다크웹·딥웹, 텔레그램, SNS 등 사이버 범죄자는 익명성 및 추적 회피 위한 기술 이용
국내 기업 보안 담당자, 다크웹 모니터링 필요하지만 접근 방법이나 해킹 우려로 어려움 겪어
OSINT 기반 위협 인텔리전스로 다크웹 통한 정보 유출 인지하고 피해 확산 예방할 수 있어
OSINT 기반 위협 인텔리전스 전문업체 레코디드퓨처와 쿤텍의 특화 솔루션 집중해부
[보안뉴스 이상우 기자] 디지털로 된 정보는 종이 등에 기록된 문서와 달리, 더 많은 사람에게 아주 빠르게 전달할 수 있다. 데이터를 공유하거나 판매하고 싶은 사람이 공개된 웹 공간에 이를 게시하면, 데이터를 필요로 하는 사람은 검색을 통해 이에 접근해 즉시 자료를 내려 받거나 구매하는 것이 가능하다. 이렇게 유통되는 정보 중에는 사용자에게 유익하고 필요한 정보도 있겠지만, 유해하고 불법적인 정보 역시 존재할 수 있다.
[이미지=utoimage]
개인정보보호위원회와 과학기술정보통신부는 지난 2020년 12월, 해킹 등으로 유출된 개인정보를 공유하는 해외 웹사이트를 조사하고, 여기서 유포되는 불법 개인정보 데이터베이스를 확보한 바 있다. 해당 데이터베이스를 분석한 결과 국내 중소규모 민간 및 공공 웹사이트 1,362곳에서 이용할 수 있는 이메일 주소, 암호 등의 계정정보가 2,346만 건이 포함돼 있었다.
암호화되지 않은 평문 상태의 아이디와 비밀번호가 노출될 경우 이를 입수한 사이버 공격자는 여러 다른 서비스에 동일한 정보를 입력해보는 ‘크리덴셜 스터핑(Credential stuffing)’ 공격을 시도할 수 있다. 실제로 한국인터넷진흥원이 실시한 설문조사 결과에 따르면 응답자의 26.5%가 업무계정과 개인계정에 동일 아이디를 사용하며, 18.9%가 비밀번호까지 동일하게 설정한다고 응답했다. 즉, 기존에 유출된 계정정보를 입수한 공격자는 다른 서비스는 물론, 기업 업무용 시스템까지 접근을 시도할 가능성도 있다.
이처럼 유출된 정보를 입수한 공격자는 다양한 형태로 유출 정보를 활용할 수 있다. 앞서 언급한 크리덴셜 스터핑 공격은 물론, 아이디를 통해 생년월일 등을 유추한 뒤 정교한 스피어 피싱 공격을 시도할 수도 있다. 특히, 크리덴셜 스터핑이 성공했을 경우 유출될 수 있는 정보는 더욱 많아진다. 개인이 백업해둔 사진이나 신분증 사본 등은 물론, 업무와 관련한 각종 정보까지 공격당할 수 있다. 뚫린 계정 하나로 인한 피해가 마치 ‘바이러스’처럼 확산되는 셈이다. 이러한 이유에서 다크웹 블랙마켓 등지에서는 계정 정보는 물론, 사용자 계좌정보, 이메일, 주소, 휴대전화 번호, 주민등록번호 등이 포함된 각종 정보가 거래되거나 공개되는 경우가 많다.
다크웹을 넘어 표면웹, 소셜 미디어에서도 유포되는 불법 정보
2021년 4월 4일, 글로벌 소셜 미디어 서비스 ‘페이스북’에서 유출된 개인정보 약 5억 3,300만 건이 다크웹 포럼에 무료로 공개됐으며, 이 가운데 한국인 정보도 12만 건이 포함된 것으로 나타났다. 이에 대해 페이스북은 ‘과거 유출된 정보이며 2019년 8월에 해당 보안 취약점을 수정했다’고 입장을 발표했다. 하지만, 과거에 유출된 정보라도 현재까지 유효할 수 있는 정보가 포함돼 있을 수 있고, 유효한 정보는 사이버 공격자가 악용하는 것 역시 가능하다. 즉, 한 번 유출사고가 발생하면 쉽게 되돌리기 어렵다는 의미다.
▲유출된 계정 정보를 통해 크리덴셜 스터핑을 시도한다[자료=리니어리티]
다크웹을 통해 유출되는 것은 비단 개인정보뿐만 아니다. 지난 3월에도 사이버 공격 조직인 도플페이머(DoppelPaymer)는 글로벌 자동차 제조사를 대상으로 랜섬웨어 공격을 펼쳤으며, 공격 과정에서 이메일 백업 파일 등 내부 정보를 유출했다. 이들은 유출한 정보를 조금씩 다크웹에 공개하면서 피해자를 협상 테이블에 앉히려 했으나, 뜻대로 풀리지 않자 ‘이 회사는 비밀 누출을 결정했으며, 돈을 지불할 시간을 넘겼다’는 게시물과 함께 9GB 분량의 유출 데이터를 공개한 바 있다. 다크웹에서 해당 게시물 조회 수는 수만 건에 이르며, 중요한 정보가 포함돼 있다면, 이를 악용한 2차 피해까지 우려할 수 있는 상황이다.
정보유출뿐만 아니라 불법적인 물건이나 콘텐츠에 대한 거래 역시 일어난다. 마약이나 불법 무기 등을 거래하는 게시물은 물론, 불법 촬영물이나 아동 성 착취물 등 반인륜적인 음란물 까지 다크웹을 통해 유통되는 상황이다. 특정인을 추적하기 어려운 소셜 미디어 익명 계정이나 텔레그램, 위커처럼 상대적으로 추적이 어려운 메신저 등을 이용해 이러한 불법 콘텐츠 및 물품 거래가 이뤄지기도 한다. 실제로 전 국민의 공분을 산 ‘n번방’ 사건이나 ‘박사방’ 사건 등에서도 이러한 익명 소셜 미디어를 통해 조직적인 범죄가 일어났다.
뿐만 아니라 ‘바티칸 킹덤’이라는 이름의 국내 마약유통조직 총책은 필리핀에서 밀반입한 마약을 텔레그램을 통해 유통한 것으로 알려졌다. 트위터 등 익명 계정을 생성할 수 있는 소셜 미디어에서도 자신의 신체 부위를 노출한 사진·동영상을 게시하거나 타인에게 다이렉트 메시지(DM)로 전송하는 등의 성범죄 역시 이어지고 있으며, 불법 음란물을 공유하거나 이를 통해 사용자를 모은 뒤 성매매를 알선하는 등 익명성 뒤에 숨은 범죄는 끊이지 않는 상황이다.
익명성에 숨은 범죄자, 끝까지 추적하는 OSINT
범죄자들은 이처럼 자신을 숨길 수 있는 익명 채널을 이용하거나 접속 및 탐지가 어려운 다크웹 등을 통해 활동하면서 수사기관 등의 추적을 회피하려 한다.
사이버 위협 인텔리전스 솔루션을 제공하는 레코디드퓨처는 “다크웹이나 텔레그램 등은 비공개 채널로, 사이버 범죄 활동을 모니터링하는 것에 어려운 부분이 있으며, 추적·감시가 이뤄지더라도 익명성을 보장할 수 있기 때문에 사이버 범죄자의 지속적인 활용이 증가하고 있는 추세”라고 설명했다.
레코디드퓨처의 국내 파트너사인 리니어리티는 “다크웹, 텔레그램, 가상화폐 등 사이버 범죄자들이 사용하는 기술은 모두 본인의 신분을 은닉하는 기술이다. 다크웹의 경우 암호화 및 프록시 기술을 이용해 추적을 회피하며, 텔레그램은 테러를 제외한 대부분의 경우에 수사협조를 하지 않는 것으로 유명하다”고 말했다.
▲다크웹에서 계정 정보를 거래한다는 게시물[자료=리니어리티]
OSINT 분석 서비스를 제공하는 쿤텍은 “다크웹이나 텔레그램은 고도의 익명성이 보장되기 때문에 일반적으로 쉽게 접근할 수 없는 마약, 총기, 성 관련 영상 등을 배포하고 거래하더라도 범죄 수사의 추적을 피하기 쉽다. 특히, 다크웹은 수요자와 공급자의 원활한 소통이 어려운 부분도 있어 ‘리코쳇(RICOCHET)’ 등의 익명 채팅 프로그램을 사용하고 있으며, 텔레그램을 범죄에 이용하는 경우 ‘대포폰’으로 계정을 생성하는 경우도 있어 추적이 어려운 것이 현실”이라고 말했다
다크웹 인텔리전스 전문기업 S2W LAB은 “다크웹을 이용하는 가장 큰 이유는 익명성이 유지되는 공간이기 때문이다. 간혹 실제 범죄자들이 잡히는 경우도 있지만 이는 전체 다크웹이나 텔레그램 등에서 활동하는 범죄자들의 수에 비해 매우 적은 수”라고 말했다.
이처럼 익명 공간에서 발생하는 범죄를 탐지하고 추적하기 위해서 OSINT(공개출처정보, Open Source INTelligence)의 필요성 역시 커지고 있다. OSINT란 공개된 출처로부터 정보를 모으고 이를 분석해 정보를 얻는 첩보 수집방법 중 하나다. 과거 신문이나 논문 등을 통해 주로 정보를 수집한 것과 비교해, 인터넷이 발달한 오늘날 OSINT는 소셜 미디어, 온라인 커뮤니티, 인터넷 뉴스 등 표면웹 뿐만 아니라 딥웹, 다크웹 등 다양한 공개출처에서 정보를 수집한다.
‘공개출처’를 이용하기 때문에 정보를 얻기 가장 쉬운 경로지만, 실제 웹에 퍼져 있는 방대한 정보에서 정확하고 유의미한 내용을 찾아내고, 익명성 뒤에 숨은 범죄자의 신원을 추적하는 일은 기술과 노하우 없이는 아주 많은 시간과 노력이 요구된다. 특히, 다크웹처럼 공개출처로 활용할 수 있으나 표면웹과 달리 접근이 어려운 공간을 모니터링하고 필요한 정보를 수집하는 것은 일반인에게는 사실상 불가능에 가까운 일이다.
정보유출 사고 인지 및 대응 위해 다크웹 모니터링 필요... 그런데 어떻게?
<시큐리티월드>와 <보안뉴스>가 국내 기업·기관의 보안 담당자를 대상으로 실시한 설문조사 결과 응답자의 과반 이상이 다크웹을 직접 모니터링해야 한다고 생각하고 있으며, 그 이유로는 ‘정보유출 사고 인지 및 대응’이 가장 높았다. 하지만, 다크웹 모니터링 시 애로사항으로는 ‘접속 및 정보탐색의 어려움’이라고 응답한 사용자가 많아, 실제 모니터링에는 어려움을 겪고 있는 것으로 보인다.
