Infocyte HUNT, ¾Ç¼ºÄÚµå¿Í Áö´ÉÇü À§Çù¿¡ ÀÇÇÑ °¨¿°¿©ºÎ, Agent ¼³Ä¡¾øÀÌ Áø´Ü
[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] ÀμºÁ¤º¸(´ëÇ¥ ¿øÁ¾À±)´Â À§Çù ÇåÆà ¼Ö·ç¼ÇÀÎ Infocyte HUNT¿¡ ´ëÇØ ±¹³» ÃÑÆÇ °è¾àÀ» ü°áÇß´Ù°í ¹àÇû´Ù.
[À̹ÌÁö=ÀμºÁ¤º¸ ȨÆäÀÌÁö]
°¡Æ®³Ê´Â 2017³â º¸¾ÈÆÀÀÇ ÃÖ¿ì¼± ¼øÀ§·Î ŽÁö ¹× ´ëÀÀ(Detection and Response)À» ²ÅÀ¸¸ç ÇâÈÄ 5³â°£ º¸¾È ½ÃÀåÀ» ¼±µµÇÒ °ÍÀ̶ó°í Àü¸ÁÇÑ ¹Ù ÀÖ´Ù.
¶ÇÇÑ, Threat Hunting Report(2017) µî ÃֽŠº¸¾È°ü·Ã ¿¬±¸¿¡ µû¸£¸é 44%ÀÇ À§ÇùÀº ±âÁ¸ÀÇ ÀÚµ¿ÈµÈ º¸¾È µµ±¸·Î´Â ŽÁöµÇÁö ¾Ê°í ÀÖ´Ù. °ø°ÝÀÚ°¡ ³×Æ®¿öÅ©¿¡¼ ¹ß°ßµÇÁö ¾Ê°í ¸Ó¹«¸¥ ½Ã°£Àº ¾à 6°³¿ùÀ̸ç, 47%ÀÇ ¾Ç¼ºÄÚµå´Â ÀÚüÀûÀ¸·Î ŽÁöÇÏÁö ¸øÇÏ°í ¿ÜºÎ ±â°ü¿¡ ÀÇÇØ Å½ÁöµÆ´Ù.
³×Æ®¿öÅ© °üÁ¡¿¡¼´Â ¡âIDS, IPS µî ³×Æ®¿öÅ© º¸¾È Ç÷§ÆûÀº ¾Ë·ÁÁø °ø°Ý À¯ÀÔ ¶Ç´Â ¾Ç¼ºÄÚµå ¼³Ä¡¸¦ ¹æ¾îÇϴµ¥ À¯¿ëÇÏÁö¸¸ ¾Ë·ÁÁöÁö ¾ÊÀº ¾Ç¼ºÄÚµå À¯ÀÔÀ̳ª ¼³Ä¡¸¦ ¹æ¾îÇÒ ¼ö ¾ø´Ù. »÷µå¹Ú½º, Â÷¼¼´ë ¹æȺ®Àº ¾Ë·ÁÁöÁö ¾ÊÀº ¾Ç¼ºÄÚµå À¯ÀÔÀ» »ó´çºÎºÐ Â÷´ÜÇÒ ¼ö ÀÖÀ¸³ª, ¼±µµ¾÷üÀÇ °æ¿ì¿¡µµ ¾à 80% Á¤µµÀÇ È¿À²¼ºÀ» º¸À̹ǷΠ»ó´çºÎºÐÀÌ ¿ìȸµÈ´Ù.
¿£µåÆ÷ÀÎÆ® °üÁ¡¿¡¼´Â Anti-Xware µî ¿£µåÆ÷ÀÎÆ® º¸È£ Ç÷§ÆûÀº ¾Ë·ÁÁø °ø°Ý À¯ÀÔ ¶Ç´Â ¾Ç¼ºÄÚµå ¼³Ä¡¸¦ ¹æ¾îÇϴµ¥ À¯¿ëÇÏÁö¸¸ ¾Ë·ÁÁöÁö ¾ÊÀº ¾Ç¼ºÄÚµåÀÇ À¯ÀÔÀ̳ª ¼³Ä¡¸¦ ¹æ¾îÇÒ ¼ö ¾ø´Ù.
¿£µåÆ÷ÀÎÆ® ŽÁö ¹× ´ëÀÀÀº ¾îÇø®ÄÉÀÌ¼Ç ÇàÀ§ ¹× IOC¸¦ ±â¹ÝÀ¸·Î ÁøÇàÁßÀÎ °ø°Ý ŽÁöÇϸç, ºòµ¥ÀÌÅÍ Á¶»ç ¹× ´Ù¿î½ºÆ®¸² ħÇØ »ç°í µ¥ÀÌÅÍ ºÐ¼®À» À§ÇÏ¿© À̺¥Æ® ±â·ÏÀ» ¼öÁýÇÑ´Ù. ±âº»ÀûÀ¸·Î »çÀ̹ö ħÀÔ Ã¼Àο¡¼ ¾Ç¼ºÄÚµåÀ¯ÀÔ ¹× ¼³Ä¡¸¦ ¹æ¾îÇϱâ À§ÇÑ ¼Ö·ç¼ÇÀÇ °æ¿ì ¿ìȸµÇ´Â ħÀÔ ´ëÃ¥ÀÌ Ãë¾àÇÏ´Ù.
