플레인비트는 Google Threat Intelligence의 방대한 데이터를 통해 작은 흔적으로도 피해의 전체적인 흐름을 파악하고, 더 나아가 사후 분석에 머물던 DFIR 분야에 선제적 보안 대응 역량을 확보할 수 있었다.
고도화되는 사이버 위협 풀어내는 DFIR의 분석적 과제
인터넷과 연결되는 서비스가 늘어나면서 해킹, 정보 유출 등 보안 위협과 사고가 끊이지 않는다. 보안 위협은 개인과 기업을 가리지 않고, 늘 호시탐탐 빈틈을 노리고 있습니다. 단순한 보안을 넘어 이를 미리 알고 적절한 조치를 취하는 것이 중요하다.
플레인비트는 사이버 보안 공격의 실마리를 통해 공격 방법을 파악하고, 공격 주체를 찾아내는 디지털 포렌식, 그리고 침해 사고 대응 전문 기업입니다. 범죄나 사고 현장에서 흔적과 증거를 찾아 범행 방법과 범인을 찾아내는 과학 수사대의 역할을 사이버 범죄의 현장으로 옮긴 것과 비슷하다. 특히 최근의 사이버 공격은 대규모 그룹 뿐 아니라 국가 단위로도 이뤄지기 때문에 그 흐름을 정확히 읽고 어떤 경로를 노리는지 파악할 필요가 있다.
플레인비트는 최근 보안 위협의 트렌드와 패턴을 읽는 과정에 Google Threat Intelligence를 도입해 더욱 고도화되고 정교해지는 보안 공격, 침해 사고에 효과적으로 대응할 수 있는 기반을 다졌다.
플레인비트의 핵심 역량은 공격 발생 시 컴퓨터와 스마트폰 데이터를 분석해 공격 패턴과 주체를 찾아내고, 이를 법적 효력이 있는 증거로 만드는 데에 있다. 이를 DFIR(Digital Forensics Incident Response)이라고 부르며, 이는 침해 사고의 대응은 현상을 파악하고 원인을 분석해서 근본적인 문제를 파악하는 데에서 시작한다. 중요한 것은 흔적인데, 전통적인 방법은 기기에 남겨진 로그 데이터를 살펴 해커가 남긴 발자취를 찾는 것이다.
이준형 플레인비트 사이버위협대응센터장은 Google Threat Intelligence를 통해 사이버 사고를 조사하는 과정에서 공격자가 남긴 작은 흔적들의 의미를 더욱 뚜렷이 할 수 있었고, 최신의 공격 흐름을 파악해 추가적인 피해를 막을 수 있는 기반이 갖춰졌다고 말한다.
하지만 최근 사이버 공격은 고도화되면서 점차 흔적을 찾는 것 자체가 어려워지는 추세이며, 최신 악성코드들은 흔적을 최소화하고, 그나마도 최대한 지우거나 훼손해 추적을 막도록 설계되고 있다. 플레인비트는 포렌식 기술을 더해 사이버 공격 전 과정에서 지워진 정보들을 되살려 공격자의 모든 행위를 깊이 있게 분석한다.
특히 랜섬웨어처럼 핵심 데이터베이스와 수많은 데이터를 삭제하는 공격에서는 남은 흔적이 파편화되어 그 자체로는 의미를 알기 어렵다. 이 때문에 최근의 침해 사고 대응은 체계적인 포렌식을 기반한 고도의 분석 기술이 필요하다.
인텔리전스 기반 DFIR, 사후 분석에서 선제적 위협 헌팅으로 보안 관점 확장
플레인비트는 지난 10여 년간 DFIR을 통해 수많은 사고들을 추적하고 대응해왔다. 플레인비트의 DFIR은 크게 준비, 분석, 대응의 세 가지 단계를 거치는데, Google Threat Intelligence는 이 모든 과정에서 방대한 데이터와 경험을 통해 적절한 대응이 이뤄질 수 있도록 돕는다.
준비 단계에서는 보통 침해 사고가 일어난 환경을 이해하고 새로운 공격 패턴과 변종 공격 등을 파악하며, 이를 파악하기 위해서 관련 뉴스나 커뮤니티, 혹은 분석 자료들을 다각도로 살펴야 한다. Google Threat Intelligence는 구글의 경험과 정보를 바탕으로 한 최신의 공격 트렌드를 체계적으로 정리해서 지속적으로 제공한다.
분석과 대응 단계에서도 Google Threat Intelligence는 강력한 도구이다. 침해의 도구가 되는 악성코드들이 흔적을 남기지 않기 위해서 많은 것을 스스로 지우기 때문에 일반적인 분석 과정에서는 모든 증거의 조각이 원활하게 맞춰지지 않는다. Google Threat Intelligence 안에는 악성코드를 분석하는 서비스가 포함되어 있어서 각 악성코드가 남기는 지문같은 흔적을 체계적으로 대조해서 찾아낸다. 이에 이준형 센터장은 Google Threat Intelligence가 침해 사고 분석에 활용하기에 가장 빠르고 방대한 데이터베이스를 갖췄다고 말한다.
더 자세한 내용은 아래 링크에서 확인해주시기 바랍니다.
