보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

AhnLab TIP가 효율적인 위협 대응에 필요한 이유

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2021-01-04
안랩이 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’를 출시했다. AhnLab TIP(Threat Intelligence Platform)는 안랩의 악성코드 대응 전문 기술과 노하우를 바탕으로 풍부한 위협 분석 정보를 제공한다. AhnLab TIP를 사용하는 기업들은 기존 분산되어 수집하던 위협 정보를 단일 플랫폼 내에서 효율적으로 확보할 수 있게 됐다. 아울러, 폭 넓고 정교한 분석 결과가 포함된 실시간 위협 인텔리전스(Threat Intelligence)를 습득해 미래 보안 전략 수립에 반영할 수 있다. 이번 글에서는 안랩이 TIP를 출시한 배경과 플랫폼의 주요 기능 및 도입 효과를 조명한다.



안랩이 TIP를 출시한 배경
그동안 안랩은 월간’안’, 시큐리티 레터, ASEC 블로그와 리포트, 보안 권고문, 세미나 등 다양한 경로를 통해 사이버 위협 지형이 계속 고도화되고 있음을 강조해왔다. 실제로, 현재의 위협은 단순 해킹부터 타깃화된 APT(Advanced Persistent Threat)까지 광범위한 형태로 빠르게 진행되고 있다. 그리고 자사 ASEC이 집중 분석해 보고서를 발간한 유통 대기업 A사 클롭 랜섬웨어 감염 사례에서 알 수 있듯, 고도화된 위협은 먼 이야기가 아니라 언제 어디서든 국내 기업에 피해를 입힐 수 있는 중요한 사안이다.
 

[그림 1] 현재 사이버 위협의 유형과 변화

따라서, 기업들은 다양한 위협을 면밀하게 탐지해 효과적으로 대응할 필요가 있다. 한 건의 이상 징후를 놓치는 것만으로도 인프라가 다운되거나 기업의 주요 정보가 유출되는 등의 대형 보안 사고로 이어질 수 있기 때문이다. 다만, 이와 같은 필요성을 인지하고 있음에도 현실적인 제약으로 인해 효과적으로 위협에 대응하는 것이 쉽지 않다. 

기업들이 현실적으로 어려움을 겪는 부분은 대표적으로 두 가지를 꼽을 수 있다. 첫 번째는 위협 정보 습득 및 처리에 관한 제약이다. 기존의 위협 정보는 평면적인 위협 데이터가 온라인 상의 다양한 소스로부터 제공되어, 분석과 대응 효율성이 떨어지고 보안 담당자의 주관적 판단에 의존할 수밖에 없었다. 두 번째는 기존 분석법의 한계다. 최근의 공격은 방법이 복잡해지고 경로가 동적화 되어, 정적 분석 결과를 기반으로 만들어지는 전통적인 침해 지표(Indicators of Compromise: IOC)만으로는 빠르게 변화하는 위협을 모두 탐지하고 차단하기 어렵다.

이에 따라, 대량 생산되는 위협 정보들을 큐레이션(Curation) 및 분석하고 행위 정보까지 동적으로 분석해 위협에 효과적으로 대응할 수 있도록 지원하는 위협 인텔리전스 플랫폼의 필요성이 대두되었다. 

AhnLab TIP 소개
AhnLab TIP는 안랩의 악성코드 대응 기술력과 노하우를 집약해 차별화된 위협 인텔리전스를 제공한다. 또한, 현재와 미래의 위협에 대한 배경 및 목적을 포괄적으로 분석해 사용자가 위협의 전체적인 '맥락(context)'을 파악할 수 있도록 한다. AhnLab TIP의 위협 인텔리전스는 의사결정자(경영진), 상위 관리자 및 보안 실무자 모두에게 유효한 정보를 전달하며, 기업은 습득한 정보를 바탕으로 합리적인 의사결정을 내리고 미래 보안 전략을 수립할 수 있다.
 

