랜섬웨어와 BPFDoor(백도어) 등 지능형 위협을 복호화 없이 탐지, 씨큐비스타 차세대 보안기술 TTP 헌터 기술백서 발표

최근 전세계를 위험에 빠뜨린 주범 랜섬웨어와 BPFDoor(백도어) 등 지능형 위협을 복호화 없이 탐지할 수 있는 강력한 차세대 보안기술 TTP 헌터(TTP Hunter)에 대한 기술백서가 처음 공개됐다.

사이버 위협헌팅 보안기업 씨큐비스타(대표 전덕조)는 고도화된 지능형 위협에 효과적으로 대응하기 위해, 자사 NDR 보안솔루션 패킷사이버의 핵심 기술이자, 모든 보안 공격을 실시간 탐지·분석하는 업계 최고 수준의 TTP 헌터 엔진을 분석한 50페이지 분량의 방대한 보안기술 보고서 씨큐리포트(CQReport)를 18일 발표했다.

핵심 보안엔진에 대한 기술백서를 공개한 것은 매우 이례적이다. 씨큐비스타는 우크라이나-러시아, 이스라엘-하마스, 헤즈볼라 전쟁과 시리아, 미얀마, 수단 내전에 이어 남중국해, 대만, 베네수엘라에까지 전쟁 위협이 고조됨에 따라 국가주도 대규모 해킹공격이 크게 증가하고 있어, 보안업계와 보안책임자가 이들 지능형 위협을 실시간 탐지 분석해 대응할 수 있도록 TTP 헌터 핵심기술 분석보고서를 전격 공개하게 됐다고 설명했다.

■ 차세대 보안 TTP 헌터

패킷사이버에 탑재된 TTP 헌터 엔진은 MITRE ATT&CK 네트워크 기반의 모든 공격 TTP를 실시간 탐지·분석할 수 있는 세계 최초·최고 수준의 전수(全數) 커버리지 탐지 엔진이다. MITRE ATT&CK 프레임워크의 14개 공격 전술을 모두 커버하며, 전체 211개 위협기술 중 네트워크 기반으로 탐지 가능한 위협 60개 중에서 58개 즉, 97%를 커버하며, 이밖에도 68개 기술을 추가로 커버해 총 126개의 기술을 커버할 수 있어, 글로벌 NDR 솔루션들이 아직 달성하지 못한 최상위 레벨 탐지엔진으로 평가받고 있다.

TTP 헌터는 암호화된 위협을 복호화하지 않고 TLS 뿐만 아니라 최신 암호화 프로토콜인 QUIC를 커버하며 전체 211개 기술 중에서 126개를 커버한다. 이는 씨큐비스타가 독자 개발한 대규모 언어 모델(LLM) AI 플랫폼 센티널 AI(Sentinel AI)를 기반으로 각종 APT(지능형 지속 위협) 보고서와 위협 인텔리전스 데이터를 자동 분석해 TTP를 추출하고 이를 탐지 모듈로 개발한 성과이며, 탐지 모듈에서 발생할 수 있는 오탐을 최소화하기 위해 AI를 포함한 다계층분석을 통해서 오탐을 최소화해 보안담당자들이 위협의 실체를 명확히 파악하고 신속 대응할 수 있게 돕는다.

MITRE ATT&CK는 미국 연방정부 지원 하에 실제 사이버 공격 사례를 바탕으로 만들어진 지식 기반 프레임워크로, 전 세계 190개국, 북미 기업의 80% 이상이 활용하고 있어 사실상 보안 분야의 표준으로 자리잡고 있다.

■ 암호화 트래픽, 은닉형 악성코드... 숨겨진 위협도 탐지

이번 백서에는 암호화 트래픽, 랜섬웨어, 은닉형 악성코드 등 숨겨진 위협을 탐지하는 패킷사이버 EVA(PacketCYBER EVA)도 공개됐다. EVA는 TLS와 QUIC 암호화 트래픽에 은닉된 위협을 복호화 과정 없이 탐지할 수 있는 66개 시나리오를 제공하며, △JA3/JA3S △인증서 △상관분석 △머신러닝 등  8개의 알고리즘에 의한 다계층  분석 기법을 결합해 프라이버시를 침해하지 않고 암호화 트래픽에 은닉돼 있는 위협 탐지 정확도와 운영 성능을 확보하는 등 혁신적인 방법론을 적용했다.

랜섬웨어의 경우 공격 초기 단계부터 마지막 단계까지 추적하고 상관 분석해 이중 갈취(Double Extortion) 등 최신 랜섬웨어 공격 패턴을 탐지하는 메커니즘을 채택했다. BPFDoor(T1205.002)와 같은 은닉형 악성코드의 경우 정찰(T1595) 단계부터 매직 패킷, C2 주기성까지 단계별 킬 체인(Kill Chain) 과정을 추적 및 분석해 식별할 수 있는 탐지 기술을 선보여 보안책임자들이 보안전략 수립에 참고할 수 있도록 했다.

씨큐비스타는 이번 성과를 토대로 금융·의료·국방·통신 등 다양한 산업 환경에 특화된 탐지 엔진을 지속적으로 확장하고, 기존 NDR, XDR을 뛰어넘는 차세대 네트워크 보안 체계의 새로운 표준을 제시해 나갈 방침이다.

전덕조 씨큐비스타 대표는 "패킷사이버는 세계 최초·최고 수준의 TTP 전수(全數) 커버리지와 완전한 탐지 투명성을 구현하는데 성공했다"며 "이는 글로벌 NDR 솔루션들이 아직 도달하지 못한 수준으로, 앞으로 패킷사이버가 차세대 NDR 표준 솔루션으로 자리매김할 것"이라고 자신있게 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다. 주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공기관과 금융기관, 국가기관 등에 채택돼 최고 보안솔루션 기업으로 인정받고 있으며, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득했다. IoT 보안 및 암호화 트래픽 기반 위협 탐지 기술로 사업 확대중이며, 정부 R&D 프로젝트에도 참여해 보안관제 및 위협헌팅기술을 개발하고 있다.