▲다크웹 접속 경험 및 모니터링 필요성에 관한 설문[자료=보안뉴스]
이번 설문조사에는 중견·중소기업(46.4%), 대기업(20.4%), 공공기관·공기업(20.2%), 연구소·교육기관(5.5%), 지방자치단체(3.2%), 기타(4.2%) 등이 참여했다. 모니터링 등을 위해 다크웹 접속 경험이 있는지 묻는 질문에 37.8%는 직접 접속해본 경험이 있다고 밝혔다.
다크웹 모니터링 필요성에 대해 묻는 질문에 대해서는 ‘직접 모니터링해야 한다’고 응답한 사람이 65%로 가장 많았으며, 수사기관이 할 일이다(31.3%), 모니터링하지 않아도 된다(3.8%) 등이 뒤를 이어 대다수가 모니터링 필요성을 느끼는 것으로 나타났다. 모니터링의 목적으로는 ‘정보유출 사고 인지 및 대응’이 66.6%로 가장 많았으며, ‘사이버 공격 및 범죄 동향 파악(28.4%)’이 뒤를 이었다. 이밖에 ‘경쟁사 정보를 얻기 위해서(2.8%)’, 기타(2.2%) 등이다.
▲모니터링 목적과 모니터링 시 겪는 어려움에 관한 설문[자료=보안뉴스]
모니터링 과정에서 겪는 어려움으로는 ‘접속 및 정보 탐색의 어려움’이 61.2%로 가장 많았다. 다크웹은 표면웹과 달리 Tor(토르 혹은 토어) 브라우저 같은 특별한 도구가 필요하며, 암호화 및 프록시 등의 기술 역시 필요하다. 게다가 구글, 네이버 같은 검색엔진 서비스도 제대로 구현되지 않아 아무런 정보가 없는 일반 사용자 및 보안 담당자 입장에서는 쉽게 접근하기 어려운 것이 현실이다. 이밖에 어려움으로는 해킹 등 공격 노출 우려(26%), 각종 유해정보에 대한 거부감(9.8%), 부정적인 사회적 인식(3%) 순으로 나타났다.
기업이나 기관에서 내부정보가 다크웹 등에 유출된 사실을 인지했다면 어떤 정보가 어떤 방식으로 유출됐고, 얼마나 퍼져 나갔는지 빠르게 인지해야 피해 확산을 줄이고 2차 피해를 예방할 수 있다. 그렇다면 다크웹에 내부정보 유출 사실을 어떠한 방식으로든 인지했다면, 피해자는 이에 대해 어떻게 자세한 정보를 얻을까? ‘수사기관을 통해 정보를 확인해야 한다’고 응답한 사람이 47.5%로 가장 많았으며, 보안 기업 서비스 이용(32%), 직접 다크웹에 접속(11.3%), 내부 보안 매뉴얼에 따라 대응(0.9%) 순으로 나타났고, ‘잘 모르겠다’고 응답한 사람 역시 8.3%를 차지했다.
▲정보유출 인지 시 대응 방법과 OSINT 서비스 인식에 관한 설문[자료=보안뉴스]
OSINT 서비스는 이처럼 다크웹, 표면웹 등을 통해 발생하는 정보 유출이나 범죄에 대해 모니터링 및 위협 인텔리전스를 제공하는 보안 서비스다. 하지만 이번 설문조사에서 OSINT 서비스에 대한 인식은 그리 높지 않은 것으로 나타났다. 응답자 중 73.7%는 OSINT 서비스에 대해 ‘모른다’고 응답했으며, ‘알고 있다’는 응답은 26.3%에 불과했다.
만약 향후에 OSINT 서비스를 이용하게 된다면 ‘정보자산 유출 인지 및 대응’을 목적으로 이용하고 싶다는 응답이 81%로 가장 많은 만큼, 인지도와 비교해 서비스에 대한 수요는 존재하는 것으로 볼 수 있다. 이밖에 서비스를 이용하게 된다면 그 목적으로는 공격자 및 범죄자 추적(14.8%), 브랜드 평판 관리(3.7%), 기타(0.5%) 순으로 나타났다.
▲OSINT 서비스 이용 시 목적과 적절하다고 생각하는 월간 비용[자료=보안뉴스]
다만, OSINT 서비스를 이용하는 비용으로는 월 10만 원 이하라고 응답한 사람이 36%, 11~50만 원이라는 응답이 24.7%, 51~100만 원 사이가 17.4%로 나타나는 등 서비스의 중요성에 대한 인식과 비교해 투자비용에 대한 비중은 그리 높지 않은 것으로 보인다(101~500만 원 10.1%, 500만 원 초과 5.3% 등).
다크웹 전문가는 개인이 직접 다크웹을 모니터링하는 것을 어떻게 생각할까?
앞서 설문조사에서 나타났듯 개인이나 기업·기관이 다크웹 등에 직접 접근해 정보를 찾고 필요한 정보를 분석해 위협에 대응하기에는 많은 어려움이 따른다. 그렇다면 실제 OSINT 전문가들은 일반인이 다크웹을 탐색하는 것에 대해 어떻게 생각하고 있을까?
레코디드퓨처는 “다크웹이나 포럼에 접근해서 특정 정보를 취득하기 위해서는 기존 멤버로부터의 초대 메일, 별도 요금(추가 상세 정보를 보기 위해 매월 일정 금액을 비트코인으로 지불) 및 활동 레벨(‘읽기’ 권한을 획득하기 위해서는 n개 이상의 포스팅 필요) 등을 요구한다. 따라서 지속적으로 비공개 채널이 증가하는 상황에서 개인·기업이 직접 일정 수준 이상의 권한을 유지하기에는 많은 제약이 있다”고 답했다.
리니어리티는 “정보출처(포럼 및 다크웹 사이트 등)가 빈약하면 많은 정보가 누락되기 때문에, 얼마나 많은 정보출처를 모니터링 할 것인지는 매우 중요하다. 세상에는 수천 개 이상의 정보출처가 존재하며, 비용 및 자원 등을 고려했을 때 개인이 의미가 있는 수준으로 데이터를 확보하는 것은 어렵다”며, “특히, 의미 있는 정보가 공유되는 포럼들은 비공개로 운영되는 경우가 많다. 가령, 익스플로잇 포럼의 가입 기준으로는 1년 이상의 활동 또는 관련자의 추천을 요구한다. 이렇듯 폐쇄적인 운영방식 또한 모니터링 활동의 장애물이 된다”고 덧붙였다.
쿤텍은 모니터링 과정에서 발생할 수 있는 사이버 공격을 우려하며 “기업 혹은 개인이 다크웹을 직접 모니터링 할 경우 스크립트 공격 혹은 정보 유출 등이 문제가 될 수 있다. 이 때문에 꼭 안전한 전용 환경에서 모니터링을 해야 한다”고 말했다.
S2W LAB은 “다크웹 특성상 주소 변경 주기가 불특정하고, 일반적으로는 이 주소를 알기 어렵다. 기업 혹인 개인이 직접 모니터링을 하게 되는 경우라도 표면웹 상에 공개된 다크웹(어니언) 주소와 같이 한정적인 정보로 모니터링을 하는 것이기 때문에 다크웹 모니터링 커버리지에 대한 한계점이 있다”고 말했다. 또한, “다크웹 상에서 단편적인 정보를 접할 경우, 유저들이 제공하는 정보의 가치 혹은 사실 유무 판단은 어려움이 있다. 지속적인 정보를 수집 및 분석해 이러한 불확실한 데이터에 대한 가치 판단이 필요하다. 이러한 점이 전문적으로 다크웹에 대한 모니터링 및 추적을 하는 우리 회사가 필요한 이유 중 하나라고 생각한다. 다크웹은 오랜 연구와 경험이 필요한 영역”이라고 덧붙였다.
주요 OSINT 및 다크웹 인텔리전스 기업의 서비스는?
그렇다면 현재 국내에서 OSINT 및 다크웹 인텔리전스 서비스를 제공하고 있는 기업의 주요 서비스와 특장점은 무엇일까?
레코디드퓨처는 “우리는 광범위한 외부 소스로부터 신종 및 변종 악성 코드, 취약점, 의심스러운 IP·도메인 등의 위협 데이터를 수집 및 자동 분석해 실시간으로 위협정보를 제공하는 종합 보안 인텔리전스 서비스를 제공한다”며, “다크웹을 비롯한 광범위한 출처에서 실시간으로 데이터를 수집하고 자연어 처리(NLP) 등을 통해 각종 사이버 이벤트에 관련된 침해사고지표(IOC)를 추출해 활용 가능한 인텔리전스를 제공하고 있다”고 말했다.
서비스의 주요 특징으로는 △100만개의 소스로부터 200억 건의 이벤트를 실시간 수집 및 처리 △머신러닝에 의한 자동화된 분석 기능 △실시간 위협정보 업데이트 △전직 CIA, NSA, USSS, DHS 애널리스트 보유(Insikt Group) △데이터 소스의 투명성과 실시간 컨텍스트 제공 △한국어를 포함해 13개 언어에 대한 자연어 처리 △고급 검색을 통한 맞춤형 탐색 △SOAR, SIEM, SNOW 서드파티 보안 솔루션과 연동 △데이터 피드, 리포트, 실시간 웹 포털 등 보안인텔리전스 서비스 제공 등을 들었다. 해당 서비스는 클라우드 기반(SaaS) 형태에 사용자당 연간 라이선스 방식으로 공급 중이다.
[이미지=utoimage]
레코디드퓨처의 국내 파트너사인 리니어리티는 “국내 OSINT와 외국 OSINT 서비스는 각기 장단점이 있다. 가령 국내 서비스의 경우 한국어 기반 정보 수집에 장점이 있으며, 개인정보보호법으로 인한 개인정보 수집·보유에 부담이 존재하는 반면, 유출된 기업정보에 대해서는 비교적 자유롭다. 이와 달리 외국 서비스의 경우 글로벌 정보출처를 폭넓게 수집하며, 개인정보 보유에 대해 비교적 자유로운 반면, 기업정보 수집에 대해서는 부담이 있어 고객사의 환경에 맞춰 서비스를 선택하는 것이 중요하다”고 말했다.
또한, “레코디드퓨처는 OSINT 외에도 위협 인텔리전스(TI, Threat Intelligence) 서비스를 함께 제공한다. 이를 통해 다크웹 모니터링 정보 외에도 위협 IP, 도메인, HASH 등의 정보를 확인할 수 있다. 보안운영 측면에서 OSINT와 TI 모두 중요한 정보이지만, 비용관련 부담으로 두 개의 서비스를 각각 사기 어려운 경우, 좋은 선택이 될 수 있다”고 덧붙였다.
