[인터뷰] 포티가드랩 듀렐 루이스 디렉터 “랜섬웨어 대응의 핵심, 확산 차단과 선제적 훈련이 중요”

2025-05-31

과학 기술

“포티가드랩, 공격자들이 남긴 흔적 분석해 향후 유사 공격 방지할 수 있도록 지원”

데일리시큐는 포티넷 포티가드랩(FortiGuard Labs) 사고 대응 및 보안 자문(FGIR: FortiGuard Incident Response) 총괄 디렉터 듀렐 W. 루이스(Durel W. Lewis)를 포티넷코리아 본사에서 만나 인터뷰를 진행했다.

루이스 디렉터는 디지털 포렌식 및 사고 대응 분야에서 15년 이상의 직접적인 경험을 보유하고 있으며, 다수의 전문 자격증을 취득했다. 포티넷 입사 전에는 미국 정부 기관에서 멀웨어 분석, 사고 대응 업무를 수행했으며 컴퓨터 네트워크 방어팀을 이끌었다. 현재 포티넷에서는 포티가드(FortiGuard) 보안 자문 및 사고 대응팀의 디렉터로 재직하고 있으며, 손익 관리, 마케팅 활동, 서비스 제공, 신규 서비스 개발을 포함한 포티가드 보안 컨설팅 서비스의 모든 측면을 담당하고 있다.

그는 포티넷코리아(대표 조원균)가 지난 27일 서울 롯데월드 호텔 그랜드블룸 홀에서 고객과 사용자 대상 연례 컨퍼런스 '포티넷 액셀러레이트(Accelerate) 2025'를 개최할 때 강연자로 이번에 한국을 방문하게 됐다.

이번 액셀러레이트 행사에서 그는, 중동 중요 국가 인프라에 대한 장기간 침입을 주제로 강연을 진행했다.

강연 주요 내용을 살펴보면, 2024년 11월, FGIR은 중동의 주요 중요 국가 인프(CNI) 네트워크 내 마이크로소프트 익스체인지(Microsoft Exchange) 서버에서 발생한 비정상적인 네트워크 활동을 조사하라는 요청을 받았다. 조사 결과, 최소 2023년 5월부터 진행되어온 장기간의 침입이 발견되었으며, 침해의 흔적은 2021년 5월까지 거슬러 올라갔다. FGIR은 이번 침입의 배후에 이란 국가 지원 위협 그룹이 있다고 높은 신뢰도로 평가했으며, 알려진 이란 위협 그룹인 ‘Lemon Sandstorm’과 연관된 과거 캠페인과 뚜렷한 지표 및 TTP(전술, 기법, 절차) 중복이 확인되었다는 내용이다.

■미국 정부기관 출신 사이버 보안 전문가 출신으로 포티가드 글로벌 대응 총괄 담당

루이스 디렉터는 미국 정부기관에서 사이버 보안 및 디지털 포렌식 업무를 수행하다 포티넷으로 합류한 경력을 가지고 있다. 대학 시절부터 보안 분야에 뜻을 두고 있었으며, 캠퍼스 리크루팅을 계기로 정부기관에서 커리어를 시작했다. 현재는 포티넷 FGIR 팀의 글로벌 총괄로서 디지털 포렌식 및 사고 대응 서비스와 더불어 선제적인 보안 자문을 제공하고 있다.

그는 "의심스러운 보안 사건이 발생했을 때 전 세계 고객사로부터 요청을 받고, 원격 대응을 기본으로 하되 필요시 현장에 직접 나가기도 한다. 포티가드에는 글로벌 애널리스트 팀이 있어 어느 지역에서든 빠르게 사건을 분석하고 대응할 수 있다."고 소개했다.

