안녕하세요,
안랩에서는 8일 안랩 TIP를 출시했다고 발표했습니다. 안랩 티아이피는
- 수집된 데이터로부터 생성한 위협 침해 지표(IoC) 기반 위협 유형, 악성 파일 정보, IP, URL 등 ‘정교한 위협 인텔리전스’
- 사용자가 업로드한 의심 파일/URL에 대해 다차원 행위 분석으로 결과를 제공하는 ‘클라우드 샌드박스 분석’
- 악성코드 분석/취약점/포렌식 결과 보고서, 보안 권고문, 주요 보안 소식(연관 IoC포함) 등 최신 보안 위협에 효과적으로 대응하기 위한 포괄적인 위협 인텔리전스 서비스를 제공한다고 합니다.
안랩 마케팅본부 이상국 상무는 “보안 위협의 양과 종류가 폭증하고 방식도 고도화됨에 따라 위협정보의 중요성은 높아졌으나 현실적인 제약으로 효과적인 활용이 어려웠다”며 “안랩 TIP는 분산돼 있는 위협 정보를 전문적으로 ‘큐레이션’해 실효성 있는 인사이트를 제공할 뿐만 아니라 의심 파일에 대한 행위정보 등 다면적인 인텔리전스를 제공하기 때문에 기업 및 기관 고객들은 안랩 TIP 정보를 활용해 위협에 빠르게 대응할 수 있을 것”이라고 전했다고 합니다.
안랩이 TIP를 출시한 배경
그동안 안랩은 월간 '안', 시큐리티 레터, ASEC 블로그와 리포트, 보안 권고문, 세미나 등 다양한 경로를 통해 사이버 위협 지형이 계속 고도화되고 있음을 강조해왔다. 실제로, 현재의 위협은 단순 해킹부터 타깃화 된 APT(Advanced Persistent Threat)까지 광범위한 형태로 빠르게 진행되고 있다. 그리고 자사 ASEC이 집중 분석해 보고서를 발간한 유통 대기업 A사 클롭 랜섬웨어 감염 사례에서 알 수 있듯, 고도화된 위협은 먼 이야기가 아니라 언제 어디서든 국내 기업에 피해를 입힐 수 있는 중요한 사안이다.
따라서, 기업들은 다양한 위협을 면밀하게 탐지해 효과적으로 대응할 필요가 있다. 한 건의 이상 징후를 놓치는 것만으로도 인프라가 다운되거나 기업의 주요 정보가 유출되는 등의 대형 보안 사고로 이어질 수 있기 때문이다. 다만, 이와 같은 필요성을 인지하고 있음에도 현실적인 제약으로 인해 효과적으로 위협에 대응하는 것이 쉽지 않다.
기업들이 현실적으로 어려움을 겪는 부분은 대표적으로 두 가지를 꼽을 수 있다. 첫 번째는 위협 정보 습득 및 처리에 관한 제약이다. 기존의 위협 정보는 평면적인 위협 데이터가 온라인 상의 다양한 소스로부터 제공되어, 분석과 대응 효율성이 떨어지고 보안 담당자의 주관적 판단에 의존할 수밖에 없었다. 두 번째는 기존 분석법의 한계다. 최근의 공격은 방법이 복잡해지고 경로가 동적화 되어, 정적 분석 결과를 기반으로 만들어지는 전통적인 침해 지표(Indicators of Compromise: IOC)만으로는 빠르게 변화하는 위협을 모두 탐지하고 차단하기 어렵다.
이에 따라, 대량 생산되는 위협 정보들을 큐레이션(Curation) 및 분석하고 행위 정보까지 동적으로 분석해 위협에 효과적으로 대응할 수 있도록 지원하는 위협 인텔리전스 플랫폼의 필요성이 대두되었다.
AhnLab TIP 소개
AhnLab TIP는 안랩의 악성코드 대응 기술력과 노하우를 집약해 차별화된 위협 인텔리전스를 제공한다. 또한, 현재와 미래의 위협에 대한 배경 및 목적을 포괄적으로 분석해 사용자가 위협의 전체적인 '맥락(context)'을 파악할 수 있도록 한다. AhnLab TIP의 위협 인텔리전스는 의사결정자(경영진), 상위 관리자 및 보안 실무자 모두에게 유효한 정보를 전달하며, 기업은 습득한 정보를 바탕으로 합리적인 의사결정을 내리고 미래 보안 전략을 수립할 수 있다.