ÀÌ¿¡ µû¶ó À§Çù ÇåÆÿ¡ ´ëÇÑ °ü½ÉÀÌ ¸ð¾ÆÁö°í ÀÖ´Ù. ÀμºÁ¤º¸ º¸¾È »ç¾÷ºÎ¿¡¼´Â EDR Agent ¼³Ä¡¾øÀÌ Áö´ÉÇü À§Çù¿¡ ÀÇÇÑ °¨¿°¿©ºÎ Áø´ÜÀÌ ÇÊ¿äÇÑ °í°´À» ´ë»óÀ¸·Î Infocyte HUNT¸¦ ¼Ò°³ÇÏ°í ÀÖ´Ù. Infocyte HUNT´Â ¹Ì±¹ °ø±ºÀÇ À§Çù ÇåÆà ÆÀ Ãâ½ÅµéÀÌ Ã¢¾÷ÇÑ È¸»ç·Î¼ ÀÌ¹Ì 10°³±¹ ÀÌ»óÀÇ ¼±Áø±¹¿¡ Áö»ç¸¦ ¼³Ä¡ÇØ ±Û·Î¹ú ¸¶ÄÉÆÃÀ» Àü°³ÇÏ°í ÀÖ´Ù.
À§Çù ÇåÆÃ(Threat Hunting)Àº »çÀ̹ö ħÀÔ Ã¼ÀÎ(Cyber Intrusion Chain)»ó¿¡¼ ÀÌ¹Ì Ä§ÀÔÇÑ À§ÇùÀÌ ÇÇÇظ¦ À¯¹ßÇÏ°Ô Àü¿¡ Àû±ØÀûÀ¸·Î ÃßÀûÇØ Á¦°ÅÇÏ´Â ÇàÀ§¸¦ ÀǹÌÇÑ´Ù.
À§Çù ÇåÆÃÀ̶õ ¿ë¾î´Â 2005³â ¹Ì±¹ °ø±º¿¡¼ »ç¿ëÇßÀ¸¸ç ´Ù¾çÇÑ º¸¾È ¼ö´ÜÀ» »ç¿ëÇÏ´õ¶óµµ ¾Ç¼ºÄÚµå¿Í Áö´ÉÇü À§ÇùÀº º¸¾È ¼ö´ÜÀ» ¿ìȸÇØ Ä§ÀÔÇÒ ¼ö ÀÖ¾î ³»ºÎ ³×Æ®¿öÅ© ÇÇÇØ À¯¹ß Àü ã¾Æ¼ Á¦°ÅÇÏ´Â À§Çù ÇåÆÃÆÀÀÌ ¿î¿µµÆ´Ù. ±âÁ¸ º¸¾È ¼ö´ÜÀ» ¿ìȸÇÑ À§Çù¿¡ ´ëÇÑ ´Éµ¿ÀûÀÌ°í ¹Ýº¹ÀûÀΠŽÁö ¹× ´ëÀÀ(Detection and Response) ÀýÂ÷¸¦ ¼öÇàÇÑ °ÍÀ¸·ÎºÎÅÍ À¯·¡ÇßÀ¸¸ç, 2011³âºÎÅÍ ¹Î°£¼¼°è¿¡¼µµ ÀÌ·¯ÇÑ °³³äÀÌ Á¤ÂøµÇ±â ½ÃÀÛÇß´Ù. 2017³â¿¡´Â º¸¾È ÆÀÀÇ ÃÖ¿ì¼±¼øÀ§·Î ÀÚ¸® Àâ¾Ò´Ù.
Infocyte HUNT´Â ¿£µåÆ÷ÀÎÆ®¿¡ ´ëÇÑ ¾Ç¼ºÄÚµå¿Í Áö´ÉÇü À§Çù¿¡ ÀÇÇÑ °¨¿°¿©ºÎ¸¦ Agent¸¦ ¼³Ä¡ÇÏÁö ¾Ê°íµµ Áø´ÜÇÒ ¼ö ÀÖ´Â À§Çù ÇåÆà µµ±¸´Ù. º¸¾È ÆÀÀÌ ÇÊ¿äÇÑ ½ÃÁ¡¿¡ ÇÊ¿äÇÑ ÁÖ±â·Î ¿£µåÆ÷ÀÎÆ®ÀÇ °¨¿° ¿©ºÎ¸¦ Áø´ÜÇÒ ¼ö ÀÖ´Ù.