FGIR 팀의 고유한 역할과 차별성에 대해 루이스 디렉터는 "FGIR 팀은 단순한 사고 대응을 넘어 조직의 보안 역량을 전반적으로 끌어올리는 포괄적인 보안 파트너 역할을 수행한다. 사고가 발생했을 때 침해 지표 분석, 악성코드 조사, 로그 포렌식 등 디지털 포렌식 업무를 신속히 수행해 공격 경로를 파악하고 피해를 최소화하도록 지원한다"고 설명했다.

그는 이어 "또한 사전에 대응력을 갖추는 것이 중요하기 때문에 고객사와 함께 사고 대응 계획을 수립하고, 대응 플레이북을 만들며, 정기적인 테이블탑 훈련을 통해 실제 위협 발생 시 신속하고 효율적으로 대응할 수 있도록 돕고 있다."고 덧붙였다.

보안 평가도 중요한 부분이다. FGIR 팀은 랜섬웨어 대응 역량 평가, AD 보안 상태 점검, SOC 평가 등 고객사 환경에 맞춘 다양한 진단 서비스를 제공하고 있다. 이 모든 접근은 단편적이지 않고, 전 주기를 아우르는 전략적 대응 체계로 연결되어 있다고 강조했다.

■”랜섬웨어 대응의 핵심, 확산 차단과 선제적 훈련이 중요”

루이스 디렉터는 최근 블로그를 통해 공개한 중동 APT 그룹 공격 사례를 소개하며, 이는 랜섬웨어가 아닌 스파이 활동을 목적으로 한 사이버 첩보 사건이라고 밝혔다. 공격자는 '레몬샌드스톰' 또는 '퍼시안 키튼'으로 불리며, 특정 인프라를 겨냥한 정교한 침투를 시도했다.

그는 FGIR 팀이 주로 랜섬웨어 대응 업무를 많이 수행하고 있으며, 대부분 사고 발생 후 지원 요청이 들어오기 때문에 초기 피해를 줄이기 어려운 경우가 많다고 설명했다. 다만 일부 고객의 경우 선제 대응 체계를 갖추고 있어 피해 확산을 최소화할 수 있었다고 말했다.

그의 말에 따르면, 사후 대응 측면에서는 랜섬웨어의 전파를 즉시 차단하고 감염 범위를 축소하는 것이 첫 번째 과제다. 피해 규모, 공격 그룹, 사용된 TTP(기술·전술·절차)에 따라 대응 전략도 달라진다. 포티넷은 고객사의 환경을 신속히 분석한 뒤 공격 확산을 차단하는 절차를 밟는다.

선제 대응 측면에서 포티넷은 사고 대응 계획 수립, 대응 플레이북 작성, 그리고 이를 점검하는 '테이블탑 모의훈련(Tabletop Exercise)'을 제공한다. 또한 취약점 진단, 침투 테스트를 통한 공격면 감소 전략을 고객사에 제공하며, 사고 대응 역량 평가도 병행하고 있다.

■FGIR의 강점: 통합적 기술, 글로벌 경험, 실시간 인텔리전스

그는 또 FGIR의 차별화된 경쟁력에 대해 “포티넷 보안 제품군과의 통합 역량, 전 세계 다양한 산업군에서의 경험, 실시간 위협 인텔리전스를 활용한 분석 능력에 있다. FortiEDR, FortiAnalyzer, FortiSIEM 등과 연동하여 정밀하고 신속한 사고 분석을 수행하며, 포티가드랩에서 제공되는 글로벌 위협 데이터를 적극 활용해 대응 전략을 수립한다”고 강조했다.

그리고 FGIR은 랜섬머니 협상에는 관여하지 않으며, 대신 공격의 침입 경로를 분석하고 보안 위협을 최소화하는 데 집중한다. 또한 공격자들이 남긴 흔적을 분석해 향후 유사 공격을 방지할 수 있도록 지원한다.

또 FGIR은 수집된 인텔리전스를 활용해 의심 IP, 도메인, 인프라 간의 상관관계를 분석한다. 단일 IP를 중심으로 피봇팅 분석을 통해 전체 공격 인프라를 파악하는 방식이다. 이를 통해 공격의 전모를 파악하고 향후 방어 전략에 반영한다.