[그림 2] AhnLab TIP 위협 인텔리전스 제공 프로세스

주요 기능
AhnLab TIP를 통한 정보 식별의 최우선 목적은 허가 받지 않은 정보 수집, 취약점을 이용한 보안 통제 무력화 & 우회와 정보 유출 등의 공격 행위에 빠르게 대응하는 것이다. 이를 위해 AhnLab TIP는 다음과 같이 세 가지 주요 기능들을 제공한다. ▲정교한 위협 인텔리전스 공유 ▲클라우드 샌드박스 분석 ▲다양한 위협 콘텐츠 제공

 
[그림 3] AhnLab TIP 주요 기능 구조도

1. 정교한 위협 인텔리전스 공유
AhnLab TIP의 대표 기능 중 하나는 정확한 침해 지표 제공을 통한 위협 정보 분석 최적화다. AhnLab TIP는 수집된 데이터로부터 생성된 침해 지표(IOC)를 기반으로 위협의 URL, 도메인, IP, 해시 등 포괄적인 정보를 제공해 기업이 중요하고 긴급한 위협에 대응할 수 있도록 한다. 또, 기업은 악성코드 분석 정보를 활용해 알려진 악성코드의 실행 흔적을 탐지하고 조직 내부의 추가적인 감염 시스템을 찾을 수 있다. 해당 기능들은 위협 탐지와 대응 간 격차를 좁히는데 기여한다.  

AhnLab TIP를 통해 공격자 정보, 악성코드 정보는 물론 경유 및 유포 경로 파악도 가능하다. 악성코드 탐지 결과를 바탕으로 경유지 웹사이트 별 위험도를 측정해 악성코드 대응과 분석 효율성을 제고할 수 있다. 또한, 본 플랫폼은 공격 흐름도와 관련 상세 정보를 제공하고, 위협 종류, 행위 및 공격 단계에 따라 적절한 조치 방안을 제시한다. 이 밖에 별도 API를 제공, 기업 내 서비스 또는 제품과 연계해 실시간 위협 정보 조회도 지원한다.

2. 클라우드 샌드박스 분석
AhnLab TIP의 클라우드 샌드박스 기능은 위협 고도화에 대응하기 위한 핵심 역량이라 할 수 있다. 최근의 악성코드들은 정교한 은닉 기술이 도입되거나 새로운 변종이 출현하는 경우가 많고, 효과적인 탐지 & 대응을 위해서는 기존의 정적 분석뿐 아니라 행위에 대한 동적 분석도 병행되어야 한다. 

클라우드 샌드박스는 악성코드를 실제로 실행시켜 분석하는 방법으로, 메모리 덤프 분석과 실제 행위 관찰을 통해 변종에도 빠르게 대응할 수 있다. AhnLab TIP 클라우드 샌드박스는 멀티 OS & 브라우저 환경, 사용 프로그램과 폭 넓은 유형의 파일 대한 분석을 지원하며, 경로별 탐지 현황과 행위별 위협 정보를 사용자 친화적으로 시각화해 제공한다.  

3. 다양한 위협 콘텐츠
AhnLab TIP에는 다양한 위협 콘텐츠들이 집약되어 있다. 기본적으로, 사용자가 주기적으로 위협 트렌드를 파악할 수 있도록 지원하는 정기 보고서가 있으며, 특정 이슈에 대한 보안 전문가들의 분석과 대응책을 담은 이슈 보고서도 확인할 수 있다. 앞서 언급한 유통 대기업 A사의 클롭 랜섬웨어 감염 분석 보고서가 이슈 보고서에 해당된다.

이 밖에도, 다각도의 위협 통계와 취약점 정보, 영향 받는 제품, 대응 방안을 담은 보안 권고문과 상시적으로 위협 동향을 확인할 수 있는 ASEC 블로그 및 국내외 주요 보안 뉴스까지 폭 넓은 콘텐츠들을 종류 별로 접할 수 있으며, 그와 관련된 침해 지표도 확인 가능하다.

