“위협 인텔리전스는 선택이 아닌 필수…공격 이후 대응하는 방식은 이제 한계”
사전에 탐지하고, 의미를 해석하고, 자동 대응 체계 갖춘 조직만 미래의 사이버 위협에 살아남아
7월 30일 조선팰리스호텔에서 열린 카스퍼스키-데일리시큐 공동 주최 CISO 조찬세미나에서 카스퍼스키코리아(지사장 이효은) 강민석 이사가 ‘위협 인텔리전스를 이용한 공격의 사전 탐지 및 대응’을 주제로 발표를 진행했다. 이날 세미나에는 국내 주요 기업 및 공공기관의 정보보안책임자(CISO) 60여 명이 참석해 최근 위협 인텔리전스 기술의 발전과 실무 적용 방향에 높은 관심을 보였다.
■APT 공격 트렌드와 공급망 공격
강민석 이사는 먼저 APT(지능형 지속 위협)의 대상이 해마다 변화하고 있으며, 특히 한국처럼 지정학적 이슈가 있는 국가들이 주요 타깃이 되고 있다고 경고했다. 카스퍼스키 글로벌 연구팀(GReAT)이 분석한 2020년부터 2024년까지의 APT 데이터를 기반으로 공격 대상 산업군과 배후 그룹의 변화를 소개하며, “2020년 이후 IT 기업들이 주된 타깃으로 떠오르고 있는데, 이는 공급망 공격의 확대와 깊은 관련이 있다”고 밝혔다.
이어 그는 “과거에는 정부기관, 군사, 국방, 금융기관이 주요 대상이었으나, 최근에는 소프트웨어를 공급하는 IT 기업들이 중소기업까지 포함해 다수 공격받고 있다”며, 국내에서도 매년 실제 침해 사례가 발생하고 있음을 언급했다.
2021년 미국 콜로니얼 파이프라인과 세계 최대 식육 가공업체 JBS에 대한 공격 사례도 언급했다. 그는 “미국 동부 유류 공급의 43%를 담당하던 기업이 공격받아 석유 공급이 끊기고, 고기 가격이 급등한 사건은 사이버 공격이 실물경제에 직접적인 영향을 미칠 수 있음을 보여주는 대표적인 사례”라고 강조했다.
■북한 APT 조직과 공격 의도
강 이사는 북한의 공격 조직에 대해서도 구체적으로 언급하며 참석자들의 관심을 집중시켰다. 그는 “라자루스는 내부적으로 ‘대동강 팀’, 김수키는 ‘모란봉 팀’이라고 부른다. 이들 조직은 조선인민군 정찰총국 또는 보위부 산하로, 금전 탈취와 정치적 목적을 동시에 추구하는 복합적 성격을 지닌다”고 설명했다.
■카스퍼스키 위협 인텔리전스의 차별성…‘맥락 중심’ 정보 제공
카스퍼스키는 전 세계 1억 2천만 사용자로부터 수집한 위협 데이터를 기반으로 정제된 위협 인텔리전스를 제공하고 있다. 해당 데이터는 개인정보를 제외하고 자발적으로 업로드되며, 봇팜, 스팸함정, 허니팟, OSINT, APT 연구팀 등 다양한 채널을 통해 매일 40만 건 이상의 신규 위협이 수집·분석된다.
강 이사는 “정적인 IoC(Indicator of Compromise) 정보만으로는 고도화된 공격을 방어하기 어렵다”며, “카스퍼스키는 단순한 해시값, 도메인, IP 정보 외에도 공격자가 어떤 전술(TTP)을 사용했는지, 어떤 맥락(Context)에서 공격이 이루어졌는지를 함께 제공함으로써 실제 대응에 유용한 정보를 전달한다”고 말했다.
■Cyber Trace와 Sandbox 연계, 실전 대응 구조
이어 그는 실질적인 위협 대응 사례로 ‘카스퍼스키 Cyber Trace’ 플랫폼을 소개했다. 이 플랫폼은 SIEM, SOAR 등 기존 보안 시스템과 연동돼 로그 수집, 이벤트 상관분석, 경고 전파, 자동 차단까지 가능한 연계 구조로 설계되어 있다. 공격자가 C2 서버에 접속하거나 악성 URL에 접근하는 초기 행위를 실시간으로 탐지하고, 방화벽이나 메일서버, 엔드포인트에 자동 차단 정책을 배포함으로써 사전 대응이 가능하다.
또한 샌드박스 및 Threat Attribution Engine과 결합 시, 탐지된 악성 객체가 APT 공격과 연관 있는지 여부를 즉시 분석할 수 있다. 이를 통해 자동 탐지, 대응, 분석, 피드백이 연결되는 선순환 구조를 구현하며, 보안 운영자의 업무 부담을 줄이고 보안의 효율성을 높일 수 있다.
