[K-CTI 2025] 전덕조 씨큐비스타 대표 “탐지 사각지대 여전한 기존 보안…TTP 중심 헌팅 전략 필요” 강조

공격자 TTP 기반 위협 헌팅 전략과 자동화된 차세대 NDR 솔루션 공개

PacketCYBER, 국내 최초 NDR 보안기능확인서 획득…공공조달에도 등록

데일리시큐 주최 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 4월 15일 서울 한국과학기술회관에서 성황리에 개최됐다. 이날 행사에는 공공기관, 금융사, 민간기업 보안 실무자 700여 명 이상이 참석해 최신 위협 인텔리전스와 대응 전략을 공유했다.

이 자리에서 전덕조 씨큐비스타 대표는 ‘네트워크 기반 공격자 TTP 탐지 방안(차세대 NDR 활용 방안)’을 주제로 강연을 진행하며, 기존 보안 도구의 한계를 지적하고, 공격자의 전술(Tactics), 기술(Techniques), 절차(Procedures) 기반 위협 헌팅 전략과 이를 실현할 수 있는 자동화된 차세대 NDR 솔루션에 대해 발표했다.

◆탐지 사각지대 여전한 기존 보안…TTP 중심 헌팅 전략 필요

전 대표는 먼저 현재의 보안 환경이 랜섬웨어, 파일리스 공격, IoT 위협, 암호화된 트래픽 내 위협, 내부자 공격, APT, 클라우드 보안 위협 등 다양한 복합적 위협에 노출돼 있다고 지적했다. 그러나 이러한 위협에도 불구하고 침입방지시스템, 방화벽, 샌드박싱, 포렌식 툴 등 기존 보안 솔루션은 탐지 정책이 지나치게 정적이고 탐지 사각지대가 존재해 오탐 및 미탐 문제를 해결하지 못한다고 밝혔다.

특히 SIEM이나 SOAR는 본질적으로 신뢰하기 어려운 로그 데이터를 기반으로 분석하며, 대량의 경보 속에 실제 위협 탐지는 제대로 이루어지지 않는다는 점에서 한계가 크다고 강조했다. 포렌식 도구 역시 풀 패킷 수집을 기반으로 하기 때문에 분석이 느리고 실시간 위협 대응이 어렵다는 점도 지적했다.

◆자동화된 방어의 한계…20% 미탐 위협 대응에 위협 헌팅 필수

전 대표는 IBM의 연구 결과를 인용해 자동화된 사이버보안 시스템이 전체 위협의 80%만 탐지 가능하며, 나머지 20%는 교묘하게 탐지를 회피하는 고도화된 위협이라고 설명했다. 이들 위협은 종종 수개월 동안 네트워크 내에서 잠복하며, 민감한 정보를 수집하거나 자격증명을 탈취한 후 대규모 유출로 이어질 수 있다고 경고했다.

이러한 위협을 대응하기 위해서는 단순 이벤트 기반 보안관제를 넘어서 공격자의 TTP가 자사 네트워크에 나타나고 있는지를 지속적으로 탐지하는 ‘위협 헌팅(Threat Hunting)’이 반드시 필요하다고 강조했다. 방어자가 TTP를 이해하고 그것을 기반으로 방어체계를 구축할 수 있어야 한다는 것이다.

◆메타데이터 기반 위협 헌팅…MITRE의 한계, NSA 모델의 강점

전 대표는 위협 헌팅을 위한 데이터로 보안 이벤트 로그는 이미 관제에 활용되고 있고 탐지된 위협만을 담고 있기 때문에 적절하지 않으며, 풀 패킷 정보는 저장과 분석 비용이 지나치게 높다고 설명했다. 대신 통신 메타데이터는 대부분의 보안 관련 정보를 포함하고 있으며, 빠른 탐지와 헌팅이 가능해 가장 효율적이라고 밝혔다.

위협 헌팅 프레임워크로 널리 알려진 MITRE ATT&CK 모델은 엔드포인트 중심으로 설계돼 네트워크 관점의 위협 헌팅에는 적합하지 않다고 설명하며, 이에 대한 대안으로 미국 국가안보국(NSA) 산하 TAO가 발표한 해킹 플레이북을 소개했다. 이 모델은 해킹을 총 6단계로 구분하고, 각 단계에서 어떤 형태의 위협이 발생하는지를 분석할 수 있게 한다.

NSA TAO의 해킹 단계는 △초기 정찰(Initial Reconnaissance) △초기 침입(Initial Exploitation) △지속성 확보(Establish Persistence) △공격 도구 설치 △내부망 이동(Move Laterally) △데이터 수집·유출·악용(Collect, Exfiltrate, Exploit)으로 구성된다. 이 중 2단계와 4단계는 악성코드 중심 탐지(FDR), 나머지는 네트워크 이상 행위 탐지(NDR)를 통해 효과적으로 대응할 수 있다고 강조했다.

◆PacketCYBER, TTP 기반 자동화 위협 탐지 솔루션

전 대표는 씨큐비스타가 개발한 차세대 NDR 솔루션 ‘패킷사이버(PacketCYBER)’를 통해 이러한 TTP 기반 위협 탐지를 자동화할 수 있다고 설명했다. PacketCYBER는 미국 NSA TAO의 해킹 6단계를 기반으로 설계된 솔루션으로, 1·3·5·6단계는 NDR, 2·4단계는 FDR 기반 기술로 대응 가능하다.

이 제품은 모든 통신 흐름의 메타데이터를 수집·분석해 위협을 실시간으로 탐지하며, 악성코드 탐지, 통계적 유사도 분석, 킬체인 기반 공격 탐지, 자동 상관 분석 등을 제공한다. 또한 전문 인력 없이도 운영할 수 있는 높은 자동화 수준을 갖추고 있어, 보안 인력이 부족한 조직에서도 안정적인 운영이 가능하다는 점을 강조했다.

◆국내 최초 NDR 보안기능확인서 획득…공공조달에도 등록

PacketCYBER는 소프트웨어 품질인증(GS 인증) 1등급을 획득했으며, 국내 최초로 국가정보원으로부터 네트워크 탐지 및 대응(NDR) 유형에 대해 보안기능확인서를 취득한 바 있다. 현재 조달청 디지털서비스몰에도 등록돼 있으며, 과학기술정보통신부와 KISA가 추진하는 Open XDR 과제에도 참여하고 있다.

전 대표는 "우리는 단지 NDR을 주장하는 것이 아니라, 실제로 객관적으로 검증받은 NDR 솔루션을 제공하고 있다"며, "PacketCYBER는 기존의 정적 보안 한계를 극복하고, 실시간 위협 탐지와 헌팅을 가능하게 하는 진정한 차세대 보안 솔루션"이라고 강조했다.

전덕조 씨큐비스타 대표의 보다 상세한 강연내용은 아래 영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.