보안

글로벌 칼럼 | DRP가 사이버 위협 인텔리전스(CTI)를 완성하는 이유

Jon Oltsik | CSO 2023.04.24
위협 인텔리전스의 핵심 요소는 여전히 침해 지표(Indicator of Compromise, IoC)와 공격자의 TTP(Tactics, Techniques, Processes)이지만, 지난 몇 년간 디지털 트랜스포메이션, 클라우드 컴퓨팅, SaaS 확산 및 원격 근무자 지원 등으로 인해 요구 사항이 많아졌다. 

이런 변화로 인해 사이버 위협 인텔리전스(Cyber Threat Intelligence, CTI)의 하위 범주로 디지털 위험 보호에 중점을 둔 DRP(Digital Risk Protection)가 등장했다. DRP는 “디지털 자산과 관련한 위험을 식별/완화하는 데 사용되는 원격 측정, 분석, 프로세스 및 기술”로 광범위하게 정의된다.
 
ⓒ Getty Images Bank

이달 초 ESG는 CTI 프로그램에 대한 설문조사를 실시했다. 많은 CISO가 CTI 프로그램에 투자하고 있었지만, 해결해야 할 과제는 여전히 존재했다. 이번 조사에서는 CTI의 수명 주기도 살펴봤는데, 3/4(74%)의 기업이 CTI에 수명 주기를 적용했다고 답했으나 하나 또는 여러 단계에서 병목 현상이 있음이 확인됐다.

ESG는 CTI를 “하나 이상의 요구 사항을 충족하는 사이버 공격자의 적대적인 의도에 대한 증거 기반의 실행 가능한 지식”으로 정의한다. 과거에는 이런 정의가 실제로 IoC의 데이터, 평판 목록(예 : 알려진 불량 IP 주소, 웹 도메인, 파일 목록) 및 TTP 세부 정보에도 적용됐다.

DRP의 인텔리전스 부분은 사용자 자격 증명, 민감 데이터, SSL 인증서 또는 모바일 애플리케이션과 같은 항목을 지속적으로 모니터링해 해당 영역과 관련한 일반적인 약점, 해커의 대화 내역 또는 악의적인 활동을 찾는다. 예를 들어, 사기성 웹사이트는 기업의 브랜드를 사용해 사용자를 속이는 피싱 캠페인을 의미할 수 있다. 악성 모바일 앱도 마찬가지다. 다크 웹에서는 유출된 자격 증명이 판매될 수 있고 위협 행위자가 표적 공격에 대한 아이디어를 공유할 수 있다. 

조사 결과, 디지털 트랜스포메이션 이니셔티브의 확산이 CTI 프로그램 도입의 촉매제 역할을 한 것으로 나타났다. CTI 프로그램을 시작한 이유를 묻는 질문에 38%는 “브랜드 평판, 경영진 보호, 딥/다크 웹 모니터링처럼 광범위한 영역에서 디지털 위험을 줄이기 위한 노력의 일환”이라고 답했다. 조사에 따르면, 기업의 98%가 현재 어떤 형태로든 DRP 서비스를 사용하고 있었다. 


가장 핵심적인 DRP 기능 6가지

ESG는 보안 전문가에게 기업에서 가장 중요하게 여기는 DRP 기능을 물었다. 상위 6가지 기능은 다음과 같다. 
 
  • 취약점 악용 인텔리전스 : 취약점 관리 프로그램은 주기적으로 수백 또는 수천 개의 소프트웨어 취약점을 발견하지만, 어떤 취약점을 가장 먼저 해결해야 할지 어떻게 정할 수 있을까? 위협 행위자가 악용하는 취약점이 무엇인지 파악하면 우선 순위를 지정할 수 있다. 이런 작업은 시스코의 케나(Kenna), 이반티(Ivanti), 테너블 같은 위험 기반 취약점 관리 도구로도 수행할 수 있다. 
  • 게시 중단 서비스 : 영국 국립 사이버보안 센터(National Cyber Security Center, NCSC)에 따르면, 게시 중단(Takedown) 서비스는 사이트를 제거하고 공격 인프라를 차단해 이런 공격으로 인한 피해를 제한함으로써 공격자의 투자 수익을 줄이는 것을 목표로 한다. 사기성 피싱 사이트 또는 모바일 애플리케이션이 발견되면 게시를 중단하는 것이 위험을 완화하는 최단 경로다. 
  • 유출 데이터 모니터링 : 내부자 공격, 직원 과실 또는 허술한 행동 등으로 인한 데이터 유출은 흔하게 발생한다. DRP는 유출 데이터가 기업 피해로 이어지기 전에 찾아내는 역할을 한다.
  • 악성 모바일 앱 모니터링 : 사용자의 동의 하에 설치되는 악성 소프트웨어인 ‘그레이웨어(grayware)’는 사용자의 기기를 손상시키거나 기업의 평판을 떨어뜨릴 수 있다. DRP는 합법적인 공간이나 다크 웹의 앱 스토어에서 이런 악성 앱을 찾아 무너뜨린다.
  • 브랜드 보호 : 위조, 저작권 침해, 특허 침해 등에서 기업 관련 브랜드 IP를 보호한다. 피싱 사이트 또는 물리적 제품의 위조품이 관련될 수 있다. DRP 서비스는 인터넷에서 사기꾼과 위조품, 사기성 사이트와 제품을 찾는다.
  • 공격 표면 관리(Attack Surface Management, ASM) : ASM은 공격 표면에 있는 모든 자산을 지속해서 검색, 모니터링, 분석하고 위험을 완화한다. ASM 기능이 DRP 서비스에 포함되는 경우도 있다.

또한 DRP에는 잠재적인 표적 계획에 대한 가십거리를 검색하는 다크 웹 모니터링도 포함될 수 있다. 이런 인텔리전스는 기업이 보호막을 만드는 데 도움이 된다. 많은 기업이 크라우드스트라이크, 사이버식스길(Cybersixgill), 레일라퀘스트(Reliaquest), 래피드 7(Rapid 7), 맨디언트, 프루프포인트, 제로폭스(ZeroFox) 같은 업체의 DRP 서비스를 사용한다. 

형식에 관계없이 DRP는 성숙한 CTI 프로그램의 일부여야 한다. 이 두 영역을 결합하기 전에 CISO는 CTI의 수명 주기를 고려하면서 DRP에 접근해야 한다. DRP 프로그램을 성공적으로 추진하려면 명확한 PIR(Priority Intelligence Requirements), 확실한 분석,  맞춤형 인텔리전스 보고서 및 지속적인 피드백이 필요하다. 

*Jon Oltsik은 ESG 수석 애널리스트다. 
editor@itworld.co.kr
Sponsored
IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.