³×Æ®¿öÅ© À§Çù ÇåÆÃÀº ¹æȺ®, IPS, »÷µå¹Ú½º ¼Ö·ç¼ÇÀ» ¿ìȸÇÑ ¾Ç¼ºÄÚµå ¹× ¾Ç¼ºÄÚµå ¼³Ä¡ ÀÌÈÄÀÇ ³»ºÎ¸Á À̵¿(Lateral Movement), C&C µîÀÇ °¨¿° ¡Èĸ¦ ŽÁöÇÏ¿© °³¼±ÀÌ ÇÊ¿äÇÑ Á¤È®ÇÑ ¿£µåÆ÷ÀÎÆ® ½Äº° ¹× ħÇØ»ç°í ´ëÀÀ È°µ¿ ¹× ¿öÅ©·Îµå¿¡ ´ëÇÑ ¿ì¼±¼øÀ§¸¦ ±¸ºÐÇÏ´Â µ¥ ÃÊÁ¡ÀÌ ¸ÂÃß¾îÁ® ÀÖ´Ù. À̸¦ À§ÇØ ÀΰøÁö´É ±â¹Ý ¾Ç¼ºÄÚµå ŽÁö, ³×Æ®¿öÅ© ÀÌ»óŽÁö, ¸ðµç Åë½Å ¹× ÆÄÀÏ ´Ù¿î¿¡ ´ëÇÑ ±â·ÏÀ» Á¦°øÇÏ¿© °í¼ÓÀ¸·Î °Ë»ö ¹× Á¶»ç ±â´ÉÀ» Á¦°øÇÑ´Ù.
¿£µåÆ÷ÀÎÆ® À§Çù ÇåÆÃÀº ¿£µåÆ÷ÀÎÆ®¸¦ ¿ìȸÇϰųª ħÇØ ÀÌÈÄ È°µ¿À» Áö¼ÓÀûÀ¸·Î ŽÁöÇØ °³¼±ÀÌ ÇÊ¿äÇÑ ¿£µåÆ÷ÀÎÆ®¸¦ ½Äº°ÇÑ´Ù. »Ó¸¸ ¾Æ´Ï¶ó ħÇØ»ç°í ´ëÀÀ È°µ¿°ú ¿öÅ©·Îµå¿¡ ´ëÇÑ ¿ì¼±¼øÀ§¸¦ ±¸ºÐÇÒ ¼ö ÀÖ´Ù. ƯÈ÷ ¾Ç¼ºÄڵ弳ġ ÀÌÈÄÀÇ ³»ºÎ¸Á À̵¿(Lateral Movement), C&C µîÀÇ °¨¿° ¡Èĸ¦ ã¾Æ³»´Âµ¥ ÃÊÁ¡ÀÌ ¸ÂÃçÁ® ÀÖ´Â Á¡ÀÌ Æ¯Â¡ÀÌ´Ù.
¶ÇÇÑ, Infocyte HUNT¸¦ ÅëÇØ ¿£µåÆ÷ÀÎÆ®¿¡ ´ëÇÑ ¾Ç¼ºÄÚµå °¨¿°¿©ºÎ¸¦ ¿¡ÀÌÀüÆ®(Agent)¸¦ ¼³Ä¡ÇÏÁö ¾Ê°í Áø´ÜÇÑ´Ù. À̸¦ ÅëÇØ Agent ±â¹Ý ¾Ç¼ºÄÚµå ŽÁö ±â¼úÀÇ Agent ¼³Ä¡ µîÀÇ ¹®Á¦Á¡À» º¸¿ÏÇÒ ¼ö ÀÖ´Â µ¿½Ã¿¡ Agent ¼³Ä¡°¡ ºÒ°¡´ÉÇÑ È¯°æ¿¡¼ÀÇ ¿£µåÆ÷ÀÎÆ®ÀÇ ¾Ç¼ºÄÚµå °¨¿° ¿©ºÎ¸¦ Áø´ÜÇÒ ¼ö ÀÖ´Ù.
ÀμºÁ¤º¸ º¸¾È»ç¾÷ºÎÀÇ °½Å¿ø ÀÌ»ç´Â ¡°±âÁ¸ º¸¾È ¼Ö·ç¼ÇÀ» ¿ìȸÇÑ À§ÇùÀ» ã¾Æ³»¾ß ÇÏ´Â ¸ðµç ±â¾÷¿¡°Ô À§Çù ÇåÆÃÀº ±Û·Î¹ú Ãß¼¼¸ç, Infocyte HUNT¸¦ ÅëÇØ ÀÌ·¯ÇÑ À§ÇùÀ» ã¾Æ³»´Âµ¥ µµ¿òÀ» ÁÜÀ¸·Î½á º¸¾È °È¿¡ ¸¹Àº µµ¿òÀÌ µÉ °ÍÀ¸·Î ±â´ëµÈ´Ù¡±°í ÀüÇß´Ù. ¶ÇÇÑ, ¾¾Å¥ºñ½ºÅ¸ÀÇ PacketCYBER¿Í °°Àº ³×Æ®¿öÅ© ±â¹Ý À§Çù ÇåÆà ¼Ö·ç¼Ç°úÀÇ ¿¬µ¿À» ÅëÇØ ºñ¿ëÀý°¨ µîÀÇ ½Ã³ÊÁö È¿°ú¸¦ ³¾ ¼ö ÀÖÀ» °ÍÀ¸·Î ±â´ëÇÏ°í ÀÖ´Ù°í µ¡ºÙ¿´´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>