■Threat Attribution Engine…공격자 유전체 분석
카스퍼스키의 핵심 기술 중 하나인 ‘Threat Attribution Engine’은 악성코드의 ‘유전체’를 분석해 과거 APT 샘플과의 유사성을 식별하고 배후 국가 또는 조직을 식별하는 기능을 갖고 있다. 강 이사는 “예전에는 악성코드 분석에 수개월이 걸렸지만, 이제는 수 초 내에 공격자의 특성, 도구, 기법을 매핑할 수 있다”며 “마치 DNA 분석처럼 공격자의 패턴을 빠르게 식별할 수 있는 것이 이 기술의 가장 큰 장점”이라고 설명했다.
또 그는 SIEM 연동 시 반드시 고려해야 할 요소로 '내부 로그의 정규화'와 '외부 피드의 신뢰도'를 꼽았다. “많은 기업들이 데이터를 수집은 하지만, 분석하지 못하는 경우가 많다. 이는 단순히 인력이 부족해서가 아니라, 연계되지 않은 비정형 데이터는 맥락을 제공하지 못해 판단을 흐리기 때문”이라며, “정제된 위협 인텔리전스의 중요성”을 재차 강조했다.
이와 함께 그는 ‘경고 과잉(Alert Fatigue)’ 문제도 지적했다. “시스코 보고서에 따르면 보안 경고 중 약 44%는 분석조차 되지 않는다. 수천 건의 경고 중에서 어떤 것을 우선적으로 대응해야 하는지 판단이 어려우며, 맥락이 없는 경고는 결국 무시된다”고 설명했다.
■위협 인텔리전스의 본질은 ‘전체 흐름 이해’
강 이사는 “위협 인포메이션은 정적인 데이터지만, 인텔리전스는 공격자의 의도, 경로, 도구를 포함한 전체 흐름을 이해할 수 있게 한다”고 설명하며, ‘맥락 중심의 행위 기반 위협 인텔리전스’의 필요성을 강조했다. 그는 이를 통해 단순 탐지와 차단을 넘어 IR(침해사고 대응), 포렌식, 규제 대응, 위협 헌팅까지 가능하다고 덧붙였다.
■카스퍼스키의 9가지 차별화 역량
강 이사는 카스퍼스키 위협 인텔리전스의 차별화 요소를 다음과 같이 정리했다.
△단순 IoC를 넘어 공격 맥락까지 제공하는 ‘정밀 인텔리전스’
△전 세계 1억 2천만 사용자와 전용 봇팜을 통한 방대한 데이터 수집
△하루 40만개 이상의 악성코드 탐지·분석과 2천여 명의 보안 전문가
△폐쇄망에서도 활용 가능한 유연한 아키텍처
△Threat Attribution Engine을 통한 DNA 기반 악성코드 분석
△SIEM, SOAR 등 기존 시스템과의 유연한 연동성
△Cyber Trace 기반 자동 탐지-대응 체계 구축
△위협 헌팅, 규제 대응, 포렌식까지 확장 가능한 활용 범위
△글로벌 기관들과의 협력을 통한 국제 공동대응 역량
■국제 협력과 위협 인텔리전스 신뢰성
카스퍼스키는 자사 위협 인텔리전스를 국제 협력 체계에도 적극 활용하고 있다. 인터폴, EUROPOL, 글로벌 CERT 등과 협력해 다국적 사이버범죄 수사에 참여하고 있으며, 파리콜(Paris Call), 사이버공급망 보호 이니셔티브 등 다양한 다자간 협력체에서도 활동 중이다.
또한 ‘글로벌 투명성 이니셔티브(GTI)’를 통해 스위스 취리히를 포함한 전 세계 11개 지역에 투명성 센터를 운영하며, 악성코드 샘플 분석, 소스코드 열람, 보안 감사 등을 외부 이해관계자에게 공개하고 있다. 강 이사는 “이러한 개방성과 독립성은 카스퍼스키 인텔리전스의 신뢰성을 높이는 핵심 요소”라고 설명했다.
■위협 인텔리전스는 선택이 아닌 필수…공격 이후 대응 방식 이제 한계
끝으로 강민석 이사는 “위협 인텔리전스는 선택이 아닌 필수”라며, “공격 이후 대응하는 방식은 이제 한계에 이르렀다. 사전에 탐지하고, 의미를 해석하고, 자동 대응하는 체계를 갖춘 조직만이 미래의 사이버 위협에 살아남을 수 있다”고 강조했다. 그는 “경고가 아니라 인사이트를 통해 움직여야 하며, 이제는 위협을 사냥(threat hunting)할 수 있는 수준의 선제적 대응이 요구된다”는 말로 발표를 마무리했다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[로터리] 새로운 성장 원천, 산업재산 정보](https://newsimg.sedaily.com/2025/07/31/2GVKCTJ79D_1.jpg)
![[글로벌NOW] 미·중 대립이 빚어내는 ‘새 질서’...예측불허 ‘나비효과’가 여는 기술 패권](https://www.hellot.net/data/photos/20250831/art_17540300952327_918439.jpg?iqs=0.14486415321414203)
