[PASCON 2024-영상] 카스퍼스키 강민석 이사, 위협 인텔리전스의 핵심 역할 제시

“단순 위협 데이터 제공 넘어, 조직의 기존 보안솔루션에 쉽게 통합되고, 자동화된 탐지 및 대응 체계 구축할 수 있어야”

지난 9월 10일 더케이호텔서울에서 열린 하반기 최대 사이버보안 컨퍼런스 PASCON 2024에서 카스퍼스키 강민석 기술이사는 "Threat Intelligence를 이용한 Threat Hunting"을 주제로 한 강연을 통해 위협 인텔리전스의 중요성을 다시 한번 강조하는 시간을 가졌다.

이번 행사는 데일리시큐가 주최하고 과학기술정보통신부, 개인정보보호위원회, 한국인터넷진흥원, 한국정보보호산업협회가 후원한 하반기 최대 규모의 사이버 보안 컨퍼런스로, 약 1,200명의 정보보호 실무자들이 참석해 높은 관심을 보였다.

◆SOC와 SIEM의 역할, 그리고 진화하는 사이버 보안 과제

강민석 이사는 SOC(Security Operation Center)와 SIEM(Security Information and Event Management)의 역할이 점차 진화하고 있음을 강조했다. SOC는 사이버 상에서 발생하는 이상 현상을 사전에 탐색하고 침해 사고를 대응하는 조직이며, SIEM은 보안 정보 및 이벤트 관리 시스템으로, 조직에 차세대 탐지 및 분석, 대응 방안을 제공하는 핵심 도구다.

그러나 최근의 사이버 보안 환경은 더 복잡해지고 있으며, IIoT(산업용 사물인터넷), 하이브리드 클라우드, 그리고 점차 증가하는 IT 시스템 간의 연결성으로 인해 보안 경고와 이상 징후는 급증하고 있다. 이로 인해 많은 보안 경고들이 우선순위가 매겨지지 않거나 효과적으로 대응되지 못하는 경우가 빈번하다. 실제로 강 이사는 "많은 보안 경고들이 분석되지 않거나 해결되지 않고, 그 결과 조직 내에 아직 발견되지 않은 위협이 존재할 가능성이 높다"고 설명했다.

◆위협 인텔리전스가 제공해야 할 필수 기능들은

이러한 진화하는 보안 과제 속에서, 위협 인텔리전스는 보안 운영에서 필수적인 역할을 해야 한다. 강 이사는 "위협 인텔리전스는 단순히 정보 제공에 그치는 것이 아니라, 구체적인 실행 가능한 인사이트와 맥락을 제공해야 한다"며 위협 인텔리전스가 제공해야 할 주요 기능으로는 해시 피드(HASH Feed), IP 평판 정보, APT IOC(침해 지표) 피드, 악성 URL 피드, 패시브 DNS(pDNS) 피드, 그리고 취약점 피드 등을 제시했다.

이외에도 위협 인텔리전스는 SIEM, SOAR와의 통합을 통해 더 강력한 보안 체계를 구축할 수 있어야 한다. 이러한 연동을 통해 조직은 다양한 위협을 실시간으로 탐지하고, 보안 사고에 대한 대응 시간을 단축할 수 있다. 강 이사는 "단순한 위협 데이터 제공을 넘어, 위협 인텔리전스는 조직의 기존 보안 솔루션에 쉽게 통합되고, 자동화된 탐지 및 대응 체계를 구축할 수 있어야 한다"고 설명했다.

◆카스퍼스키 위협 인텔리전스 플랫폼과 SOAR, SIEM 연동

카스퍼스키의 위협 인텔리전스 플랫폼은 SOAR(Security Orchestration, Automation, and Response) 및 SIEM과 완벽하게 연동되어 조직의 보안 체계를 한층 강화할 수 있다. SIEM은 보안 장비에서 수집된 데이터를 분석하고 경고를 생성하는 역할을 담당하지만, 수많은 경고와 로그를 처리하는 데 한계가 있다. 여기서 SOAR는 경고의 우선순위를 매기고, 자동화된 대응 조치를 통해 인력 자원의 부담을 줄인다.

카스퍼스키 위협 인텔리전스는 이러한 SIEM과 SOAR 시스템에 통합되어 다음과 같은 보안 강화 시너지를 낸다:

-실시간 위협 탐지: SIEM이 수집한 로그 데이터를 바탕으로 위협 인텔리전스를 활용해 더욱 정교한 위협 분석이 가능하다.

-자동화된 대응: SOAR 시스템과 연동되어 탐지된 위협에 대해 즉각적인 자동 대응을 수행한다. 예를 들어, 악성 URL이 탐지되면 해당 URL을 자동으로 차단하는 정책이 방화벽이나 IPS에 적용된다.

-전후 맥락 분석: 단순한 경고 수준을 넘어서 위협의 전후 맥락을 분석하고 공격자의 목표, 방법 등을 파악하여 더욱 심도 깊은 대응이 가능해진다.

◆카스퍼스키 위협 인텔리전스 정보의 글로벌 역량

카스퍼스키의 위협 인텔리전스 서비스는 전 세계 1억 2천만 개 이상의 센서를 기반으로 풍부한 위협 데이터를 실시간으로 수집한다. 이 센서 네트워크는 다양한 경로에서 정보를 수집하며, 여기에는 카스퍼스키의 글로벌 사용자, 웹 크롤러, 스팸 함정, 그리고 APT(지능형 지속 공격) 연구팀이 포함된다. 또한 파트너 네트워크 및 OSINT(Open Source Intelligence)를 통해 공개된 정보도 수집해 위협에 대한 종합적인 인텔리전스를 구축한다.

이러한 데이터를 통해 카스퍼스키는 악성코드 탐지, APT 공격 분석, 그리고 다단계 킬 체인 구축 등을 수행하며, SIEM 및 SOAR와의 연동을 통해 조직의 보안 체계를 더욱 강화한다. 강민석 이사는 "카스퍼스키의 위협 인텔리전스는 글로벌하게 가장 폭넓은 커버리지를 가지고 있으며, 풍부한 전후 맥락 정보를 통해 즉각적인 위협 탐지 및 대응이 가능하다. 이러한 정보를 제공할 수 있는 보안 기업은 카스퍼스키가 유일할 것"이라고 강조했다.

◆위협 인텔리전스의 중요성

이번 강연을 통해 강민석 이사는 위협 인텔리전스가 현재 사이버 보안 체계에서 필수적이라는 점을 강조했다. 진화하는 위협 환경에서 SOC와 SIEM만으로는 모든 위협에 대응하기 어렵고, 위협 인텔리전스를 통해 조직이 직면한 위협을 선제적으로 파악하고 그에 맞는 대응 체계를 구축할 수 있다는 것이다. 카스퍼스키의 위협 인텔리전스는 이러한 역할을 수행하는 데 있어 강력한 도구임을 다시 한번 강조했다.

강 이사는 "위협 인텔리전스는 단순한 정보 제공이 아닌, 구체적이고 실시간으로 적용 가능한 인사이트를 제공해야 하며, 이를 통해 조직의 보안 대응 능력을 강화할 수 있어야 한다"고 전했다.

강연 현장에서 강 이사는 실제 위협 헌팅과 관련한 데모시연을 선보였다. 보다 상세한 강연과 데모 시연 영상은 아래 강연영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.