[지디넷코리아]
“랜섬웨어 등 공격자들은 사실상 ‘회사’와 비슷한 형태를 갖췄다고 보는 것이 맞다. 개발, 고객지원, 협상전문가 등 분업 구조도 갖추고 있다.”
배상민 이스트시큐리티 시큐리티대응센터(ESRC) 실장은 2일 지디넷코리아와 인터뷰에서 “기업이 다른 기업과 협약을 맺는 것과 비슷하게 공격자들도 다른 랜섬웨어나 지능형 지속 공격(APT) 그룹들과 협력하는 듯한 형태를 보인다”며 이 같이 밝혔다.
특히 배 실장은 공격자 간 결합하는 형태, AI를 적극 악용하는 모습 등에서 최근 위협이 더욱 고도화됐다고 진단했다. 지난해 엔터프라이즈급 기업이나 공공기관에서 대규모 침투 사례가 공개되기도 했다면서 “이런 침해 사고는 지난해에만 급격하게 늘어난 것이 아니다. 계속해 공격 시도가 있어 왔고, 알려진 것은 일부분이다. 올해에도 이런 공격들은 계속될 것”이라고 내다봤다.
올해 공격 방식의 패러다임은 변하지 않을 것으로 봤다. 하지만 취약점, 스피어피싱, 랜섬웨어 등 기존에 나왔던 공격방식의 고도화가 진행되며 방식에도 변화가 있을 것으로 예상했다. 또 공격자 입장에서 AI를 활용함으로써 공격에 대한 속도와 공격횟수가 작년과 분명한 차이가 있을 것으로 전망했다.
배 실장은 “공격자의 AI 악용이 올해 두드러질 전망이다. 실제 북한 배후 공격 그룹 등에서 AI가 등장하기 이전에는 특정 폴더의 폴더명에서 오타가 발견되는 경우도 있었다. 그러나 최근 대부분의 공격에서 이런 ‘인간적인’ 면을 찾아보기 쉽지 않다. 공격 도구나 방식이나 코드스타일과 주석, 스피어피싱의 내용 등에서 공격자가 AI를 적극적으로 활용하고 있다는 것이 체감된다”고 밝혔다.
가장 위협적인 공격 세력은 랜섬웨어 조직 ‘킬린(Qilin)’을 지목했다. “현 시점에서 기업이 가장 촉각을 세워 방어해야 하는 것은 랜섬웨어다. 랜섬웨어는 사후 대처가 불가능하기 때문에 특히 더 위험하다”며 “킬린이 가장 위협적이다. 공격이 굉장히 광범위하고 정교하다”고 분석했다.
공격이 정교해질수록 공격자를 제대로 파악하는 것이 무엇보다 중요하다. 공격자의 기법과 동향, 실제 침해 지표 등을 수집하고 재가공한 것을 사이버 위협 인텔리전스(CTI)라고 한다. ESRC는 공격자들의 동향을 파악하고 수집·분석해 공유하고 대응과 연구하는 조직이다. 배 실장이 이끄는 ESRC는 위협 대응팀, 위협 분석팀, 위협 개발팀 등 3개 팀으로 구성돼 있다.
“우리 회사 ESRC는 단순 보안 운영 조직(SOC)이라기보 보안 회사로서 우리 제품의 퀄리티와 대응력을 높이고 사이버 위협에 대한 연구와 대응을 하는 조직”이라며 “이를 위해 CTI에 초점을 맞추고 있으며, 수집·분석한 인텔리전스를 기반으로 우리 제품 역량 강화에 기여하고 있다”고 설명했다.
ESRC의 3개 팀 중 위협 대응팀은 내부적으로 수집되는 CTI 정보, 외부에 공개된 소스(OSINT), 침해 지표(IoC), 보안 이슈 등을 전부 수집해서 자사 제품에서 대응할 수 있도록 하는 업무를 주로 한다.