쿤텍은 “우리의 OSINT 서비스는 다크웹에 대한 모니터링뿐만 아니라 텔레그램, SNS 등 다양한 공개정보의 영역에서 데이터를 수집 및 분석한다. 특히, 광범위한 데이터를 무작위로 수집하는 것이 아니라, 타깃을 지정하고 그 타깃과 관련한 특정 정보만을 수집하고, 수집된 데이터에서 연계 분석을 할 수 있는 데이터만을 별도로 추출한다. 이를 통해 표면웹, 딥웹, SNS 등의 연관된 데이터를 효과적으로 재수집할 수 있으며, 수집된 데이터 및 우범정보와 관련된 계정, 관계 인물 등에 대한 심층적이고 구체적인 리포트를 제공할 수 있다”고 말했다.
또한, “타깃으로 설정된 정보를 실시간으로 수집하고 모니터링하기 때문에 즉각적인 대응을 지원할 수 있다. 쿤텍은 CHE(Cyber Hawk Eye)라는 상용화 도구와 오픈소스 도구, OSINT에 대한 심층적인 전문 지식을 보유하고 있는 전문 인력으로 구성된 OSINT 팀의 수동조사 등 유기적인 통합 분석을 통해 체계적이고 정확도 높은 정보 분석 서비스를 제공 중”이라고 덧붙였다.
서비스의 주요 특징은 우선 CHE를 기반으로 오픈웹, 다크웹, 딥웬, SNS 등 다양한 공개정보로부터 1차적인 광범위한 데이터 수집을 수행한다. 이와 관련해 쿤텍은 약 1만개가 넘는 다크웹 및 딥웹의 DB를 보유하고 있으며 OSINT 전문 분석가의 심층적인 연계 분석을 기반으로 고객이 원하는 데이터를 체계적으로 식별하고 분석한다. 또한, 쿤텍은 다양한 조사 및 수사 지원 경험을 바탕으로 각 기관에 맞는 조사 및 수사 데이터를 식별 및 분석한다. 쿤텍은 솔루션 공급 및 운용 지원은 물론, OSINT 전문가의 심층 분석을 통해 특정 키워드에 대한 모니터링 및 추적도 지원한다. 기본적으로 월간 서비스 및 건별 서비스로 구분하며 월간 서비스의 경우 10~15개의 특정 키워드에 대한 수집·분석을 30일간 수행하며, 건별 서비스의 경우 3~10개 키워드에 대해 2주간 수집·분석을 수행한다.
S2W LAB은 “우리의 OSINT 기반 인텔리전스는 일반 기업이나 개인이 수집하기 어려운, 매우 광범위한 데이터를 수집하고 있는 것이 첫 번째 특징이며, 두 번째로는 이렇게 수집한 데이터가 수준 높은 NLP(자연어처리)·AI 기반의 시스템과 우수한 연구인력에 의해 분석되고 정제되고 있는 것이다. 마지막으로 당사 내에는 실무에서 경험이 많고 국내외 사이버 범죄 집단에 대한 오랜 연구와 분석을 진행한 높은 수준의 분석가들이 존재한다. 이러한 모든 요소들이 어우러져 많은 고객사들로부터 좋은 피드백을 받고 있다”고 설명했다.
서비스의 주요 특징으로는 데이터 수집의 커버리지를 대표적으로 들었다. S2W LAB은 다크웹과 딥웹에 대한 수집력을 국내외 최고 수준이라고 자부한다며, 이외에도 각종 은닉 채널을 대상으로한 수집력 역시 매우 높은 수준이라고 설명했다. 이러한 수집력을 기반으로 데이터에 대한 분석과 정제를 진행하며, 기존 위협 그룹들 및 악성코드와의 연관성 분석이 융합해 정확하고 신속한 인텔리전스를 도출 및 제공한다. 특히, 내부 인원의 연구력·개발력은 물론, 고객사의 피드백을 통해 솔루션이 빠른 속도로 진화하고, 좋은 기능이 지속적으로 추가되고 있다는 점을 강점으로 들었다. S2W LAB 역시 클라우드(SaaS) 형태로 서비스를 제공하고 있으며, 특정 키워드에 대한 모니터링도 지원한다. 또한, 상시적으로 모니터링해야 하는 다양한 정보들 역시 지속적으로 제공되는 형태다. 예를 들면, 탈취 계정, 기업 내부 데이터 유출, 국내외 신규 취약점 등을 빠르게 업데이트 하며, 여기에 내부 분석가에 의한 특정 침해사고, 악성코드, 고객사 관련 이슈사항 상세 분석 보고서도 제공한다.
기업 보안 담당자에 대한 OSINT 전문가의 조언
레코디드퓨처는 “계속해서 지능화되는 사이버 위협에 대응하기 위해 위협 정보의 중요성이 부각되고 있다. 필요한 정보를 인터넷 검색을 통해 확인할 수 있지만 수작업으로 인한 업무의 부담과 필요로 하는 정확한 정보를 확인하는데 제약 사항이 있다. 사이버 위협 인텔리전스는 표면웹은 물론 다크웹, 포럼 등을 포함하는 방대한 소스로부터 실시간으로 데이터를 수집 및 분석한 후, 활용 가능한 위협 정보를 제공해 사이버 위협에 효과적으로 대응할 수 있도록 지원한다. 아울러 기존 보안 장비와의 통합(API 연동)함으로써 보안 효율성을 높일 수 있다”고 말했다.
리니어리티는 “다크웹에는 사이버 공격을 위한 시장이 만들어졌고, 공격자 역시 다크웹을 이용하는 것이 자연스러운 흐름이 됐다. 과거처럼 모든 공격을 혼자 수행하는 것보다, 다크웹을 이용해 공격정보를 거래하는 것이 노력과 비용을 단축시켜 주기 때문이다. 공격자가 기업 액세스 정보를 구입해 내부망으로 침투할 경우, IPS 등 기존의 보안장비가 무력화 될 수 있다. 이 부분을 공격자들도 잘 알고 있기 때문에 위와 비슷한 방식의 공격이 증가할 것으로 보인다”고 말했다.
이어, “이러한 측면에서 OSINT 서비스는 좋은 보호수단이 될 수 있다. OSINT를 이용해 회사 또는 임직원과 관련된 정보가 인터넷 상에 얼마나 노출돼 있는지를 확인할 수 있으며, 실제로 국내 모 기업의 경우 분기당 1회 다크웹에 노출된 크리덴셜을 조회해 유출된 계정에 대해 패스워드 변경 등의 대응조치를 하고 있다”고 말했다.
쿤텍은 “어떤 보안 솔루션이나 서비스를 활용한다고 하더라도 다크웹을 통한 정보 유출을 100% 막을 수는 없기 때문에 지속적인 모니터링을 수행하는 것이 필수적이다. 내부적으로 모니터링을 수행하는 것이 어려운 상황이라면 주기적으로 OSINT 분석 서비스를 받아 외부에 노출된 데이터를 확인하는 것이 중요하다. 이러한 서비스를 통해 외부로 유출된 데이터들이 식별됐을 경우 기업과 관련된 계정 정보를 수시로 변경하고, 이와 관련된 피해상황은 한국인터넷진흥원에 신고를 하는 것이 좋다”고 말했다.
S2W LAB은 “유출 사고 발생 시에는 유출 경로와 원인을 파악하는 것이 중요하다. 기존 위협 그룹들의 공격 수법(TTPs) 등에 대한 정보를 미리 알고 있다면 많은 도움이 된다. 상시 보안 강화 활동으로는 유출된 계정 정보(고객 및 내부 임직원)에 대한 모니터링이 지속적으로 이뤄지고 국내외 관련 업계의 침해사고 및 취약점 관련 정보를 지속적으로 확보하며, 기업 내부와의 연관성 및 위험도를 지속적으로 평가하는 것이 중요하다”고 말했다.
OSINT 시장 성장 위해 출처 범위 확대 및 관계당국과 수사 협력 필요해
OSINT 전문가들은 국내 OSINT 서비스 시장 성장 및 해외시장 진출을 위해 출처 범위와 제공되는 분야를 넓혀야 한다고 입을 모았다. 국내 OSINT 분석은 다크웹이나 딥웹에 집중돼 있는 반면, 전세계적으로는 위성사진, 특허, 논문, 소셜 미디어, 애플리케이션, 도서, 국가 조회 데이터 등 방대한 범위에서 정보를 수집해 연계 분석을 수행하고 있다. 이처럼 OSINT 분석을 위한 정보 수집 범위를 확대하기 위해서는 OSINT 수집 및 조사 방안에 대한 절차와 프레임워크를 고도화해야 하며, 고급 검색 기술을 수행할 수 있는 전문적인 역량 강화도 필요하다는 설명이다.
또한, 범죄 심리, 테러, 마약 등 범죄 관련된 전문가들이 OSINT 조사에 대한 많은 관심을 가지는 것 역시 중요하며, 특히 수사기관 등과 협력하는 등 데이터 수집에 대한 협력 역시 중요하다고 덧붙였다.
[OSINT 기반 위협 인텔리전스 전문업체-1. 레코디드퓨처]
레코디드퓨처, 위협 인텔리전스 통한 보안 운영(SecOps) 구축방안 제시
대부분의 보안운영센터(SOC) 팀은 모니터링하는 네트워크에서 생성되는 방대한 양의 경고에 인질로 잡혀 있으며, 이러한 경고를 심사하는데 너무 오래 걸리고, 많은 경고가 전혀 조사되지 않고 있다. 이렇듯 ‘경고 피로(Alert Fatigue)’는 분석가들로 하여금 경각심을 덜 심각하게 받아들이게 한다. 위협 인텔리전스는 이러한 많은 문제에 대한 해결책을 제공하며, 다른 용도 중에서도 잘못된 경고를 필터링하고 분류 속도를 높이고 사고 분석을 단순화하는 데 사용할 수 있다.
▲위협 인텔리전스 솔루션은 이전 목격, 공격 유형 및 위협 행위자와의 연관성, 위험 점수와 같은 컨텍스트로 경고를 자동으로 강화할 수 있다[이미지=레코디드퓨처]
◇SOC 팀의 책임
서류상 SOC 팀의 책임과 업무는 다음과 같다.
△잠재적 위협 모니터링
△의심스러운 네트워크 활동 감지
△활성화된 위협의 방지
△사용 가능한 기술을 사용하여 완화
의심스러운 이벤트가 감지되면 SOC 팀은 조사 후 다른 보안 팀과 협력해 공격의 영향과 심각도를 줄인다. 실제 SOC 팀의 역할과 책임은 아래 표와 같이 긴급 상황에 대응하는 응급센터의 역할과 책임이라고 생각할 수 있다. 지난 몇 년 동안 대부분의 기업은 네트워크에 새로운 유형의 위협 탐지 기술을 추가했다. 모든 도구는 비정상적이거나 의심스러운 동작을 발견하면 경고를 보낸다. 이러한 도구와 함께 보안 경고의 부조화가 발생할 수 있다. 보안 분석가는 이러한 모든 경고를 자체적으로 검토해 우선순위를 지정하거나 조사할 수 없다. 경고 피로 때문에 경고를 무시하거나 잘못된 경고를 추적하며 실수를 저지르는 경우도 너무 많기 때문이다.