주요 기능
AhnLab TIP를 통한 정보 식별의 최우선 목적은 허가받지 않은 정보 수집, 취약점을 이용한 보안 통제 무력화 & 우회와 정보 유출 등의 공격 행위에 빠르게 대응하는 것이다. 이를 위해 AhnLab TIP는 다음과 같이 세 가지 주요 기능들을 제공한다. ▲정교한 위협 인텔리전스 공유 ▲클라우드 샌드박스 분석 ▲다양한 위협 콘텐츠 제공
1. 정교한 위협 인텔리전스 공유
AhnLab TIP의 대표 기능 중 하나는 정확한 침해 지표 제공을 통한 위협 정보 분석 최적화다. AhnLab TIP는 수집된 데이터로부터 생성된 침해 지표(IOC)를 기반으로 위협의 URL, 도메인, IP, 해시 등 포괄적인 정보를 제공해 기업이 중요하고 긴급한 위협에 대응할 수 있도록 한다. 또, 기업은 악성코드 분석 정보를 활용해 알려진 악성코드의 실행 흔적을 탐지하고 조직 내부의 추가적인 감염 시스템을 찾을 수 있다. 해당 기능들은 위협 탐지와 대응 간 격차를 좁히는데 기여한다.
AhnLab TIP를 통해 공격자 정보, 악성코드 정보는 물론 경유 및 유포 경로 파악도 가능하다. 악성코드 탐지 결과를 바탕으로 경유지 웹사이트 별 위험도를 측정해 악성코드 대응과 분석 효율성을 제고할 수 있다. 또한, 본 플랫폼은 공격 흐름도와 관련 상세 정보를 제공하고, 위협 종류, 행위 및 공격 단계에 따라 적절한 조치 방안을 제시한다. 이 밖에 별도 API를 제공, 기업 내 서비스 또는 제품과 연계해 실시간 위협 정보 조회도 지원한다.
2. 클라우드 샌드박스 분석
AhnLab TIP의 클라우드 샌드박스 기능은 위협 고도화에 대응하기 위한 핵심 역량이라 할 수 있다. 최근의 악성코드들은 정교한 은닉 기술이 도입되거나 새로운 변종이 출현하는 경우가 많고, 효과적인 탐지 & 대응을 위해서는 기존의 정적 분석뿐 아니라 행위에 대한 동적 분석도 병행되어야 한다.
클라우드 샌드박스는 악성코드를 실제로 실행시켜 분석하는 방법으로, 메모리 덤프 분석과 실제 행위 관찰을 통해 변종에도 빠르게 대응할 수 있다. AhnLab TIP 클라우드 샌드박스는 멀티 OS & 브라우저 환경, 사용 프로그램과 폭 넓은 유형의 파일 대한 분석을 지원하며, 경로별 탐지 현황과 행위별 위협 정보를 사용자 친화적으로 시각화해 제공한다.
3. 다양한 위협 콘텐츠
AhnLab TIP에는 다양한 위협 콘텐츠들이 집약되어 있다. 기본적으로, 사용자가 주기적으로 위협 트렌드를 파악할 수 있도록 지원하는 정기 보고서가 있으며, 특정 이슈에 대한 보안 전문가들의 분석과 대응책을 담은 이슈 보고서도 확인할 수 있다. 앞서 언급한 유통 대기업 A사의 클롭 랜섬웨어 감염 분석 보고서가 이슈 보고서에 해당된다.
이 밖에도, 다각도의 위협 통계와 취약점 정보, 영향 받는 제품, 대응 방안을 담은 보안 권고문과 상시적으로 위협 동향을 확인할 수 있는 ASEC 블로그 및 국내외 주요 보안 뉴스까지 폭 넓은 콘텐츠들을 종류 별로 접할 수 있으며, 그와 관련된 침해 지표도 확인 가능하다.
즐거운 하루 보내세요.
댓글