐츠 사이트로 인해 사회적 문제가 대두되고 있다고 전하고, 이러한 불법 콘텐츠 사이트를 어떻게 추적할 수 있는지 설명했다. 그는 OSINT를 활용한 사이버 범죄 추적으로 불법 온라인 도박 사이트, 도박 홍보사이트, 불법 OTT 사이트 추적 사례를 현장에서 보여줬다.
한편 전시장에서는 굿모닝아이텍, RSA, SK네트웍스 서비스, 넷앱, 레코디드퓨처, 카스퍼스키, 에스핀테크놀로지, 프루프포인트, 파고네트웍스, 스텔라사이버, 센티넬원 등이 전시부스를 통해 TI 관련 최신 솔루션을 선보이는 시간을 가졌다.
이번 K-CTI 2024를 통해 보안담당자들은 위협 인텔리전스(TI) 서비스와 솔루션을 활용해 조직의 실질적인 보안 수준을 어떻게 높일 수 있는지 공부할 수 있었던 의미있는 시간이었다고 전했다. 또한 TI 솔루션에는 어떤 주요 솔루션과 서비스가 있는지 이를 어떻게 효과적으로 활용할 수 있는지 알 수 있는 시간이었다고 소감을 밝혔다.
한편 이번 K-CTI 2024 강연 영상은 데일리시큐 유튜브 채널에 올라갈 예정이며 발표자료는 자료실에서 다운로드 가능하다. 다만 강연자가 비공개 요청한 자료와 영상은 업로드가 불가하다.
데일리시큐는 내년에도 위협 인텔리전스 컨퍼런스 K-CTI를 2월 초 개최할 예정이다.
한편 데일리시큐는 오는 3월 12일 상반기 최대 개인정보보호 및 정보보안 컨퍼런스 G-PRIVACY 2024를 개최할 예정이다. 국내외 보안기업 중 참가를 희망하는 기업은 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 문의하면 된다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★