◇컨텍스트가 가장 중요
SOC의 위협 인텔리전스는 리스크 기반 의사결정에 필요한 외부 정보와 컨텍스트를 통해 내부 경고를 강화하는 것을 핵심으로 한다. 컨텍스트는 신속한 분류에 중요하며 사고(인시던트)의 범위 지정 및 포함에도 매우 중요하다.
경고 선별(Alert Triage)에는 많은 컨텍스트가 필요하다. SOC 분석가의 하루 중 상당 부분은 SIEM 또는 EDR 기술과 같은 내부 보안 시스템에서 생성된 경고에 응답하는데 소비된다. 내부 데이터 소스는 잠재적으로 악의적인 네트워크 활동이나 데이터 침해를 식별하는 데 중요하다.
안타깝게도 이 데이터는 종종 분리해 해석하기가 어렵다. 경고가 적절하고 긴급한지 판단하려면 다양한 내부 시스템 로그, 네트워크 장치 및 보안 도구, 외부 위협 데이터베이스에서 관련 정보(컨텍스트)를 수집해야 한다. 이러한 모든 위협 데이터 원본에서 각 경고에 대한 컨텍스트를 검색하는 데는 많은 시간이 소요된다.
◇활용 사례: 상호 연관(Correlating) 및 강화(Enriching)
충분한 컨텍스트에 접근하지 않고 초기 경고를 분류하려는 분석가는 헤드라인만 읽은 후 뉴스 기사를 이해하려는 사람과 같다. 분석가가 위협 피드 형태의 외부 정보에 접근할 수 있는 경우에도 해당 정보는 경고와 관련된 다른 데이터와 동화되고 상호 연관되기가 매우 어렵다.
위협 인텔리전스 솔루션을 통해 제공되는 정보는 상황을 완전히 바꿀 수 있다. 이러한 솔루션에는 아래 그림에 나와 있는 것처럼 위협 데이터를 지능적으로 자동으로 강화(Enriching)하고 경고와 상호 연관(Correlating)시키는 기능이 있다. 제공된 컨텍스트에는 멀웨어 또는 의심스러운 IP 주소에 대한 최초 및 최신 레퍼런스, 관찰 횟수, 공격 유형 및 특정 위협 행위자와의 연관성, 멀웨어의 동작 또는 IP 주소 사용에 대한 설명(예시: 봇넷의 일부)이 포함될 수 있다. 이러한 강화 기능을 통해 SOC 분석가는 가장 중요한 위협을 신속하게 식별하고 이를 해결하기 위해 즉각적이고 정보에 입각한 조치를 취할 수 있다.
◇판별 시간의 단축
위협 인텔리전스는 SOC 직원에게 훨씬 적은 노력으로 신속하게 경고를 분류하는데 필요한 추가 정보와 컨텍스트를 제공하고, 이를 통해 분석가가 다음과 같은 기준으로 경고를 추적하는데 시간을 허비하는 것을 방지할 수 있다.
△악의적이라기 보다는 무해한 행동
△해당 기업과 관련이 없는 공격
△방어 및 통제가 이미 마련되어 있는 공격
◇경고 선별을 넘어서
경고 선별은 보안 대응을 가속화하며, 위협 인텔리전스를 통해 SOC 팀은 사고 분석 및 격리를 단순화할 수 있다. 예를 들어, 금융 애플리케이션에 대한 공격의 첫 번째 단계로 사이버 범죄자들이 특정 멀웨어를 자주 사용한다는 사실을 밝혀낸다면 SOC 팀은 해당 애플리케이션을 더 면밀히 모니터링하고 해당 공격 유형의 다른 증거를 찾을 수 있다.
[OSINT 기반 위협 인텔리전스 전문업체-2. 쿤텍]
쿤텍, 심층적인 OSINT 분석 서비스 제공으로 사이버 범죄 근간 추적한다
◇이름 없는 범죄자들의 소굴, 다크웹
현대인은 인터넷 없이는 1시간도 생활하기 힘들 정도로 인터넷 기반의 다양한 서비스를 이용하고 있다. 이로 인해 일상적인 생활은 물론 산업 전반에 걸친 편리성은 매우 향상되었지만 이전에는 알지 못했던 부정적인 사례도 많이 발생하고 있다. 사이버 범죄가 대거 증가한 것이 대표적인 부정적인 측면이다. 특히, 최근에는 일반적인 오픈웹 보다 더욱 익명성이 강화된 다크웹, 딥웹, 각종 SNS 등을 악용한 사이버 범죄가 폭발적으로 증가하고 있다.
▲쿤텍의 OSINT 분석 서비스를 통해 다크웹 내 기업 계정 유출 내역을 포착한 모습[이미지=쿤텍]
다크웹이나 SNS 기반의 사이버 범죄는 단순한 개인정보 유출 피해를 넘어 보이스피싱 등 2차 범죄로 이어질 가능성이 매우 높다. 2019년에는 국내 공무원과 외교관의 여권 정보가 유출되어 다크웹 내 블랙마켓에 게시된 사건이 발생했는데, 이처럼 공공기관과 관련된 개인정보가 유출될 경우 이는 불법 사칭 또는 위조 사건으로 이어져 국가 안보까지 위협하는 중대한 범죄 사건으로 확대될 수 있다는 점에서 경각심을 가져야 한다.
이러한 사이버 범죄로 인한 피해를 최소화하기 위해서는 실제 범죄로 이어질 수 있는 우범 데이터의 거래 정황을 빠르게 포착하고 해당 범죄 모의에 가담한 불법 계정을 집중 추적해 사전에 범죄 발생을 차단해야 한다. 하지만, 다크웹과 SNS에서는 이미 너무 많은 정보가 공유되고 있기 때문에 실제 범죄와 관련된 특정 정보를 검색하는 것조차 쉽지 않아 OSINT 전문가 중심의 심층적인 종합 분석 서비스를 통해 정보를 가려내고 추적하는 것이 필수적이다.
◇쿤텍, 심층적인 OSINT 분석 서비스 제공으로 사이버 범죄 근간 추적
사이버 범죄 데이터 조사 분석 전문기업 쿤텍은 자체 플랫폼과 OSINT 전문 인력으로 구성된 전담팀의 전문적인 OSINT 모니터링 및 분석 서비스를 제공해 딥웹, 다크웹, 각종 SNS 등의 익명성을 악용하는 사이버 범죄자를 체계적으로 추적할 수 있도록 지원한다. OSINT 분석 서비스와 관련하여 쿤텍의 나가진 TND1팀 팀장과 인터뷰를 진행했다.
쿤텍은 어떤 방식으로 OSINT를 분석하는가?
쿤텍은 글로벌의 실제 수사 기관 다수가 사용하여 기술력을 검증 받은 데이터 수집 플랫폼 CHE(Cyber Hawk Eye)와 심층적인 OSINT 전문 지식을 보유한 OSINT 전문가로 구성된 전담팀의 심층 분석 서비스를 통해 다크웹, SNS를 통해 거래되는 각종 우범 정보를 종합적으로 수집하고 분석한다
OSINT 분석은 주로 어떤 분야에서 활용되는가?
OSINT 분석은 공공기관 기반의 사이버 범죄 조사 및 수사에서 활용되는 비중이 가장 크다. 이미 다양한 다크웹의 포럼이나 블랙마켓을 통해 거래가 금지된 마약이나 위조지폐, 각종 명품의 위조상품 등이 거래되고 있지만 전문적인 OSINT 분석 서비스 없이는 체계적으로 우범 정보를 수집하여 범죄자를 특정하는 것에 한계가 있기 때문이다. 공공부문이 아닌 민간부문에서도 OSINT 분석 서비스를 의뢰하는 경우가 많은데, 민간부문에서는 외부로 유출되어서는 안 되는 기술의 기밀정보 및 기술정보 유출 내역을 추적하거나 특정 기업을 사칭하는 이른바 ‘사칭계정’을 추적하기 위해 분석 서비스를 활용하고 있다.
다크웹 또는 SNS에서의 정보 수집 시 주의해야 할 사항은 없는가?
다크웹이나 SNS에 게시되는 데이터는 아무래도 개인정보와 관련된 것이 많다. 아무리 사이버 상에 공개적으로 게시되는 정보라고 하더라도 개인정보에 대한 것이라면 수집에 주의할 필요가 있다. 쿤텍은 사이버 범죄에 대한 수사 및 조사 권한이 있는 기관으로부터 직접 의뢰를 받아 OSINT 분석을 수행하고 국내 대형 법무법인으로부터 법률자문을 받아 OSINT 분석 서비스를 의뢰한 참여자에게 보안서약서 및 비밀유지서약서를 작성하도록 하는 등 법률적인 문제가 발생하지 않도록 철저하게 관리하고 있다.
쿤텍이 보유하고 있는 OSINT 분석 경험을 소개한다면?
쿤텍은 국내 다양한 기관 및 기업의 의뢰를 받아 OSINT 분석 서비스를 수행하고 있다. 국내 기업의 의뢰를 받아 다크웹에서의 기업 계정 유출 내역을 포착한 바 있으며, 2020년엔 수사 권한을 보유하고 있는 공공기관의 의뢰를 받아 위조상품, 마약류 거래와 관련된 OSINT 분석 서비스를 수행함으로써 실제 범죄에 가담한 범죄자의 신원 파악에 기여한 바 있으며 이는 범죄자 검거로 이어지게 되었다. 쿤텍은 이에 해당 기관으로부터 국가재정수입 확보 및 통관질서 확립에 기여한 공을 인정 받아 표창장을 수여받았다.
쿤텍의 OSINT 분석 서비스 활용의 차별화된 기대효과는 무엇인가?
쿤텍의 OSINT 분석 서비스는 상용 도구인 CHE와 오픈소스 도구 기반의 우범 정보 자동 수집과 OSINT 전문가의 수동 조사 및 심층 분석을 병행하기 때문에 기존의 플랫폼 기반 OSINT 정보 수집 서비스에 비해 사이버 범죄 정보에 대한 체계적이고 종합적인 분석 서비스를 제공하면서도 가격 대비 정보 수집 및 분석의 효율성이 우수한 것이 특징이다.
또한, 다양한 언어와 범죄자 고유의 은어가 많이 사용되는 사이버 범죄의 특성을 반영하여 20개 이상의 언어와 다양한 은어를 분석할 수 있는 플랫폼을 기반으로 1차적인 데이터를 수집하고 OSINT 전문 분석가들의 심층적인 연계 분석을 통해 고객이 특정하고자 하는 데이터를 체계적으로 식별한다.
특정 범죄와 관련된 우범 정보 및 불법 계정을 실시간으로 모니터링하고 추가적인 데이터를 통합적으로 수집해 사이버 범죄에 대한 즉각적인 대응을 지원한다. 쿤텍은 이와 더불어 OSINT 데이터 수집 및 분석에 활용되는 도구에 대한 실습 과정에 포함되어 있는 OSINT 심층 분석 교육을 실시함으로써 도구를 도입하기 전에 실질적인 활용성에 대해 평가해볼 수 있는 기회를 제공한다.