또 위협 분석팀은 악성 코드 분석을 하는 업무를 담당한다. 위협 대응팀보다는 CTI에 대한 세밀한 분석을 담당하고, 사람이 분석하는 것이 아닌 AI를 적극 활용한 자율 분석 시스템을 구조화시켜 분석 역량을 강화하는 역할도 전담한다.
위협 개발팀은 ESRC가 더 많은 정보를 흡수하고 정제된 CTI를 확보하기 위한 CTI 모니터링 시스템’과 ‘TIops(위협대응 파이프라인)’ 개발 업무를 담당한다. 현재 공식 버전은 아니지만 개발팀에서 지난해 말 CTI 모니터링 시스템 개발에 착수해 고도화 작업을 이어가고 있다.
배 실장은 “공격자들이 AI를 악용하고 있기 때문에, 방어자인 ESRC 역시 AI를 활용해야 한다. AI의 정교함과 더불어 빠른 대응·분석 능력에 초점을 맞췄다”며 “AI를 악용한 빠르고 방대한 양의 공격들을 대응하기 위해서는 AI 기반의 체계화된 모니터링 시스템이 없으면 살아남을 수가 없다”고 강조했다.
그는 ESRC가 ‘AI를 통한 업무 효율화’로 최근 큰 변화를 겪었다고 말했다. ESRC의 AI 역량에 대해서는 “일정 레벨의 분석가 수준까지 올라왔으며, 발전속도가 빠르게 가속화 되고 있다. 지난해 말 기준 한 사람이 분석하는 데 걸리는 시간과 아웃풋을 AI와 비교했을 때 50배가 넘는 차이를 보였다”면서”이제는 인간이 AI의 속도를 따라갈 수 없고 자체적으로 대응을 끝마친 뒤 보고하는 형식으로 발전할 것으로 전망한다. 이스트시큐리티의 알약처럼 백신이 악성코드를 실시간으로 탐지하고, 삭제한 후 삭제했다고 알림을 보내주는 식”이라고 설명했다.
이 외에도 배 실장은 ESRC CTI 관련, 오랜 기간 서비스한 알약과 더불어 자사 제품들을 통해 수집되고 축척된 CTI 정보와 최근 개발된 CTI 모니터링시스템이 가장 큰 특장점이라고 설명했다.
배 실장은 이스트시큐리티의 ‘원클럽맨(one-club man)’이다. ‘원클럽맨’은 선수 생활(프로 커리어) 대부분 또는 전부를 한 팀에서만 보낸 선수를 말한다. 2006년 이스트시큐리티에 입사한 배 실장은 올해로 20년째 한 회사에서 근무하고 있다. 작년 2월부터 ESRC 지휘봉을 잡고 있다.
“20년이 지나 ESRC라는 조직을 운영하고 있는 입장에서 구성원들이나 시스템을 시대적인 배경에 맞춰 근본적인 설계를 변경해나가는 리더로 나아가고 싶다”며 “내·외부적으로 하고 있는 업무에 대한 질적 향상도 중요하겠지만 급변하는 시대를 따라가지 못하면 금방 뒤처지게 된다”고 다짐했다.
그는 “AI로 인한 자동화된 시대의 흐름에 맞춰 개발, 분석하고 나아가 구조를 변경해낼 수 있어야 한다”며 “ESRC의 CTI가 보안업계 트렌드를 재설계하겠다는 야심찬 포부보다는 CTI 생태계에서 뒤처지지 않도록 시대의 변화에 누구보다 빠르게 대응하는 리더가 되고 싶다”는 포부를 남겼다.
배상민 이스트시큐리티 ESRC 실장은…
– 1981년 출생
– 2006년 이스트시큐리티 입사
– 2014년 이스트시큐리티 보안SW사업본부 보안대응팀 악성코드대응파트장
– 2019년 이스트시큐리티 ESRC 탐지조치팀장
– 2023년 이스트시큐리티 비즈니스인텔리전스센터 ESRC 보안서비스팀장
– 2024년 이스트시큐리티 개발혁신센터 ESRC 보안서비스팀장
– 2025년 이스트시큐리티 ESRC 실장