루이스 디렉터는 고객사들이 다중 인증(MFA), 사용자 대상 피싱 방지 교육, 엔드포인트 보안 업데이트 등을 꾸준히 실행할 것을 강조하며 이를 통해 피해를 최소화할 수 있다고 강조했다. 특히 피싱 메시지를 구분하고 의심 문서를 열지 않도록 하는 교육이 중요하다고 덧붙였다.

이어 최근 공격 동향에 대해, 공격자 그룹들이 피해자 환경에 침입한 뒤 바로 데이터를 탈취하거나, 일정 시간 내 내부 시스템을 탐색한 뒤 정밀하게 공격을 진행하는 등 다양한 패턴을 보이고 있다. TTP가 다른 그룹에 공유되거나 파생그룹이 생겨 추적이 더 어려워지는 경향도 관측된다고 밝혔다.

■ 한국 기업에 조언: 오프라인 백업, 가상환경 보호 중요

한국 기업에 대해 그는 다음과 같은 세 가지를 조언했다.

첫째, 랜섬웨어를 대비한 오프라인 백업 체계 구축. 둘째, 가상화 환경 및 중요 서버에 대한 철저한 보호. 셋째, 사용자 보안 인지도 교육 강화다. 특히 ChatGPT 같은 AI 기술을 이용한 정교한 피싱 공격에 대한 경각심이 필요하다고 지적했다.

또 그는 한국 기업이 보통 연 1~2회의 점검에 의존하는 현실을 언급하며, 내부 보안팀과 외부 보안전문기업의 협업을 통해 상시 점검과 대응 체계를 병행하는 것이 바람직하다고 강조했다.

그는 "내부 SEC 팀은 조직에 밀착해 지속적으로 환경을 모니터링하고, 외부 전문가는 외부 시각과 공격 기술 기반 탐지 능력을 보완한다. 두 팀의 병합이 효과적”이라고 조언했다.

■포티가드랩, 포티넷 제품군에 통합되어 위협 탐지, 차단, 분석 실시간으로 수행 및 핵심 기반 데이터 제공

마지막으로 루이스 디렉터는 포티가드랩의 강점으로 다양한 업종과 지역 경험을 꼽으며, 이를 포티넷 제품군과 위협 인텔리전스에 접목해 강력한 보안 대응 역량을 확보했다고 강조했다.

그는 "사고 대응에서 얻은 교훈을 기반으로 선제 대응 전략을 고객사에 맞춤 제공하고 있다. 한국에서도 사고 대응 인력 충원이 이루어진다면 훨씬 탄력적인 대응이 가능할 것"이라고 덧붙였다.

포티가드랩(FortiGuard Labs)은 포티넷(Fortinet)의 사이버 위협 인텔리전스 부서로, 전 세계 200개 이상 지역에 걸쳐 자동화된 센서와 AI 기반 분석 기술을 활용해 실시간으로 위협 데이터를 수집·분석한다. 포티넷 제품군에 통합되어 위협 탐지, 차단, 분석을 실시간으로 수행하며, FortiAI, FortiEDR, FortiAnalyzer 등 다양한 솔루션에 핵심 기반 데이터를 제공한다.

또 매일 1천억 건 이상의 보안 이벤트를 분석하며, 글로벌 파트너십과 정부 협력을 통해 다층적인 인텔리전스를 확보하고 있다. 이로써 위협에 대한 선제 방어는 물론, 고객 맞춤형 사고 대응과 예방 전략까지 지원하고 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

Menu

Kollo 를 통해 내 지역 속보, 범죄 뉴스, 비즈니스 뉴스, 스포츠 업데이트 및 한국 헤드라인을 휴대폰으로 직접 확인할 수 있습니다.

인기 도시
인기 카테고리