[이상우 기자(boan@boannews.com)]
국내 기업 보안 담당자, 다크웹 모니터링 필요하지만 접근 방법이나 해킹 우려로 어려움 겪어
OSINT 기반 위협 인텔리전스로 다크웹 통한 정보 유출 인지하고 피해 확산 예방할 수 있어
OSINT 기반 위협 인텔리전스 전문업체 레코디드퓨처와 쿤텍의 특화 솔루션 집중해부
[보안뉴스 이상우 기자] 디지털로 된 정보는 종이 등에 기록된 문서와 달리, 더 많은 사람에게 아주 빠르게 전달할 수 있다. 데이터를 공유하거나 판매하고 싶은 사람이 공개된 웹 공간에 이를 게시하면, 데이터를 필요로 하는 사람은 검색을 통해 이에 접근해 즉시 자료를 내려 받거나 구매하는 것이 가능하다. 이렇게 유통되는 정보 중에는 사용자에게 유익하고 필요한 정보도 있겠지만, 유해하고 불법적인 정보 역시 존재할 수 있다.
[이미지=utoimage]
개인정보보호위원회와 과학기술정보통신부는 지난 2020년 12월, 해킹 등으로 유출된 개인정보를 공유하는 해외 웹사이트를 조사하고, 여기서 유포되는 불법 개인정보 데이터베이스를 확보한 바 있다. 해당 데이터베이스를 분석한 결과 국내 중소규모 민간 및 공공 웹사이트 1,362곳에서 이용할 수 있는 이메일 주소, 암호 등의 계정정보가 2,346만 건이 포함돼 있었다.
암호화되지 않은 평문 상태의 아이디와 비밀번호가 노출될 경우 이를 입수한 사이버 공격자는 여러 다른 서비스에 동일한 정보를 입력해보는 ‘크리덴셜 스터핑(Credential stuffing)’ 공격을 시도할 수 있다. 실제로 한국인터넷진흥원이 실시한 설문조사 결과에 따르면 응답자의 26.5%가 업무계정과 개인계정에 동일 아이디를 사용하며, 18.9%가 비밀번호까지 동일하게 설정한다고 응답했다. 즉, 기존에 유출된 계정정보를 입수한 공격자는 다른 서비스는 물론, 기업 업무용 시스템까지 접근을 시도할 가능성도 있다.
이처럼 유출된 정보를 입수한 공격자는 다양한 형태로 유출 정보를 활용할 수 있다. 앞서 언급한 크리덴셜 스터핑 공격은 물론, 아이디를 통해 생년월일 등을 유추한 뒤 정교한 스피어 피싱 공격을 시도할 수도 있다. 특히, 크리덴셜 스터핑이 성공했을 경우 유출될 수 있는 정보는 더욱 많아진다. 개인이 백업해둔 사진이나 신분증 사본 등은 물론, 업무와 관련한 각종 정보까지 공격당할 수 있다. 뚫린 계정 하나로 인한 피해가 마치 ‘바이러스’처럼 확산되는 셈이다. 이러한 이유에서 다크웹 블랙마켓 등지에서는 계정 정보는 물론, 사용자 계좌정보, 이메일, 주소, 휴대전화 번호, 주민등록번호 등이 포함된 각종 정보가 거래되거나 공개되는 경우가 많다.
다크웹을 넘어 표면웹, 소셜 미디어에서도 유포되는 불법 정보
2021년 4월 4일, 글로벌 소셜 미디어 서비스 ‘페이스북’에서 유출된 개인정보 약 5억 3,300만 건이 다크웹 포럼에 무료로 공개됐으며, 이 가운데 한국인 정보도 12만 건이 포함된 것으로 나타났다. 이에 대해 페이스북은 ‘과거 유출된 정보이며 2019년 8월에 해당 보안 취약점을 수정했다’고 입장을 발표했다. 하지만, 과거에 유출된 정보라도 현재까지 유효할 수 있는 정보가 포함돼 있을 수 있고, 유효한 정보는 사이버 공격자가 악용하는 것 역시 가능하다. 즉, 한 번 유출사고가 발생하면 쉽게 되돌리기 어렵다는 의미다.
▲유출된 계정 정보를 통해 크리덴셜 스터핑을 시도한다[자료=리니어리티]
다크웹을 통해 유출되는 것은 비단 개인정보뿐만 아니다. 지난 3월에도 사이버 공격 조직인 도플페이머(DoppelPaymer)는 글로벌 자동차 제조사를 대상으로 랜섬웨어 공격을 펼쳤으며, 공격 과정에서 이메일 백업 파일 등 내부 정보를 유출했다. 이들은 유출한 정보를 조금씩 다크웹에 공개하면서 피해자를 협상 테이블에 앉히려 했으나, 뜻대로 풀리지 않자 ‘이 회사는 비밀 누출을 결정했으며, 돈을 지불할 시간을 넘겼다’는 게시물과 함께 9GB 분량의 유출 데이터를 공개한 바 있다. 다크웹에서 해당 게시물 조회 수는 수만 건에 이르며, 중요한 정보가 포함돼 있다면, 이를 악용한 2차 피해까지 우려할 수 있는 상황이다.
정보유출뿐만 아니라 불법적인 물건이나 콘텐츠에 대한 거래 역시 일어난다. 마약이나 불법 무기 등을 거래하는 게시물은 물론, 불법 촬영물이나 아동 성 착취물 등 반인륜적인 음란물 까지 다크웹을 통해 유통되는 상황이다. 특정인을 추적하기 어려운 소셜 미디어 익명 계정이나 텔레그램, 위커처럼 상대적으로 추적이 어려운 메신저 등을 이용해 이러한 불법 콘텐츠 및 물품 거래가 이뤄지기도 한다. 실제로 전 국민의 공분을 산 ‘n번방’ 사건이나 ‘박사방’ 사건 등에서도 이러한 익명 소셜 미디어를 통해 조직적인 범죄가 일어났다.
뿐만 아니라 ‘바티칸 킹덤’이라는 이름의 국내 마약유통조직 총책은 필리핀에서 밀반입한 마약을 텔레그램을 통해 유통한 것으로 알려졌다. 트위터 등 익명 계정을 생성할 수 있는 소셜 미디어에서도 자신의 신체 부위를 노출한 사진·동영상을 게시하거나 타인에게 다이렉트 메시지(DM)로 전송하는 등의 성범죄 역시 이어지고 있으며, 불법 음란물을 공유하거나 이를 통해 사용자를 모은 뒤 성매매를 알선하는 등 익명성 뒤에 숨은 범죄는 끊이지 않는 상황이다.
익명성에 숨은 범죄자, 끝까지 추적하는 OSINT
범죄자들은 이처럼 자신을 숨길 수 있는 익명 채널을 이용하거나 접속 및 탐지가 어려운 다크웹 등을 통해 활동하면서 수사기관 등의 추적을 회피하려 한다.
사이버 위협 인텔리전스 솔루션을 제공하는 레코디드퓨처는 “다크웹이나 텔레그램 등은 비공개 채널로, 사이버 범죄 활동을 모니터링하는 것에 어려운 부분이 있으며, 추적·감시가 이뤄지더라도 익명성을 보장할 수 있기 때문에 사이버 범죄자의 지속적인 활용이 증가하고 있는 추세”라고 설명했다.
레코디드퓨처의 국내 파트너사인 리니어리티는 “다크웹, 텔레그램, 가상화폐 등 사이버 범죄자들이 사용하는 기술은 모두 본인의 신분을 은닉하는 기술이다. 다크웹의 경우 암호화 및 프록시 기술을 이용해 추적을 회피하며, 텔레그램은 테러를 제외한 대부분의 경우에 수사협조를 하지 않는 것으로 유명하다”고 말했다.
▲다크웹에서 계정 정보를 거래한다는 게시물[자료=리니어리티]
OSINT 분석 서비스를 제공하는 쿤텍은 “다크웹이나 텔레그램은 고도의 익명성이 보장되기 때문에 일반적으로 쉽게 접근할 수 없는 마약, 총기, 성 관련 영상 등을 배포하고 거래하더라도 범죄 수사의 추적을 피하기 쉽다. 특히, 다크웹은 수요자와 공급자의 원활한 소통이 어려운 부분도 있어 ‘리코쳇(RICOCHET)’ 등의 익명 채팅 프로그램을 사용하고 있으며, 텔레그램을 범죄에 이용하는 경우 ‘대포폰’으로 계정을 생성하는 경우도 있어 추적이 어려운 것이 현실”이라고 말했다
다크웹 인텔리전스 전문기업 S2W LAB은 “다크웹을 이용하는 가장 큰 이유는 익명성이 유지되는 공간이기 때문이다. 간혹 실제 범죄자들이 잡히는 경우도 있지만 이는 전체 다크웹이나 텔레그램 등에서 활동하는 범죄자들의 수에 비해 매우 적은 수”라고 말했다.
이처럼 익명 공간에서 발생하는 범죄를 탐지하고 추적하기 위해서 OSINT(공개출처정보, Open Source INTelligence)의 필요성 역시 커지고 있다. OSINT란 공개된 출처로부터 정보를 모으고 이를 분석해 정보를 얻는 첩보 수집방법 중 하나다. 과거 신문이나 논문 등을 통해 주로 정보를 수집한 것과 비교해, 인터넷이 발달한 오늘날 OSINT는 소셜 미디어, 온라인 커뮤니티, 인터넷 뉴스 등 표면웹 뿐만 아니라 딥웹, 다크웹 등 다양한 공개출처에서 정보를 수집한다.
‘공개출처’를 이용하기 때문에 정보를 얻기 가장 쉬운 경로지만, 실제 웹에 퍼져 있는 방대한 정보에서 정확하고 유의미한 내용을 찾아내고, 익명성 뒤에 숨은 범죄자의 신원을 추적하는 일은 기술과 노하우 없이는 아주 많은 시간과 노력이 요구된다. 특히, 다크웹처럼 공개출처로 활용할 수 있으나 표면웹과 달리 접근이 어려운 공간을 모니터링하고 필요한 정보를 수집하는 것은 일반인에게는 사실상 불가능에 가까운 일이다.
정보유출 사고 인지 및 대응 위해 다크웹 모니터링 필요... 그런데 어떻게?
<시큐리티월드>와 <보안뉴스>가 국내 기업·기관의 보안 담당자를 대상으로 실시한 설문조사 결과 응답자의 과반 이상이 다크웹을 직접 모니터링해야 한다고 생각하고 있으며, 그 이유로는 ‘정보유출 사고 인지 및 대응’이 가장 높았다. 하지만, 다크웹 모니터링 시 애로사항으로는 ‘접속 및 정보탐색의 어려움’이라고 응답한 사용자가 많아, 실제 모니터링에는 어려움을 겪고 있는 것으로 보인다.
