Offcanvas

AI / CSO / 랜섬웨어 / 로봇|자동화 / 보안 / 통신|네트워크

위협을 '헌팅'한다··· '엘리 메'가 보안에 인텔리전스와 AI를 적용하기까지

2020.07.03 Thor Olavsrud  |  CIO
이 모기지 분야의 기술 기업은 랜섬웨어와 같은 APT 공격에 선제적으로 대응하기 위해 위협 인텔리전스, 예측 애널리틱스, AI를 활용하고 있다.

정보 보안 분야에서 공격자에게는 유리한 점이 있다. 이들은 선제적인 공격을 하는 반면 방어 측은 반응적인 것이 일반적이라는 사실이다. 그래서 일부 조직은 선제적 방어를 위해 위협 인텔리전스를 도입해왔다. 이는 데이터를 정밀 조사해 공격이 발생하기 전에 지능형 지속 공격(APT)을 식별하는 보안 관행이다. 

엘리 매(Ellie Mae) 미국 내 모기지 신청의 약 44%를 처리하는 클라우드 기반 플랫폼을 공급한다. 이 회사는 위협 인텔리전스를 한층 진화시켜 예측 애널리틱스를 이용해 ‘위협을 사냥’하고 있다. 

엘리 매의 수석 부사장이자 최고 보안 임원인 셀림 에이시는 “위협 사냥은 본질 상 매우 선제적이다. 공격이 발생할 때까지 기다리지 않는다. 공격이 발생하거나 심지어 악성코드가 알려지기 전에 위협을 탐색하고 순위 설정하고 조사한다”라고 말했다. 

엘리 매는 ‘지능형 지속 공격에 대한 자율적 위협 사냥 프로젝트’를 약 2년 전부터 개발하기 시작했다. 랜섬웨어 같은 위협에 맞서기 위해서였다. 에이시는 랜섬웨어가 어떤 사업체에나 실존적이고 값비싼 위협이라고 말했다. 이 프로젝트에 의해 엘리 매는 CIO 100 어워드를 수상했다. 

2019년 12월, 에미소프트 맬웨어 랩(Emisoft Malware Lab)은 미국 랜섬웨어 실태에 관한 보고서를 발간했다. 보고서에 따르면 미국은 2019년 전례 없는 가혹한 랜섬웨어 공격에 시달렸고, 손해 규모는 75억 달러를 상회했다. 랜섬 지불, 데이터 복구, 포렌식 조사, 매출 상실 등의 비용을 합한 값이다. 

에이시는 “우리 업종과 유사 업종에 가장 큰 위협은 랜섬웨어였다. 랜섬웨어의 영향은 어떤 기업에게든 파괴적이다. SaaS 유형의 회사라면 서비스가 수일 내지 수주가 지체되곤 하는 재난이다”라고 말했다. 
 
Image Credit : Getty Images Bank

랜섬웨어를 선제적으로 차단하기
전통적인 랜섬웨어 보호 기술은 정적 보호이기 때문에 최신의 정교한 랜섬웨어 기술에 대처하는 데 어려움이 있다고 에이시는 말했다. 핵심은 과거의 랜섬웨어 공격을 선제적으로 학습해 새로운 훼손 징후를 이해하고 새로운 우회 기법을 미리 식별하는 것이다. 

엘리 매의 자율 위협 사냥 프로젝트가 바로 이 같은 일을 한다. 이는 위협 인텔리전스, 예측 애널리틱스, AI, 과거에 식별된 IOC를 이용해 기존의 보안 제어 툴을 강화한다.

위협 인텔리전스 프로그램에서 큰 난관의 하나는 막대한 데이터 분량이다. 엘리 매는 처음에는 IOC 관련 데이터를 수동으로 처리하여 통찰을 보안 툴에 공급했다. 그러나 일단 기반이 확립되자 에이시와 그의 팀은 공격적인 자동화 여정을 시작하며 적시에 대응할 수 있는 역량을 확보했다. 

에이시는 “여러 정보원에서 나온 데이터를 취합하는 작업을 자동화했다. 검증을 자동화했고, 또한 보안 부서에게 경보를 발송하는 것도 자동화했다. 우리의 여정에서 커다란 진전이었다”라고 말했다. 

또 하나의 큰 발전은 경영진과 이해관계자로부터 지지를 얻은 것이다. 에이시는 초기부터 상임 경영진, 이사회, 규제기관, 경영 자문 위원회와 두루 교감을 가졌다.

에이시는 “지난 3년 동안 위협 사냥 프로그램을 수없이 검증했다. 이에 관해 수많은 의견이 제시됐다. 우리는 적절히 정의된 계획과 로드맵 상에서 움직이고, 이는 아직 끝나지 않았다”라고 말했다.

여러 대형 트랜스포메이션 프로젝트와 마찬가지로 변화 관리 역시 필수적이었다. 

에이시는 “변화 관리 시각에서 볼 때 우리의 보안 운영 및 엔지니어링 팀은 수많은 영향을 받았다. 여러 기능이 전통적으로 수작업이었고, 보안 애널리스트는 위협 정보를 수집하여 이를 툴에 수작업으로 주입해야 했다. 이를 감안하면서 보안 애널리스트와 엔지니어를 새로운 자율적 방식에 맞춰 교육시켰다”라고 전했다.

에이시에게 있어 변화 관리는 자율 위협 사냥 프로그램이 독립적 툴이 아니라는 점에서 특히 중요했다. 이는 보안 조직이 하는 모든 것, 예를 들어, 취약점 관리 프로그램, 패치 관리 등에 연결되어 있다. 

그는 수작업 위협 헌팅을 제거하면서 보안 엔지니어와 보안 애널리스트에게 여력이 생겼고, 그 결과 정적 모니터링 및 검출만 가능한 몇몇 보안 툴을 제거할 수 있었다고 설명했다. 

또한 프로젝트는 높은 수준의 부서간 협업이 필요했다. 보안 팀은 엔지니어링, 인프라, 클라우드, 품질 보증과 긴밀히 협력하며 랜섬웨어의 영향을 받을 수 있는 모든 중요 자산, 그리고 악성 코드 확산에 악용될 수 있는 네트워크 프로토콜을 규명했다. 또한 비즈니스 영향 분석을 수행해 랜섬웨어의 잠재적 영향을 평가했다. 나아가 법률, 프라이버시, 핵심 고객, 법 집행기관과 공조하여 기술의 자율적 측면이 법적 및 프라이버시 의무에 합치되도록 했다. 

에이시는 이 프로그램에 의해 보안 운영 효율이 30% 정도 증가했고, 위협 조기 식별이 10배 가량 향상되었다고 말했다. 최신 위협의 해결 속도 또한 60% 가량 개선됐다.

에이시는 위협 헌팅 프로그램에 착수하려는 다른 보안 전문가에게 전략적 장기 시각을 갖지라고 조언했다. 

에이시는 “자율 위협 사냥은 단시간에 완성할 수 있는 것이 아니다. 수많은 계획, 사람, 툴 교육이 필요하다. 그리고 명확한 서비스 수준 협약(SLA), 투자, 통합, 자동화도 필요하다”라고 말했다. 

나아가 위협 사냥에 앞서 확고한 위협 인텔리전스 역량을 구축해야 한다고 그는 강조하며, 회사 내의 다른 이해관계자에 맞춰 프로그램을 조율하는 것도 중요하다고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.