·Î±×ÇÁ·¹¼Ò, ¾ÆÈ© ¹ø° »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º ¸®Æ÷Æ® ¹ßÇà
½ÇÁ¦ ºÏÇÑ ÇØÄ¿°¡ »ç¿ëÇÑ À̸ÞÀÏ Á¤º¸ ºÐ¼®
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] 2023³â ¿ì¸®³ª¶ó °ø°ø±â°üÀ» ´ë»óÀ¸·Î ÇÑ »çÀ̹ö °ø°ÝÀÌ ÀÏÆò±Õ 162¸¸ °Ç¿¡ ´ÞÇÑ´Ù´Â ±¹°¡Á¤º¸¿øÀÇ ¹ßÇ¥°¡ ÀÖ¾ú´Ù. ÀÌ °¡¿îµ¥ ¾à 80%°¡ ºÏÇÑ¹ß ÇØÅ·À¸·Î ±¸ºÐµÆ´Ù. ºÏÇÑ¿¡ ÀÇÇÑ »çÀ̹ö °ø°ÝÀÌ ºó¹øÇÏ°Ô ¹ß»ýÇÏ´Â °¡¿îµ¥, ºÏÇÑ »çÀ̹ö °ø°ÝÀÚ¸¦ ½Äº°ÇÏ´Â ¹æ¹ý¿¡ ´ëÇÑ Àǹ®ÀÌ ´ëµÎµÇ°í ÀÖ´Ù.
Ŭ¶ó¿ìµå SIEM Àü¹®±â¾÷ ·Î±×ÇÁ·¹¼Ò(´ëÇ¥ ¾çºÀ¿)°¡ ¾ÆÈ© ¹ø° »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI, Cyber Threat Intelligence) ¸®Æ÷Æ®¸¦ ¹ßÇàÇÏ°í, ºÏÇÑ¹ß »çÀ̹ö °ø°Ý »ç·Ê¿Í ½ÇÁ¦ ÇØÄ¿ÀÇ À̸ÞÀÏ Á¤º¸¸¦ ºÐ¼®ÇÑ °á°ú¸¦ °øÀ¯Çß´Ù.
ÇöÀç ºÏÇÑÀº ¾Æ½Ã¾Æ ÅÂÆò¾ç ³×Æ®¿öÅ© Á¤º¸¼¾ÅÍ(APNIC, Asia-Pacific Network Information Centre)¿¡¼ °ø½ÄÀûÀ¸·Î ÇÒ´ç¹ÞÀº IP ´ë¿ª°ú ·¯½Ã¾Æ ¹× Áß±¹ Åë½Å»ç°¡ Á¦°øÇÏ´Â IP ´ë¿ªÀ» »ç¿ë ÁßÀÌ´Ù. ºÏÇÑ¿¡¼µµ ÀÎÅͳÝÀ» ÀÌ¿ëÇÏ°í ÀÖÀ¸³ª, ±ØÈ÷ Á¦ÇÑÀûÀÎ »ç¿ëÀÚ¸¸ ¿ÜºÎ ÀÎÅͳݿ¡ Á¢¼ÓÇÒ ¼ö ÀÖ´Ù.
·Î±×ÇÁ·¹¼Ò´Â Àü ¼¼°è¿¡¼ ¼öÁýÇÑ OSINT(Open Source Intelligence)¸¦ È°¿ëÇØ °ø°ÝÀÚ¿¡ ´ëÇÑ ºÐ¼®À» ½ÃÇàÇß´Ù. °ú°Å Çѱ¹ÀÇ ÁÖ¿ä °ø°ø±â°üÀ» °ø°ÝÇß´ø ¾Ç¼ºÄڵ带 ºÐ¼®ÇÑ °á°ú, »çÀ̹ö °ø°ÝÀÚ°¡ ºÏÇÑ°ú Á÷Á¢ ¿¬°üµÈ ƯÁ¤ À̸ÞÀÏ °èÁ¤°ú IP ´ë¿ªÀ» ÀÌ¿ëÇßÀ½À» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.
