[디지털데일리 이종현기자] 보안업계 관계자들은 다양해지고 있는 사이버공격에 대응하기 위한 새로운 차세대 보안 모델이 필요하다고 강조한다.

세계 곳곳에서 발생하는 위협 이벤트를 모아 제공하는 ‘사이버 위협 인텔리전스(CTI)’와 알려지지 않은 보안 위협도 차단하는 ‘위협 헌팅’이 대표적이다.

국내 선도보압기업인 이글루시큐리티 또한 차세대 보안 기술로 각광받는 위협 인텔리전스·위협 헌팅 분야를 공략하고 있다. 특히 이 회사는 기존에 쌓아온 CTI와 위협 헌팅 역량을 자사 인공지능(AI) 보안관제 솔루션 ‘스파이더 TM AI 에디션’에 적용하는 등 태동기인 국내 위협 인텔리전스·위협 헌팅 시장을 적극 공략하겠다는 계획이다.

◆최신 보안 위협과 공격 기법 분석·공격자 흔적 추적 = 이글루시큐리티는 2018년부터 최신 보안 위협과 공격 기법에 대한 핵심 정보를 제공하는 ‘이글루 CTI’ 서비스를 제공하고 있다. 고객이 조직을 노리는 사이버 위협에 맞서 공격의 맥락과 목적 등을 간파해 선제 대응할 수 있도록 전 세계 기업·기관에서 수집한 보안 위협 데이터 중 고객사에 연관성이 있는 상세 정보를 선별해 제공하고 있다.

이글루시큐리티는 과학기술정보통신부(이하 과기정통부)가 이글루시큐리티, 시큐아이, 윈스 등 국내 보안 기업을 모아 올해 초 완료한 ‘KOSIGN(Korea Open Security Intelligence Global Networks, 코사인)’ 프로젝트에도 참여했다. 해당 프로젝트는 수많은 보안 장비에서 생성되는 보안 이벤트를 자동 수집·분석하고 이를 토대로 위협에 대한 대응 방안을 공유하는 것이 주요 골자다.

프로젝트에 참여한 3사는 각각의 플랫폼을 완성했다. 윈스는 연동된 보안 장비에서 수집된 위협 정보를 분류하고 이에 부합하는 위협 모델 정보를 배포·공유하는 ‘CTI 플랫폼’을, 시큐아이를 비롯한 8개 기업은 엔드포인트 보안 장비의 이벤트·상태 정보를 전달하는 ‘엔드포인트 위협 탐지·대응 플랫폼’을 개발했다.

이글루시큐리티는 양 플랫폼 중간에 위치한 ‘멀티-레이어 시큐리티 인텔리전스(MSI)’를 구축했다. 이기종 보안 장비와 에이전트에서 생성되는 실시간 보안 이벤트를 표준화된 표현(STIX)과 전달 프로토콜(TAXII)을 이용해 수집하고, CTI와 연동된 위협 정보를 STIX·TAXII에 맞춰 생성·변환한 뒤 이기종 보안 장비에 다시 공유하는 역할이다.

또 이글루시큐리티는 기존 침해사고대응팀에서 제공해온 위협 헌팅 기능을 강화해 보안관제 서비스에 접목하고 있다. 정상 수준을 벗어나는 내부 위협을 사전에 도출하고 공격자의 TTP(Tactics, Techniques, Procedure)를 예측하는 반복과정을 통해 공격 생애 주기를 아우르는 가시성을 확보하고 미래 사고 발생 가능성을 낮추는 데 중점을 뒀다.

이글루시큐리티는 공격자의 흔적을 추적하고 제거하는 과정에서 얻은 노하우와 경험을 보안관제 프로세스에 반영하고 있다. 각기 다른 경험과 역량, 전문 지식을 보유한 전문가들이 다양한 시각으로 내부 위협에 대한 가설을 세우고, 이에 기반해 공격자의 TTP를 간파하는 과정을 반복함으로써 잠재적인 위협 요인을 능동적으로 파악하고 있다.

◆AI 보안관제 솔루션 스파이더 TM AI 에디션=이글루시큐리티는 보안 이벤트 및 제어정보 연동 기술을 자사 AI 보안관제 솔루션 스파이더 TM AI 에디션의 주요 기능으로 포함해 제공하고 있다. CTI와 연동된 위협 정보를 침입방지시스템(IPS)와 같은 이기종 보안 솔루션에 공유하고 긴급 상황 시 즉각 제어할 수 있는 형태다.

스파이더 TM AI 에디션은 ▲빅데이터 기반 보안관지 시스템(SIEM) ▲이글루 CTI ▲보안 취약점 자동진단 솔루션 ▲머신러닝 기반 AI 시스템 등이 상호 연계되는 형태로 구성됐다. 이글루 CTI를 통해 축적되는 위협 정보를 AI가 학습해 보안관제 역량을 향상시킨다.

스파이더 TM AI 에디션을 이용할 경우 특정 보안 장비에 공격이 의심될 때 ‘이 장비에 대한 공격 가능성이 있으니 차단하면 좋겠다’는 권고사항이 전달돼 자동적으로 공격 시도를 차단하게 된다.

이글루시큐리티는 AI 위협 탐지 모델에 이글루시큐리티의 보안 탐지 정책(SIEM, Snort 등)과 이글루루시큐리티 CTI를 결합함으로써 위협 탐지에서 대응에 이르는 과정을 단축시키는 데 중점을 둘 계획이다.

<이종현 기자>bell@ddaily.co.kr