SK인포섹은 기업, 보안전문업체, 정부 협력으로 위협 인텔리전스 기반 탐지대응체계 전환이 필요하다고 설명했다. 이재우 SK인포섹 그룹장은 지난해 국내에서 발생한 주요 보안사고 사례를 중심으로 위협 인텔리전스를 활용해 공격자를 프로파일링하는 방법과 분석 결과를 발표했다.
프로파일링은 여러 공격자 그룹을 해킹 목적, 타깃 식별 등으로 연관성을 분석한다. 보안위협은 공격자 그룹에 따라 대응체계가 달라져야 한다. 북한공격으로 판별됐을 때는 대응위험도를 높이는 것이 일반적이다. 공격자 성향에 따라 서버 해킹, 엔드포인트 해킹 등 다양한 형태로 보안위협이 발생하기 때문에 대응방법 자체가 다르다. 타깃 성향파악이 무엇보다 중요한 이유다.
이 그룹장은 “공격형태, IP, 개발 코드 등을 바탕으로 프로파일링해 70% 이상 비슷한 형태를 보이면 같은 공격자로 판단한다”고 말했다.
이 그룹장은 지난해 발생한 4건의 보안사고를 분석했다. 이들 사고는 프로파일링기업으로 분석 전 악성코드 배포 방법이 달라 서로 연관성이 없어보였다. 그러나 해당 기법을 적용해 해시값, 코드성향, URL 등에서 유사점을 보여 3개 사건을 동일 공격자로 분류했다.
공격자는 빠르게 진화하지만 악성코드 대응체계는 여전히 과거에 머물러 있다. 대부분 기업이 악성코드 감염 시 해결법은 운용체계 포맷으로 끝낸다. 하지만 중앙관리 서버가 악성코드에 감염되면 포맷된 PC는 다시 악성코드에 감염된다.
서로 정보를 공유하는 위협 인텔리전스 기반 탐지대응체계 전환이 필요하다.
이 그룹장은 “향후 공격은 원인파악과 탐지가 더 어려워 질 것”이라면서 “기업, 보안전문업체, 정부 협력 등 데이터를 주고받고 능동적으로 대응할 수 있는 체계를 만드는 것이 중요하다”고 덧붙였다.
정영일기자 jung01@etnews.com