¶ÇÇÑ ·Î±×ÇÁ·¹¼Ò´Â ¹Ì±¹ ¿¬¹æ¼ö»ç±¹(FBI)ÀÌ °ø¼ÒÀå¿¡ °ø°³ÇÑ ºÏÇÑ ÇØÄ¿ ¹ÚÁøÇõÀÇ À̸ÞÀÏ ÁÖ¼Ò¸¦ È®º¸ÇØ À̸¦ ºÐ¼®Çß´Ù. ÇØ´ç Á¤º¸¸¦ ±Ù°£À¸·Î ½ÇÁ¦ ºÏÇÑ ÇØÄ¿µéÀÌ »ç¿ëÇß´ø À̸ÞÀÏ °èÁ¤°ú Æнº¿öµå¸¦ È®ÀÎÇßÀ¸¸ç, ºÏÇÑ¿¡ ÇÒ´çµÈ IP ´ë¿ªÀ» ÅëÇØ °ø°ÝÇÑ »ç½ÇÀ» °ø°³Çß´Ù.
°ú°Å¿¡´Â ¾Ç¼ºÄڵ带 ºÐ¼®ÇØ °ø°Ý ±×·ìÀ» Á¶»çÇßÀ¸¸ç, C2 ¼¹ö °ü·Ã °èÁ¤, IP ¹× µµ¸ÞÀÎ µîÀ» È°¿ëÇØ Ãß°¡ °ø°ÝÀ» ¹æ¾îÇß´Ù. ±×·¯³ª ÃÖ±Ù µé¾î °ø°ÝÀÚ°¡ ¾Ç¼ºÄÚµå Á¤º¸¿¡ ´Ù¸¥ »ç¶÷À̳ª Áý´ÜÀÇ Á¤º¸¸¦ »çĪÇÏ´Â À§Àå Àü¼úÀ» »ç¿ëÇϸé¼, °ø°Ý ±×·ìÀ» ƯÁ¤Çϱâ À§Çؼ´Â ´Ù°¢ÀûÀÎ ºÐ¼® ¹æ¹ýÀÌ ÇÊ¿äÇØÁö°í ÀÖ´Ù.
·Î±×ÇÁ·¹¼Ò Àå»ó±Ù ¿¬±¸¼ÒÀåÀº ¡°»çÀ̹ö °ø°ÝÀÌ Ã·¿¹ÈµÇ¸é¼ ÀÌ¿¡ ´ëÀÀÇϱâ À§ÇÑ ºÐ¼® ±â¼ú ¶ÇÇÑ °íµµÈµÇ°í ÀÖ´Ù¡±¸ç, ¡°»çÀ̹ö °ø°Ý°ú °ø°ÝÀÚ Áý´ÜÀ» È¿°úÀûÀ¸·Î ¿¬±¸Çϱâ À§Çؼ´Â OSINT °üÁ¡µµ È°¿ëÇØ¾ß ÇÒ °Í¡±À̶ó°í ÀüÇß´Ù.
À̹ø CTI ¸®Æ÷Æ®¿¡¼´Â ÃÖ±Ù ¹ß»ýÇß´ø ±¹³» ´ëÇб³ÀÇ °³ÀÎÁ¤º¸ À¯Ãâ »ç°í »ç·Ê¸¦ ÇÔ²² ´Ù·ð´Ù. ´ë´Ù¼ö ±â¾÷°ú ±â°üµéÀÌ ´ã´çÀÚ¸¦ ä¿ëÇØ º¸¾È°ü¸® ¾÷¹«¸¦ ¼öÇàÇÏ°í ÀÖÀ½¿¡µµ ºÒ±¸ÇÏ°í Áï°¢ÀûÀÎ Á¶Ä¡°¡ ¾î·Á¿î ÀÌÀ¯¿Í ±âÁ¸ º¸¾È ¼Ö·ç¼ÇÀÇ ÇѰ踦 °³¼±Çϱâ À§ÇÑ ¹æ¾ÈÀ» ÇÔ²² ¼Ò°³Çß´Ù.
·Î±×ÇÁ·¹¼Ò ÃøÀº ¡°±Ù¹« ½Ã°£ ¿Ü¿¡ ÁÖ¸»°ú »õº®, °øÈÞÀÏ µî¿¡ ÀÌ·ç¾îÁö´Â °ø°Ý¿¡µµ È¿°úÀûÀ¸·Î ´ëÀÀÇϱâ À§Çؼ´Â SOAR(Security Orchestration, Automation and Response, º¸¾È¿î¿µÀÚµ¿È) µµÀÔÀ» ÃßõÇÑ´Ù¡±¸ç ¡°º¸¾È ¿î¿µ ¾÷¹«¸¦ ÀÚµ¿ÈÇÏ°í Ç¥ÁØÈÇØ »çÀ̹ö °ø°Ý¿¡ ´ëÀÀÇÏ´Â Æò±Õ ½Ã°£ ¡®MTTR(Mean Time To Respond)¡¯À» ÁÙÀÌ´Â °ÍÀÌ Çٽɡ±À̶ó°í ¼³¸íÇß´Ù.