Why AhnLab TIP?
지금까지 안랩이 TIP를 출시한 배경과 플랫폼이 제공하는 주요 기능들에 대해 살펴봤다. 그렇다면, 기업이 AhnLab TIP를 도입해 실질적으로 누릴 수 있는 효과는 무엇이 있을까? 기업 입장에서 AhnLab TIP를 사용하면 무엇이 좋은지 대표적으로 세 가지를 짚어본다.

1. 효율적인 위협 인텔리전스 습득
AhnLab TIP는 앞서 설명한 모든 기능들을 ‘중앙 집중형 단일 대시보드’로 제공한다. 단일 대시보드에서 모든 IOC 확인 및 검색이 가능하며, 심각도 및 신뢰 수준별로 IOC를 요약해 기업이 위협 대응 우선순위를 효율적으로 설정할 수 있도록 기여한다.
 

[그림 4] AhnLab TIP 대시보드

또한, 다양한 위협 콘텐츠들을 단일 플랫폼에서 한 번에 확인할 수 있다. 바꿔 말하면, 더 이상 예전처럼 인터넷에서 위협 정보를 얻기 위해 보고서나 웹사이트를 찾아 헤맬 필요가 없다는 뜻이다. 기업 입장에서는 AhnLab TIP를 통해 인력 활용의 효율성과 위협 대응의 신속성을 큰 폭으로 개선할 수 있다.

2. 기업의 자체적인 보안 역량 강화
AhnLab TIP가 제공하는 위협 인텔리전스는 위협에 대한 정량적 & 정성적 판단 기준 제공을 제공해, 사용자가 더 이상 주관적인 판단에 의존하지 않아도 된다.
 

[그림 5] AhnLab TIP 활용 위협 대응 흐름도

기업이 AhnLab TIP를 사용하면 명확한 기준을 바탕으로 위협의 영향도와 확산 정도를 확인해 이상 행위 혹은 의심 위협 탐지 시 효과적으로 대응할 수 있다. 또, 다양한 위협 시나리오 테스트를 기반으로 위협 유입 및 확산에 대한 방어 체계 구축이 가능하다. 새로운 악성·의심 탐지 정책과 패턴도 실시간으로 적용되어 전반적인 탐지 및 대응 정책도 강화할 수 있다. 이는 기업이 자체적으로 보안 역량을 강화할 수 있는 기반이 된다. 

3. 최적의 보안 의사결정 지원
기업의 의사결정에 있어 현존하는 데이터와 이에 관한 인사이트는 굉장히 중요한 요소다. 추가적으로, 미래에 대한 예측 정보까지 더해지면 보다 합리적인 의사결정이 가능해진다. 이 관점에서, 장·단기 보안 의사결정에 대한 AhnLab TIP의 역할을 살펴보자.

먼저 단기적으로, AhnLab TIP는 알려진 임박한 위험에 대응할 수 있는 위협 정보를 전달해 기업이 능동적으로 의사결정을 내려 침해사고를 사전에 예방하고 피해를 최소화하도록 지원한다. 장기적인 관점에서는 식별되지 않은 추가 위험 정보를 제공해, 기업이 내부 보안 전략 수립 시 이를 활용할 수 있도록 한다. 종합하면, 기업은 AhnLab TIP의 위협 인텔리전스를 기반으로 조직을 효과적으로 보호하고, 나아가 전략적 우선순위에 부합하는 사이버 보안 투자를 결정할 수 있게 된다. 

끝으로, 지금까지 살펴본 AhnLab TIP의 도입 효과를 한 문장으로 요약하면 다음과 같다.
위협 인텔리전스를 효율적으로 습득해 자체적인 보안 역량을 강화하고, 최적의 보안 의사결정을 내리는데 기여한다. 

AhnLab TIP의 기능, 도입 효과, 활용 방안에 대한 보다 자세한 사항과 구매 관련 정보는 안랩 공식 홈페이지에서 확인 가능하다.
AhnLab TIP 제품 정보 웹페이지 바로가기
  • AhnLab 로고
  • 콘텐츠기획팀 신재만 대리
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.