▲다크웹 접속 경험 및 모니터링 필요성에 관한 설문[자료=보안뉴스]
이번 설문조사에는 중견·중소기업(46.4%), 대기업(20.4%), 공공기관·공기업(20.2%), 연구소·교육기관(5.5%), 지방자치단체(3.2%), 기타(4.2%) 등이 참여했다. 모니터링 등을 위해 다크웹 접속 경험이 있는지 묻는 질문에 37.8%는 직접 접속해본 경험이 있다고 밝혔다.
다크웹 모니터링 필요성에 대해 묻는 질문에 대해서는 ‘직접 모니터링해야 한다’고 응답한 사람이 65%로 가장 많았으며, 수사기관이 할 일이다(31.3%), 모니터링하지 않아도 된다(3.8%) 등이 뒤를 이어 대다수가 모니터링 필요성을 느끼는 것으로 나타났다. 모니터링의 목적으로는 ‘정보유출 사고 인지 및 대응’이 66.6%로 가장 많았으며, ‘사이버 공격 및 범죄 동향 파악(28.4%)’이 뒤를 이었다. 이밖에 ‘경쟁사 정보를 얻기 위해서(2.8%)’, 기타(2.2%) 등이다.
▲모니터링 목적과 모니터링 시 겪는 어려움에 관한 설문[자료=보안뉴스]
모니터링 과정에서 겪는 어려움으로는 ‘접속 및 정보 탐색의 어려움’이 61.2%로 가장 많았다. 다크웹은 표면웹과 달리 Tor(토르 혹은 토어) 브라우저 같은 특별한 도구가 필요하며, 암호화 및 프록시 등의 기술 역시 필요하다. 게다가 구글, 네이버 같은 검색엔진 서비스도 제대로 구현되지 않아 아무런 정보가 없는 일반 사용자 및 보안 담당자 입장에서는 쉽게 접근하기 어려운 것이 현실이다. 이밖에 어려움으로는 해킹 등 공격 노출 우려(26%), 각종 유해정보에 대한 거부감(9.8%), 부정적인 사회적 인식(3%) 순으로 나타났다.
기업이나 기관에서 내부정보가 다크웹 등에 유출된 사실을 인지했다면 어떤 정보가 어떤 방식으로 유출됐고, 얼마나 퍼져 나갔는지 빠르게 인지해야 피해 확산을 줄이고 2차 피해를 예방할 수 있다. 그렇다면 다크웹에 내부정보 유출 사실을 어떠한 방식으로든 인지했다면, 피해자는 이에 대해 어떻게 자세한 정보를 얻을까? ‘수사기관을 통해 정보를 확인해야 한다’고 응답한 사람이 47.5%로 가장 많았으며, 보안 기업 서비스 이용(32%), 직접 다크웹에 접속(11.3%), 내부 보안 매뉴얼에 따라 대응(0.9%) 순으로 나타났고, ‘잘 모르겠다’고 응답한 사람 역시 8.3%를 차지했다.
▲정보유출 인지 시 대응 방법과 OSINT 서비스 인식에 관한 설문[자료=보안뉴스]
OSINT 서비스는 이처럼 다크웹, 표면웹 등을 통해 발생하는 정보 유출이나 범죄에 대해 모니터링 및 위협 인텔리전스를 제공하는 보안 서비스다. 하지만 이번 설문조사에서 OSINT 서비스에 대한 인식은 그리 높지 않은 것으로 나타났다. 응답자 중 73.7%는 OSINT 서비스에 대해 ‘모른다’고 응답했으며, ‘알고 있다’는 응답은 26.3%에 불과했다.
만약 향후에 OSINT 서비스를 이용하게 된다면 ‘정보자산 유출 인지 및 대응’을 목적으로 이용하고 싶다는 응답이 81%로 가장 많은 만큼, 인지도와 비교해 서비스에 대한 수요는 존재하는 것으로 볼 수 있다. 이밖에 서비스를 이용하게 된다면 그 목적으로는 공격자 및 범죄자 추적(14.8%), 브랜드 평판 관리(3.7%), 기타(0.5%) 순으로 나타났다.
▲OSINT 서비스 이용 시 목적과 적절하다고 생각하는 월간 비용[자료=보안뉴스]
다만, OSINT 서비스를 이용하는 비용으로는 월 10만 원 이하라고 응답한 사람이 36%, 11~50만 원이라는 응답이 24.7%, 51~100만 원 사이가 17.4%로 나타나는 등 서비스의 중요성에 대한 인식과 비교해 투자비용에 대한 비중은 그리 높지 않은 것으로 보인다(101~500만 원 10.1%, 500만 원 초과 5.3% 등).
다크웹 전문가는 개인이 직접 다크웹을 모니터링하는 것을 어떻게 생각할까?
앞서 설문조사에서 나타났듯 개인이나 기업·기관이 다크웹 등에 직접 접근해 정보를 찾고 필요한 정보를 분석해 위협에 대응하기에는 많은 어려움이 따른다. 그렇다면 실제 OSINT 전문가들은 일반인이 다크웹을 탐색하는 것에 대해 어떻게 생각하고 있을까?
레코디드퓨처는 “다크웹이나 포럼에 접근해서 특정 정보를 취득하기 위해서는 기존 멤버로부터의 초대 메일, 별도 요금(추가 상세 정보를 보기 위해 매월 일정 금액을 비트코인으로 지불) 및 활동 레벨(‘읽기’ 권한을 획득하기 위해서는 n개 이상의 포스팅 필요) 등을 요구한다. 따라서 지속적으로 비공개 채널이 증가하는 상황에서 개인·기업이 직접 일정 수준 이상의 권한을 유지하기에는 많은 제약이 있다”고 답했다.
리니어리티는 “정보출처(포럼 및 다크웹 사이트 등)가 빈약하면 많은 정보가 누락되기 때문에, 얼마나 많은 정보출처를 모니터링 할 것인지는 매우 중요하다. 세상에는 수천 개 이상의 정보출처가 존재하며, 비용 및 자원 등을 고려했을 때 개인이 의미가 있는 수준으로 데이터를 확보하는 것은 어렵다”며, “특히, 의미 있는 정보가 공유되는 포럼들은 비공개로 운영되는 경우가 많다. 가령, 익스플로잇 포럼의 가입 기준으로는 1년 이상의 활동 또는 관련자의 추천을 요구한다. 이렇듯 폐쇄적인 운영방식 또한 모니터링 활동의 장애물이 된다”고 덧붙였다.
쿤텍은 모니터링 과정에서 발생할 수 있는 사이버 공격을 우려하며 “기업 혹은 개인이 다크웹을 직접 모니터링 할 경우 스크립트 공격 혹은 정보 유출 등이 문제가 될 수 있다. 이 때문에 꼭 안전한 전용 환경에서 모니터링을 해야 한다”고 말했다.
S2W LAB은 “다크웹 특성상 주소 변경 주기가 불특정하고, 일반적으로는 이 주소를 알기 어렵다. 기업 혹인 개인이 직접 모니터링을 하게 되는 경우라도 표면웹 상에 공개된 다크웹(어니언) 주소와 같이 한정적인 정보로 모니터링을 하는 것이기 때문에 다크웹 모니터링 커버리지에 대한 한계점이 있다”고 말했다. 또한, “다크웹 상에서 단편적인 정보를 접할 경우, 유저들이 제공하는 정보의 가치 혹은 사실 유무 판단은 어려움이 있다. 지속적인 정보를 수집 및 분석해 이러한 불확실한 데이터에 대한 가치 판단이 필요하다. 이러한 점이 전문적으로 다크웹에 대한 모니터링 및 추적을 하는 우리 회사가 필요한 이유 중 하나라고 생각한다. 다크웹은 오랜 연구와 경험이 필요한 영역”이라고 덧붙였다.
주요 OSINT 및 다크웹 인텔리전스 기업의 서비스는?
그렇다면 현재 국내에서 OSINT 및 다크웹 인텔리전스 서비스를 제공하고 있는 기업의 주요 서비스와 특장점은 무엇일까?
레코디드퓨처는 “우리는 광범위한 외부 소스로부터 신종 및 변종 악성 코드, 취약점, 의심스러운 IP·도메인 등의 위협 데이터를 수집 및 자동 분석해 실시간으로 위협정보를 제공하는 종합 보안 인텔리전스 서비스를 제공한다”며, “다크웹을 비롯한 광범위한 출처에서 실시간으로 데이터를 수집하고 자연어 처리(NLP) 등을 통해 각종 사이버 이벤트에 관련된 침해사고지표(IOC)를 추출해 활용 가능한 인텔리전스를 제공하고 있다”고 말했다.
서비스의 주요 특징으로는 △100만개의 소스로부터 200억 건의 이벤트를 실시간 수집 및 처리 △머신러닝에 의한 자동화된 분석 기능 △실시간 위협정보 업데이트 △전직 CIA, NSA, USSS, DHS 애널리스트 보유(Insikt Group) △데이터 소스의 투명성과 실시간 컨텍스트 제공 △한국어를 포함해 13개 언어에 대한 자연어 처리 △고급 검색을 통한 맞춤형 탐색 △SOAR, SIEM, SNOW 서드파티 보안 솔루션과 연동 △데이터 피드, 리포트, 실시간 웹 포털 등 보안인텔리전스 서비스 제공 등을 들었다. 해당 서비스는 클라우드 기반(SaaS) 형태에 사용자당 연간 라이선스 방식으로 공급 중이다.
[이미지=utoimage]
레코디드퓨처의 국내 파트너사인 리니어리티는 “국내 OSINT와 외국 OSINT 서비스는 각기 장단점이 있다. 가령 국내 서비스의 경우 한국어 기반 정보 수집에 장점이 있으며, 개인정보보호법으로 인한 개인정보 수집·보유에 부담이 존재하는 반면, 유출된 기업정보에 대해서는 비교적 자유롭다. 이와 달리 외국 서비스의 경우 글로벌 정보출처를 폭넓게 수집하며, 개인정보 보유에 대해 비교적 자유로운 반면, 기업정보 수집에 대해서는 부담이 있어 고객사의 환경에 맞춰 서비스를 선택하는 것이 중요하다”고 말했다.
또한, “레코디드퓨처는 OSINT 외에도 위협 인텔리전스(TI, Threat Intelligence) 서비스를 함께 제공한다. 이를 통해 다크웹 모니터링 정보 외에도 위협 IP, 도메인, HASH 등의 정보를 확인할 수 있다. 보안운영 측면에서 OSINT와 TI 모두 중요한 정보이지만, 비용관련 부담으로 두 개의 서비스를 각각 사기 어려운 경우, 좋은 선택이 될 수 있다”고 덧붙였다.
쿤텍은 “우리의 OSINT 서비스는 다크웹에 대한 모니터링뿐만 아니라 텔레그램, SNS 등 다양한 공개정보의 영역에서 데이터를 수집 및 분석한다. 특히, 광범위한 데이터를 무작위로 수집하는 것이 아니라, 타깃을 지정하고 그 타깃과 관련한 특정 정보만을 수집하고, 수집된 데이터에서 연계 분석을 할 수 있는 데이터만을 별도로 추출한다. 이를 통해 표면웹, 딥웹, SNS 등의 연관된 데이터를 효과적으로 재수집할 수 있으며, 수집된 데이터 및 우범정보와 관련된 계정, 관계 인물 등에 대한 심층적이고 구체적인 리포트를 제공할 수 있다”고 말했다.
