데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 윤광택 레코디드퓨처 상무는 ‘Attack Surface Manager 고객 도입 활용 사례 공유’를 주제로 강연을 진행했다.
Attack Surface Manager(이하 ASM)는 인터넷에 연결된 자산을 찾아 주고 그 자산에 대한 위험도가 어떤 것들이 있는지 찾아주는 솔루션이다.
윤 상무는 이번 K-CTI 2024에서 위협 인텔리전스에서 중요한 역할을 하고 있는 공격 표면 관리에 대해 레코디드퓨처의 강점을 소개했다.
그는 레코디드퓨처에서 분석한 라자루스 TTP를 공개하며 “공격자들은 공격 침투를 하기 전에 많은 정보를 수집한다. 보안 허점을 찾기 위해서다. 침투후 시스템 내부에 무엇이 있는지 확인하고 측면 이동을 위해 무엇이 필요한지 등 모든 것을 준비한 다음 공격을 시작한다. 레코디드퓨처 ASM도 마찬가지로 외부 해커가 공격하기 전에 준비하는 것과 같이 보안홀 정보를 찾고 공격에 필요한 도구들은 무엇인지 찾아낸다. 즉 공격자가 공격을 위해 타깃의 모든 자산을 식별해 보안홀을 찾는 것과 같이 방어자도 먼저 자산식별이 중요하다는 것을 강조하고 싶다”며 “IT 자산식별이 되어야 각 부분별로 어떻게 방어를 해야 할지 설계할 수 있다. 우리가 찾지 못한 자산이 있고 그 부분에 홀이 있다면 공격자는 그 부분을 공격할 것이다”라고 설명했다.
윤상무는 “고객들과 상담을 하다 보면, 조직의 자산을 완벽하게 파악하지 못하고 있는 경우가 많다. 보안 관리가 제대로 이루어지지 않고 있다는 것이다. 특히 클라우드에 올라간 자산도 마찬가지다. 다음은 애플리케이션 네임이나 IP포트 등도 찾아야 하고 사용하는 소프트웨어에 어떤 취약점들이 있는지도 철저하게 파악해야 한다”며 “애플은 도메인이 몇 개나 될까. 2만개에 달한다. 이처럼 우리 조직이 사용하는 도메인이 몇 개가 등록돼 있고 어떤 것들이 있는지 파악하는 것이 중요하다”고 강조했다.
그는 현장에서 후이즈나 가비아를 활용해 레코디드퓨처 도메인을 확인하면서 레코디드퓨처 CO.KR 도메인이 있다는 것을 보여주고 실제로는 레코디드퓨처에서 소유하고 있는 도메인이 아니라고 말한다. 소유자가 누구인지도 모른다. SSR 인증서로 확인할 수 있지만 제대로 확인하지 않고 인증서를 발급하는 곳도 있어 불명확하다. 이처럼 우리 조직의 도메인을 명확하게 찾는 것도 힘들다는 것이다.
레코디드퓨처는 10년 전부터 CTI 정보를 수집해 오면서 명확한 도메인을 확인할 수 있는 기술을 확보하고 있다. 조직의 모든 도메인을 즉시 찾을 수 있다는 것이다. 호스트는 몇 개가 있는지도 확인할 수 있다. IT자산 식별을 위한 중요한 정보를 명확하게 제공해 주는 것이다.
IP만 가지고 네트워크 스캐닝을 하게 되면 정확한 스캔이 안될 가능성이 크다. 클라우드 서비스를 사용할 경우 동일한 IP에 여러가지 호스트가 올라가기 때문에 호스트 기반으로 자산이 식별되어야 한다고 그는 강조했다. 그래야 제대로 된 IT 자산 식별이 가능해 진다는 것이다. 레코디드퓨처는 쇼단이나 센시스처럼 인터넷에서 스캔을 하고 다크웹 등에서 다양한 정보를 가지고 과거 호스트까지 추적해 낼 수 있다. 지금 사용하고 있는 호스트와 과거 사용했던 호스트, 현재 사용하지 않는 호스트까지 모두 알 수 있게 된다. 실시간으로 변화하는 IT 자산을 매일 확인할 수 있다. 여기에 다크웹에 유출된 모든 계정 정보까지 보여준다.
윤상무는 “레코디드퓨처 ASM은 유출된 계정 정보 뿐만 아니라 코드 저장소에 저장된 정보, 도메인 정보, 원격에서 접속할 수 있는 모든 정보, 방치되고 있는 서비스 어드민 페이지 정보, 애플리케이션 정보, 웹서비스와 애플리케이션 버전별 모든 취약점 정보를 제공한다. 이를 통해 지속적인 공격 점점 관리가 가능해진다”고 설명했다.
이를 통해 보안담당자는 공격의 징후를 찾고 예방하고 신속한 조치를 취할 수 있게 된다.
윤광택 레코디드퓨처 상무의 K-CTI 2024 강연 영상을 통해 보다 상세한 정보를 얻을 수 있다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)
△일시: 2024년 3월 12일(화)
△장소: 서울 양재동 더케이호텔서울 2층 가야금홀
△주최: 데일리시큐
△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)
△전시회: 국내외 최신 정보보안 솔루션 소개
△보안기업 전시회 참가신청: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
△참관객 사전등록: https://www.dailysecu.com/form/register.html?form_id=1701154037
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★