·Î±×ÇÁ·¹¼Ò´Â °í°´ÀÌ »çÀ̹ö ´ëÀÀ Àü·«À» ¼ö¸³ÇÒ ¼ö ÀÖµµ·Ï ¹ß»ýÇÒ ¼ö ÀÖ´Â À§Çù°ú »ç·Ê¸¦ ºÐ¼®ÇÑ CTI ¸®Æ÷Æ®¸¦ °øÀ¯ÇÏ°í ÀÖ´Ù. ÇØ´ç ¸®Æ÷Æ®´Â ·Î±×ÇÁ·¹¼Ò ȨÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí, ·Î±×ÇÁ·¹¼Ò´Â ÇöÀç ´©Àû ħÇØ ÁöÇ¥(IoC) 640¾ï°Ç ÀÌ»ó, PI(Privacy Intelligence) 2,500¾ï °Ç ÀÌ»óÀÇ CTI Á¤º¸¸¦ º¸À¯ÇÏ°í ÀÖÀ¸¸ç, ½Ç½Ã°£À¸·Î Àü ¼¼°è¸¦ ´ë»óÀ¸·Î º¸¾È À§Çù Á¤º¸¸¦ ¼öÁýÇÏ°í ÃßÀû ÁßÀÌ´Ù. ¶ÇÇÑ ¼öÁýÇÑ Á¤º¸¸¦ ÀÚ»ç SIEM(Security Information and Event Management, ÅëÇÕº¸¾È°üÁ¦) ¹× SOAR¿Í µ¿±âÈÇØ ½Ç½Ã°£À¸·Î È°¿ëÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÑ´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
½ÇÁ¦ ºÏÇÑ ÇØÄ¿°¡ »ç¿ëÇÑ À̸ÞÀÏ Á¤º¸ ºÐ¼®
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] 2023³â ¿ì¸®³ª¶ó °ø°ø±â°üÀ» ´ë»óÀ¸·Î ÇÑ »çÀ̹ö °ø°ÝÀÌ ÀÏÆò±Õ 162¸¸ °Ç¿¡ ´ÞÇÑ´Ù´Â ±¹°¡Á¤º¸¿øÀÇ ¹ßÇ¥°¡ ÀÖ¾ú´Ù. ÀÌ °¡¿îµ¥ ¾à 80%°¡ ºÏÇÑ¹ß ÇØÅ·À¸·Î ±¸ºÐµÆ´Ù. ºÏÇÑ¿¡ ÀÇÇÑ »çÀ̹ö °ø°ÝÀÌ ºó¹øÇÏ°Ô ¹ß»ýÇÏ´Â °¡¿îµ¥, ºÏÇÑ »çÀ̹ö °ø°ÝÀÚ¸¦ ½Äº°ÇÏ´Â ¹æ¹ý¿¡ ´ëÇÑ Àǹ®ÀÌ ´ëµÎµÇ°í ÀÖ´Ù.
¡ã±¹³» °ø°ø±â°üÀ» ´ë»óÀ¸·Î °ø°ÝÀ» °¨ÇàÇÑ À̸ÞÀÏ Á¤º¸[ÀÚ·á=·Î±×ÇÁ·¹¼Ò]
Ŭ¶ó¿ìµå SIEM Àü¹®±â¾÷ ·Î±×ÇÁ·¹¼Ò(´ëÇ¥ ¾çºÀ¿)°¡ ¾ÆÈ© ¹ø° »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º(CTI, Cyber Threat Intelligence) ¸®Æ÷Æ®¸¦ ¹ßÇàÇÏ°í, ºÏÇÑ¹ß »çÀ̹ö °ø°Ý »ç·Ê¿Í ½ÇÁ¦ ÇØÄ¿ÀÇ À̸ÞÀÏ Á¤º¸¸¦ ºÐ¼®ÇÑ °á°ú¸¦ °øÀ¯Çß´Ù.