또한, “타깃으로 설정된 정보를 실시간으로 수집하고 모니터링하기 때문에 즉각적인 대응을 지원할 수 있다. 쿤텍은 CHE(Cyber Hawk Eye)라는 상용화 도구와 오픈소스 도구, OSINT에 대한 심층적인 전문 지식을 보유하고 있는 전문 인력으로 구성된 OSINT 팀의 수동조사 등 유기적인 통합 분석을 통해 체계적이고 정확도 높은 정보 분석 서비스를 제공 중”이라고 덧붙였다.
서비스의 주요 특징은 우선 CHE를 기반으로 오픈웹, 다크웹, 딥웬, SNS 등 다양한 공개정보로부터 1차적인 광범위한 데이터 수집을 수행한다. 이와 관련해 쿤텍은 약 1만개가 넘는 다크웹 및 딥웹의 DB를 보유하고 있으며 OSINT 전문 분석가의 심층적인 연계 분석을 기반으로 고객이 원하는 데이터를 체계적으로 식별하고 분석한다. 또한, 쿤텍은 다양한 조사 및 수사 지원 경험을 바탕으로 각 기관에 맞는 조사 및 수사 데이터를 식별 및 분석한다. 쿤텍은 솔루션 공급 및 운용 지원은 물론, OSINT 전문가의 심층 분석을 통해 특정 키워드에 대한 모니터링 및 추적도 지원한다. 기본적으로 월간 서비스 및 건별 서비스로 구분하며 월간 서비스의 경우 10~15개의 특정 키워드에 대한 수집·분석을 30일간 수행하며, 건별 서비스의 경우 3~10개 키워드에 대해 2주간 수집·분석을 수행한다.
S2W LAB은 “우리의 OSINT 기반 인텔리전스는 일반 기업이나 개인이 수집하기 어려운, 매우 광범위한 데이터를 수집하고 있는 것이 첫 번째 특징이며, 두 번째로는 이렇게 수집한 데이터가 수준 높은 NLP(자연어처리)·AI 기반의 시스템과 우수한 연구인력에 의해 분석되고 정제되고 있는 것이다. 마지막으로 당사 내에는 실무에서 경험이 많고 국내외 사이버 범죄 집단에 대한 오랜 연구와 분석을 진행한 높은 수준의 분석가들이 존재한다. 이러한 모든 요소들이 어우러져 많은 고객사들로부터 좋은 피드백을 받고 있다”고 설명했다.
서비스의 주요 특징으로는 데이터 수집의 커버리지를 대표적으로 들었다. S2W LAB은 다크웹과 딥웹에 대한 수집력을 국내외 최고 수준이라고 자부한다며, 이외에도 각종 은닉 채널을 대상으로한 수집력 역시 매우 높은 수준이라고 설명했다. 이러한 수집력을 기반으로 데이터에 대한 분석과 정제를 진행하며, 기존 위협 그룹들 및 악성코드와의 연관성 분석이 융합해 정확하고 신속한 인텔리전스를 도출 및 제공한다. 특히, 내부 인원의 연구력·개발력은 물론, 고객사의 피드백을 통해 솔루션이 빠른 속도로 진화하고, 좋은 기능이 지속적으로 추가되고 있다는 점을 강점으로 들었다. S2W LAB 역시 클라우드(SaaS) 형태로 서비스를 제공하고 있으며, 특정 키워드에 대한 모니터링도 지원한다. 또한, 상시적으로 모니터링해야 하는 다양한 정보들 역시 지속적으로 제공되는 형태다. 예를 들면, 탈취 계정, 기업 내부 데이터 유출, 국내외 신규 취약점 등을 빠르게 업데이트 하며, 여기에 내부 분석가에 의한 특정 침해사고, 악성코드, 고객사 관련 이슈사항 상세 분석 보고서도 제공한다.
기업 보안 담당자에 대한 OSINT 전문가의 조언
레코디드퓨처는 “계속해서 지능화되는 사이버 위협에 대응하기 위해 위협 정보의 중요성이 부각되고 있다. 필요한 정보를 인터넷 검색을 통해 확인할 수 있지만 수작업으로 인한 업무의 부담과 필요로 하는 정확한 정보를 확인하는데 제약 사항이 있다. 사이버 위협 인텔리전스는 표면웹은 물론 다크웹, 포럼 등을 포함하는 방대한 소스로부터 실시간으로 데이터를 수집 및 분석한 후, 활용 가능한 위협 정보를 제공해 사이버 위협에 효과적으로 대응할 수 있도록 지원한다. 아울러 기존 보안 장비와의 통합(API 연동)함으로써 보안 효율성을 높일 수 있다”고 말했다.
리니어리티는 “다크웹에는 사이버 공격을 위한 시장이 만들어졌고, 공격자 역시 다크웹을 이용하는 것이 자연스러운 흐름이 됐다. 과거처럼 모든 공격을 혼자 수행하는 것보다, 다크웹을 이용해 공격정보를 거래하는 것이 노력과 비용을 단축시켜 주기 때문이다. 공격자가 기업 액세스 정보를 구입해 내부망으로 침투할 경우, IPS 등 기존의 보안장비가 무력화 될 수 있다. 이 부분을 공격자들도 잘 알고 있기 때문에 위와 비슷한 방식의 공격이 증가할 것으로 보인다”고 말했다.
이어, “이러한 측면에서 OSINT 서비스는 좋은 보호수단이 될 수 있다. OSINT를 이용해 회사 또는 임직원과 관련된 정보가 인터넷 상에 얼마나 노출돼 있는지를 확인할 수 있으며, 실제로 국내 모 기업의 경우 분기당 1회 다크웹에 노출된 크리덴셜을 조회해 유출된 계정에 대해 패스워드 변경 등의 대응조치를 하고 있다”고 말했다.
쿤텍은 “어떤 보안 솔루션이나 서비스를 활용한다고 하더라도 다크웹을 통한 정보 유출을 100% 막을 수는 없기 때문에 지속적인 모니터링을 수행하는 것이 필수적이다. 내부적으로 모니터링을 수행하는 것이 어려운 상황이라면 주기적으로 OSINT 분석 서비스를 받아 외부에 노출된 데이터를 확인하는 것이 중요하다. 이러한 서비스를 통해 외부로 유출된 데이터들이 식별됐을 경우 기업과 관련된 계정 정보를 수시로 변경하고, 이와 관련된 피해상황은 한국인터넷진흥원에 신고를 하는 것이 좋다”고 말했다.
S2W LAB은 “유출 사고 발생 시에는 유출 경로와 원인을 파악하는 것이 중요하다. 기존 위협 그룹들의 공격 수법(TTPs) 등에 대한 정보를 미리 알고 있다면 많은 도움이 된다. 상시 보안 강화 활동으로는 유출된 계정 정보(고객 및 내부 임직원)에 대한 모니터링이 지속적으로 이뤄지고 국내외 관련 업계의 침해사고 및 취약점 관련 정보를 지속적으로 확보하며, 기업 내부와의 연관성 및 위험도를 지속적으로 평가하는 것이 중요하다”고 말했다.
OSINT 시장 성장 위해 출처 범위 확대 및 관계당국과 수사 협력 필요해
OSINT 전문가들은 국내 OSINT 서비스 시장 성장 및 해외시장 진출을 위해 출처 범위와 제공되는 분야를 넓혀야 한다고 입을 모았다. 국내 OSINT 분석은 다크웹이나 딥웹에 집중돼 있는 반면, 전세계적으로는 위성사진, 특허, 논문, 소셜 미디어, 애플리케이션, 도서, 국가 조회 데이터 등 방대한 범위에서 정보를 수집해 연계 분석을 수행하고 있다. 이처럼 OSINT 분석을 위한 정보 수집 범위를 확대하기 위해서는 OSINT 수집 및 조사 방안에 대한 절차와 프레임워크를 고도화해야 하며, 고급 검색 기술을 수행할 수 있는 전문적인 역량 강화도 필요하다는 설명이다.
또한, 범죄 심리, 테러, 마약 등 범죄 관련된 전문가들이 OSINT 조사에 대한 많은 관심을 가지는 것 역시 중요하며, 특히 수사기관 등과 협력하는 등 데이터 수집에 대한 협력 역시 중요하다고 덧붙였다.
[OSINT 기반 위협 인텔리전스 전문업체-1. 레코디드퓨처]
레코디드퓨처, 위협 인텔리전스 통한 보안 운영(SecOps) 구축방안 제시
대부분의 보안운영센터(SOC) 팀은 모니터링하는 네트워크에서 생성되는 방대한 양의 경고에 인질로 잡혀 있으며, 이러한 경고를 심사하는데 너무 오래 걸리고, 많은 경고가 전혀 조사되지 않고 있다. 이렇듯 ‘경고 피로(Alert Fatigue)’는 분석가들로 하여금 경각심을 덜 심각하게 받아들이게 한다. 위협 인텔리전스는 이러한 많은 문제에 대한 해결책을 제공하며, 다른 용도 중에서도 잘못된 경고를 필터링하고 분류 속도를 높이고 사고 분석을 단순화하는 데 사용할 수 있다.
▲위협 인텔리전스 솔루션은 이전 목격, 공격 유형 및 위협 행위자와의 연관성, 위험 점수와 같은 컨텍스트로 경고를 자동으로 강화할 수 있다[이미지=레코디드퓨처]
◇SOC 팀의 책임
서류상 SOC 팀의 책임과 업무는 다음과 같다.
△잠재적 위협 모니터링
△의심스러운 네트워크 활동 감지
△활성화된 위협의 방지
△사용 가능한 기술을 사용하여 완화
의심스러운 이벤트가 감지되면 SOC 팀은 조사 후 다른 보안 팀과 협력해 공격의 영향과 심각도를 줄인다. 실제 SOC 팀의 역할과 책임은 아래 표와 같이 긴급 상황에 대응하는 응급센터의 역할과 책임이라고 생각할 수 있다. 지난 몇 년 동안 대부분의 기업은 네트워크에 새로운 유형의 위협 탐지 기술을 추가했다. 모든 도구는 비정상적이거나 의심스러운 동작을 발견하면 경고를 보낸다. 이러한 도구와 함께 보안 경고의 부조화가 발생할 수 있다. 보안 분석가는 이러한 모든 경고를 자체적으로 검토해 우선순위를 지정하거나 조사할 수 없다. 경고 피로 때문에 경고를 무시하거나 잘못된 경고를 추적하며 실수를 저지르는 경우도 너무 많기 때문이다.
