다크트레이스의 Cyber AI Analyst, 랜섬웨어 방어의 첨병

입력 : 2020-12-17 11:39

교육이나 휴무없이 24시간 연중 없이 작동하며, 사고대응 시간 단 몇 분으로 단축

[보안뉴스 원병철 기자] 2017년 워너크라이(WannaCry)와 같은 대규모 랜섬웨어 공격이 시작된 이래로 새로운 랜섬웨어 변종은 계속해서 기업과 개인의 재정적 피해를 초래하고 있다. 특히, 랜섬웨어는 점점 더 자동화되고 정교해지고 있다. 최근 한 유통기업도 본사 서버가 랜섬웨어 조직인 클롭(Clop)으로부터 랜섬웨어 공격을 당해 오프라인 매장 중 절반이 영업을 중단하는 사태가 발생했다. 한 통계에 따르면 랜섬웨어가 세계 경제에 미치는 영향은 2021년까지 약 6조 달러에 이를 전망이다. 이에 대한 해결책은 없을까?


타임게이트의 김경철 전무는 “다크트레이스(Darktrace)의 Cyber ​​AI Analyst를 통해 랜섬웨어의 거의 모든 공격 단계를 자율적으로 조사할 수 있다”면서, “이 AI 기술은 교육이나 휴무 없이 24시간 연중 없이 작동하며, 사고대응 시간을 단 몇 분으로 단축해 분류시간을 최대 92%까지 단축시킴으로써 기업 보안팀의 역량을 강화할 수 있을 것”이라고 말했다.

김경철 전무에 따르면, Darktrace의 AI는 의료기관을 표적으로 하는 메이즈(Maze) 랜섬웨어를 감지한 적이 있으며, 올해 대기업의 피해도 확인됐다. Darktrace는 몇 초 만에 메이즈 공격 라이프 사이클의 모든 단계를 발견했으며, Cyber ​​AI Analyst는 즉시 전체 사건에 대한 자동 조사를 시작해 보안팀의 요약 리포트를 아래와 같이 5가지 발표했다.

1. 초기 감염 벡터는 스피어 피싱이었다. 메이즈는 유행성 테마의 피싱 이메일을 사용해 의료 기관에 자주 전달된다. Darktrace는 또한 모든 Microsoft 365 사용자의 정상적인 동작을 이해하고 피싱을 나타내는 이상징후를 발견하는 AI 기반 이메일 보안 기능을 제공하지만, 이러한 보호 기능이 없는 경우 이메일이 기존 게이트웨이를 통해 전파됐다.

2. 공격자는 연구 및 개발 서브넷 내에서 액세스를 확대하기 위해 네트워크 scanning 및 enumeration을 시작했다. Darktrace의 AI는 관리자 수준의 자격 증명, 비정상적인 RDP 활동 및 여러 Kerberos 인증 시도의 이상행위를 감지했다.

3. Darktrace는 배치 파일이 암호화 프로세스에 사용된 여러 파일 공유에 기록되기 전에 공격자가 도메인 컨트롤러를 업로드하는 것을 감지했다.

4. 감염된 장치는 의심스러운 도메인에 연결되고 TOR 브라우저 번들은 C2 목적으로 다운로드됐다. 그런 다음 R&D 서브넷에서 대량의 민감한 데이터가 희귀한 도메인에 업로드됐다. 이것은 메이즈 랜섬웨어의 전형적인 수법으로, 중요한 파일을 암호화할 뿐만 아니라, 공격자에게 사본을 다시 전송한다는 점에서 ‘이중 위협’으로 간주된다.

5. 독스웨어라고도 하는 이러한 공격 형태는 조직이 몸값 지불을 거부했을 가능성이 있는 경우 공격자에게 레버리지를 제공한다. 예를 들어, 다크웹에서 데이터를 판매하거나 지적 재산을 경쟁자에게 유출하겠다고 위협할 수 있다.

Darktrace 측은 “어떤 보안 업체보다도 빠르게 랜섬웨와 같은 공격의 피해를 방지한다”라고 자신 있게 말하고 있다. 현재 타임게이트와 Darktrace 코리아는 POV(Proof of Value, 가치 증명) 테스트를 진행하고 있다. Darktace POV 솔루션을 구축하면, 곧바로 이상징후를 탐지해낸다. 1개월 정도의 학습 기간을 거치고 나면, 이전 보안 솔루션에서 탐지하지 못했던 위협도 발견하기 때문에 기업 보안담당자들로부터의 반응이 좋으며, 이러한 테스트 결과가 고객사의 프로젝트로 연결되는 경우가 많다고 김경철 전무는 설명했다.

타임게이트 김경철 전무는 “Darktrace의 Cyber ​​AI Analyst는 현재 금융·공공·제조 등 모든 분야에서 사용하고 있으며 앞으로도 AI를 활용하는 곳은 더욱 늘어날 것”이라며, “Darktrace의 Cyber ​​AI Analyst는 망분리를 통해 내부망과 외부망을 분리한 경우에도, AI를 통해 내부망과 외부망에 대한 보안을 한층 더 강화할 수 있다”고 자신했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

원병철기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 3

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...