ÇöÀç ºÏÇÑÀº ¾Æ½Ã¾Æ ÅÂÆò¾ç ³×Æ®¿öÅ© Á¤º¸¼¾ÅÍ(APNIC, Asia-Pacific Network Information Centre)¿¡¼ °ø½ÄÀûÀ¸·Î ÇÒ´ç¹ÞÀº IP ´ë¿ª°ú ·¯½Ã¾Æ ¹× Áß±¹ Åë½Å»ç°¡ Á¦°øÇÏ´Â IP ´ë¿ªÀ» »ç¿ë ÁßÀÌ´Ù. ºÏÇÑ¿¡¼µµ ÀÎÅͳÝÀ» ÀÌ¿ëÇÏ°í ÀÖÀ¸³ª, ±ØÈ÷ Á¦ÇÑÀûÀÎ »ç¿ëÀÚ¸¸ ¿ÜºÎ ÀÎÅͳݿ¡ Á¢¼ÓÇÒ ¼ö ÀÖ´Ù.
·Î±×ÇÁ·¹¼Ò´Â Àü ¼¼°è¿¡¼ ¼öÁýÇÑ OSINT(Open Source Intelligence)¸¦ È°¿ëÇØ °ø°ÝÀÚ¿¡ ´ëÇÑ ºÐ¼®À» ½ÃÇàÇß´Ù. °ú°Å Çѱ¹ÀÇ ÁÖ¿ä °ø°ø±â°üÀ» °ø°ÝÇß´ø ¾Ç¼ºÄڵ带 ºÐ¼®ÇÑ °á°ú, »çÀ̹ö °ø°ÝÀÚ°¡ ºÏÇÑ°ú Á÷Á¢ ¿¬°üµÈ ƯÁ¤ À̸ÞÀÏ °èÁ¤°ú IP ´ë¿ªÀ» ÀÌ¿ëÇßÀ½À» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.
¶ÇÇÑ ·Î±×ÇÁ·¹¼Ò´Â ¹Ì±¹ ¿¬¹æ¼ö»ç±¹(FBI)ÀÌ °ø¼ÒÀå¿¡ °ø°³ÇÑ ºÏÇÑ ÇØÄ¿ ¹ÚÁøÇõÀÇ À̸ÞÀÏ ÁÖ¼Ò¸¦ È®º¸ÇØ À̸¦ ºÐ¼®Çß´Ù. ÇØ´ç Á¤º¸¸¦ ±Ù°£À¸·Î ½ÇÁ¦ ºÏÇÑ ÇØÄ¿µéÀÌ »ç¿ëÇß´ø À̸ÞÀÏ °èÁ¤°ú Æнº¿öµå¸¦ È®ÀÎÇßÀ¸¸ç, ºÏÇÑ¿¡ ÇÒ´çµÈ IP ´ë¿ªÀ» ÅëÇØ °ø°ÝÇÑ »ç½ÇÀ» °ø°³Çß´Ù.
¡ãºÏÇÑ ÇØÄ¿ ¹ÚÁøÇõÀÌ °ø°Ý¿¡ »ç¿ëÇÑ À̸ÞÀÏ Á¤º¸[ÀÚ·á=·Î±×ÇÁ·¹¼Ò]
°ú°Å¿¡´Â ¾Ç¼ºÄڵ带 ºÐ¼®ÇØ °ø°Ý ±×·ìÀ» Á¶»çÇßÀ¸¸ç, C2 ¼¹ö °ü·Ã °èÁ¤, IP ¹× µµ¸ÞÀÎ µîÀ» È°¿ëÇØ Ãß°¡ °ø°ÝÀ» ¹æ¾îÇß´Ù. ±×·¯³ª ÃÖ±Ù µé¾î °ø°ÝÀÚ°¡ ¾Ç¼ºÄÚµå Á¤º¸¿¡ ´Ù¸¥ »ç¶÷À̳ª Áý´ÜÀÇ Á¤º¸¸¦ »çĪÇÏ´Â À§Àå Àü¼úÀ» »ç¿ëÇϸé¼, °ø°Ý ±×·ìÀ» ƯÁ¤Çϱâ À§Çؼ´Â ´Ù°¢ÀûÀÎ ºÐ¼® ¹æ¹ýÀÌ ÇÊ¿äÇØÁö°í ÀÖ´Ù.