◇컨텍스트가 가장 중요
SOC의 위협 인텔리전스는 리스크 기반 의사결정에 필요한 외부 정보와 컨텍스트를 통해 내부 경고를 강화하는 것을 핵심으로 한다. 컨텍스트는 신속한 분류에 중요하며 사고(인시던트)의 범위 지정 및 포함에도 매우 중요하다.
경고 선별(Alert Triage)에는 많은 컨텍스트가 필요하다. SOC 분석가의 하루 중 상당 부분은 SIEM 또는 EDR 기술과 같은 내부 보안 시스템에서 생성된 경고에 응답하는데 소비된다. 내부 데이터 소스는 잠재적으로 악의적인 네트워크 활동이나 데이터 침해를 식별하는 데 중요하다.
안타깝게도 이 데이터는 종종 분리해 해석하기가 어렵다. 경고가 적절하고 긴급한지 판단하려면 다양한 내부 시스템 로그, 네트워크 장치 및 보안 도구, 외부 위협 데이터베이스에서 관련 정보(컨텍스트)를 수집해야 한다. 이러한 모든 위협 데이터 원본에서 각 경고에 대한 컨텍스트를 검색하는 데는 많은 시간이 소요된다.
◇활용 사례: 상호 연관(Correlating) 및 강화(Enriching)
충분한 컨텍스트에 접근하지 않고 초기 경고를 분류하려는 분석가는 헤드라인만 읽은 후 뉴스 기사를 이해하려는 사람과 같다. 분석가가 위협 피드 형태의 외부 정보에 접근할 수 있는 경우에도 해당 정보는 경고와 관련된 다른 데이터와 동화되고 상호 연관되기가 매우 어렵다.
위협 인텔리전스 솔루션을 통해 제공되는 정보는 상황을 완전히 바꿀 수 있다. 이러한 솔루션에는 아래 그림에 나와 있는 것처럼 위협 데이터를 지능적으로 자동으로 강화(Enriching)하고 경고와 상호 연관(Correlating)시키는 기능이 있다. 제공된 컨텍스트에는 멀웨어 또는 의심스러운 IP 주소에 대한 최초 및 최신 레퍼런스, 관찰 횟수, 공격 유형 및 특정 위협 행위자와의 연관성, 멀웨어의 동작 또는 IP 주소 사용에 대한 설명(예시: 봇넷의 일부)이 포함될 수 있다. 이러한 강화 기능을 통해 SOC 분석가는 가장 중요한 위협을 신속하게 식별하고 이를 해결하기 위해 즉각적이고 정보에 입각한 조치를 취할 수 있다.
◇판별 시간의 단축
위협 인텔리전스는 SOC 직원에게 훨씬 적은 노력으로 신속하게 경고를 분류하는데 필요한 추가 정보와 컨텍스트를 제공하고, 이를 통해 분석가가 다음과 같은 기준으로 경고를 추적하는데 시간을 허비하는 것을 방지할 수 있다.
△악의적이라기 보다는 무해한 행동
△해당 기업과 관련이 없는 공격
△방어 및 통제가 이미 마련되어 있는 공격
◇경고 선별을 넘어서
경고 선별은 보안 대응을 가속화하며, 위협 인텔리전스를 통해 SOC 팀은 사고 분석 및 격리를 단순화할 수 있다. 예를 들어, 금융 애플리케이션에 대한 공격의 첫 번째 단계로 사이버 범죄자들이 특정 멀웨어를 자주 사용한다는 사실을 밝혀낸다면 SOC 팀은 해당 애플리케이션을 더 면밀히 모니터링하고 해당 공격 유형의 다른 증거를 찾을 수 있다.
[OSINT 기반 위협 인텔리전스 전문업체-2. 쿤텍]
쿤텍, 심층적인 OSINT 분석 서비스 제공으로 사이버 범죄 근간 추적한다
◇이름 없는 범죄자들의 소굴, 다크웹
현대인은 인터넷 없이는 1시간도 생활하기 힘들 정도로 인터넷 기반의 다양한 서비스를 이용하고 있다. 이로 인해 일상적인 생활은 물론 산업 전반에 걸친 편리성은 매우 향상되었지만 이전에는 알지 못했던 부정적인 사례도 많이 발생하고 있다. 사이버 범죄가 대거 증가한 것이 대표적인 부정적인 측면이다. 특히, 최근에는 일반적인 오픈웹 보다 더욱 익명성이 강화된 다크웹, 딥웹, 각종 SNS 등을 악용한 사이버 범죄가 폭발적으로 증가하고 있다.
▲쿤텍의 OSINT 분석 서비스를 통해 다크웹 내 기업 계정 유출 내역을 포착한 모습[이미지=쿤텍]
다크웹이나 SNS 기반의 사이버 범죄는 단순한 개인정보 유출 피해를 넘어 보이스피싱 등 2차 범죄로 이어질 가능성이 매우 높다. 2019년에는 국내 공무원과 외교관의 여권 정보가 유출되어 다크웹 내 블랙마켓에 게시된 사건이 발생했는데, 이처럼 공공기관과 관련된 개인정보가 유출될 경우 이는 불법 사칭 또는 위조 사건으로 이어져 국가 안보까지 위협하는 중대한 범죄 사건으로 확대될 수 있다는 점에서 경각심을 가져야 한다.
이러한 사이버 범죄로 인한 피해를 최소화하기 위해서는 실제 범죄로 이어질 수 있는 우범 데이터의 거래 정황을 빠르게 포착하고 해당 범죄 모의에 가담한 불법 계정을 집중 추적해 사전에 범죄 발생을 차단해야 한다. 하지만, 다크웹과 SNS에서는 이미 너무 많은 정보가 공유되고 있기 때문에 실제 범죄와 관련된 특정 정보를 검색하는 것조차 쉽지 않아 OSINT 전문가 중심의 심층적인 종합 분석 서비스를 통해 정보를 가려내고 추적하는 것이 필수적이다.
◇쿤텍, 심층적인 OSINT 분석 서비스 제공으로 사이버 범죄 근간 추적
사이버 범죄 데이터 조사 분석 전문기업 쿤텍은 자체 플랫폼과 OSINT 전문 인력으로 구성된 전담팀의 전문적인 OSINT 모니터링 및 분석 서비스를 제공해 딥웹, 다크웹, 각종 SNS 등의 익명성을 악용하는 사이버 범죄자를 체계적으로 추적할 수 있도록 지원한다. OSINT 분석 서비스와 관련하여 쿤텍의 나가진 TND1팀 팀장과 인터뷰를 진행했다.
쿤텍은 어떤 방식으로 OSINT를 분석하는가?
쿤텍은 글로벌의 실제 수사 기관 다수가 사용하여 기술력을 검증 받은 데이터 수집 플랫폼 CHE(Cyber Hawk Eye)와 심층적인 OSINT 전문 지식을 보유한 OSINT 전문가로 구성된 전담팀의 심층 분석 서비스를 통해 다크웹, SNS를 통해 거래되는 각종 우범 정보를 종합적으로 수집하고 분석한다
OSINT 분석은 주로 어떤 분야에서 활용되는가?
OSINT 분석은 공공기관 기반의 사이버 범죄 조사 및 수사에서 활용되는 비중이 가장 크다. 이미 다양한 다크웹의 포럼이나 블랙마켓을 통해 거래가 금지된 마약이나 위조지폐, 각종 명품의 위조상품 등이 거래되고 있지만 전문적인 OSINT 분석 서비스 없이는 체계적으로 우범 정보를 수집하여 범죄자를 특정하는 것에 한계가 있기 때문이다. 공공부문이 아닌 민간부문에서도 OSINT 분석 서비스를 의뢰하는 경우가 많은데, 민간부문에서는 외부로 유출되어서는 안 되는 기술의 기밀정보 및 기술정보 유출 내역을 추적하거나 특정 기업을 사칭하는 이른바 ‘사칭계정’을 추적하기 위해 분석 서비스를 활용하고 있다.
다크웹 또는 SNS에서의 정보 수집 시 주의해야 할 사항은 없는가?
다크웹이나 SNS에 게시되는 데이터는 아무래도 개인정보와 관련된 것이 많다. 아무리 사이버 상에 공개적으로 게시되는 정보라고 하더라도 개인정보에 대한 것이라면 수집에 주의할 필요가 있다. 쿤텍은 사이버 범죄에 대한 수사 및 조사 권한이 있는 기관으로부터 직접 의뢰를 받아 OSINT 분석을 수행하고 국내 대형 법무법인으로부터 법률자문을 받아 OSINT 분석 서비스를 의뢰한 참여자에게 보안서약서 및 비밀유지서약서를 작성하도록 하는 등 법률적인 문제가 발생하지 않도록 철저하게 관리하고 있다.
쿤텍이 보유하고 있는 OSINT 분석 경험을 소개한다면?
쿤텍은 국내 다양한 기관 및 기업의 의뢰를 받아 OSINT 분석 서비스를 수행하고 있다. 국내 기업의 의뢰를 받아 다크웹에서의 기업 계정 유출 내역을 포착한 바 있으며, 2020년엔 수사 권한을 보유하고 있는 공공기관의 의뢰를 받아 위조상품, 마약류 거래와 관련된 OSINT 분석 서비스를 수행함으로써 실제 범죄에 가담한 범죄자의 신원 파악에 기여한 바 있으며 이는 범죄자 검거로 이어지게 되었다. 쿤텍은 이에 해당 기관으로부터 국가재정수입 확보 및 통관질서 확립에 기여한 공을 인정 받아 표창장을 수여받았다.
쿤텍의 OSINT 분석 서비스 활용의 차별화된 기대효과는 무엇인가?
쿤텍의 OSINT 분석 서비스는 상용 도구인 CHE와 오픈소스 도구 기반의 우범 정보 자동 수집과 OSINT 전문가의 수동 조사 및 심층 분석을 병행하기 때문에 기존의 플랫폼 기반 OSINT 정보 수집 서비스에 비해 사이버 범죄 정보에 대한 체계적이고 종합적인 분석 서비스를 제공하면서도 가격 대비 정보 수집 및 분석의 효율성이 우수한 것이 특징이다.
또한, 다양한 언어와 범죄자 고유의 은어가 많이 사용되는 사이버 범죄의 특성을 반영하여 20개 이상의 언어와 다양한 은어를 분석할 수 있는 플랫폼을 기반으로 1차적인 데이터를 수집하고 OSINT 전문 분석가들의 심층적인 연계 분석을 통해 고객이 특정하고자 하는 데이터를 체계적으로 식별한다.
특정 범죄와 관련된 우범 정보 및 불법 계정을 실시간으로 모니터링하고 추가적인 데이터를 통합적으로 수집해 사이버 범죄에 대한 즉각적인 대응을 지원한다. 쿤텍은 이와 더불어 OSINT 데이터 수집 및 분석에 활용되는 도구에 대한 실습 과정에 포함되어 있는 OSINT 심층 분석 교육을 실시함으로써 도구를 도입하기 전에 실질적인 활용성에 대해 평가해볼 수 있는 기회를 제공한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