·Î±×ÇÁ·¹¼Ò Àå»ó±Ù ¿¬±¸¼ÒÀåÀº ¡°»çÀ̹ö °ø°ÝÀÌ Ã·¿¹ÈµÇ¸é¼ ÀÌ¿¡ ´ëÀÀÇϱâ À§ÇÑ ºÐ¼® ±â¼ú ¶ÇÇÑ °íµµÈµÇ°í ÀÖ´Ù¡±¸ç, ¡°»çÀ̹ö °ø°Ý°ú °ø°ÝÀÚ Áý´ÜÀ» È¿°úÀûÀ¸·Î ¿¬±¸Çϱâ À§Çؼ´Â OSINT °üÁ¡µµ È°¿ëÇØ¾ß ÇÒ °Í¡±À̶ó°í ÀüÇß´Ù.
¡ã·Î±×ÇÁ·¹¼ÒÀÇ ¾ÆÈ© ¹ø° »çÀ̹ö À§Çù ÀÎÅÚ¸®Àü½º ¸®Æ÷Æ® Ç¥Áö[À̹ÌÁö=·Î±×ÇÁ·¹¼Ò]
·Î±×ÇÁ·¹¼Ò ÃøÀº ¡°±Ù¹« ½Ã°£ ¿Ü¿¡ ÁÖ¸»°ú »õº®, °øÈÞÀÏ µî¿¡ ÀÌ·ç¾îÁö´Â °ø°Ý¿¡µµ È¿°úÀûÀ¸·Î ´ëÀÀÇϱâ À§Çؼ´Â SOAR(Security Orchestration, Automation and Response, º¸¾È¿î¿µÀÚµ¿È) µµÀÔÀ» ÃßõÇÑ´Ù¡±¸ç ¡°º¸¾È ¿î¿µ ¾÷¹«¸¦ ÀÚµ¿ÈÇÏ°í Ç¥ÁØÈÇØ »çÀ̹ö °ø°Ý¿¡ ´ëÀÀÇÏ´Â Æò±Õ ½Ã°£ ¡®MTTR(Mean Time To Respond)¡¯À» ÁÙÀÌ´Â °ÍÀÌ Çٽɡ±À̶ó°í ¼³¸íÇß´Ù.
·Î±×ÇÁ·¹¼Ò´Â °í°´ÀÌ »çÀ̹ö ´ëÀÀ Àü·«À» ¼ö¸³ÇÒ ¼ö ÀÖµµ·Ï ¹ß»ýÇÒ ¼ö ÀÖ´Â À§Çù°ú »ç·Ê¸¦ ºÐ¼®ÇÑ CTI ¸®Æ÷Æ®¸¦ °øÀ¯ÇÏ°í ÀÖ´Ù. ÇØ´ç ¸®Æ÷Æ®´Â ·Î±×ÇÁ·¹¼Ò ȨÆäÀÌÁö¿¡¼ È®ÀÎÇÒ ¼ö ÀÖ´Ù.
ÇÑÆí, ·Î±×ÇÁ·¹¼Ò´Â ÇöÀç ´©Àû ħÇØ ÁöÇ¥(IoC) 640¾ï°Ç ÀÌ»ó, PI(Privacy Intelligence) 2,500¾ï °Ç ÀÌ»óÀÇ CTI Á¤º¸¸¦ º¸À¯ÇÏ°í ÀÖÀ¸¸ç, ½Ç½Ã°£À¸·Î Àü ¼¼°è¸¦ ´ë»óÀ¸·Î º¸¾È À§Çù Á¤º¸¸¦ ¼öÁýÇÏ°í ÃßÀû ÁßÀÌ´Ù. ¶ÇÇÑ ¼öÁýÇÑ Á¤º¸¸¦ ÀÚ»ç SIEM(Security Information and Event Management, ÅëÇÕº¸¾È°üÁ¦) ¹× SOAR¿Í µ¿±âÈÇØ ½Ç½Ã°£À¸·Î È°¿ëÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÑ´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>
¹ÚÀºÁÖ±âÀÚ ±â»çº¸±â
[2024-11-25] .jpg)
.jpg)
.jpg)
.jpg)
