카스퍼스키, 위협 인텔리전스 기반 APT·랜섬웨어 대응 전략 발표

[아이티데일리] 카스퍼스키(한국지사장 이효은)는 지난 25일 서울 여의도 콘래드 호텔에서 최고정보책임자(CIO), 최고정보보호책임자(CISO) 대상 조찬 세미나를 열고 지능형 지속 위협(APT) 및 랜섬웨어 대응 전략을 소개했다고 밝혔다.

이날 카스퍼스키 강민석 기술이사는 ‘카스퍼스키 위협 인텔리전스를 이용한 APT·랜섬웨어 대응’을 주제로 위협 동향과 해결 방안을 공유했다.

APT 공격은 정교한 전략을 바탕으로 장기간 이어지며 멀티스테이지 공격, 제로데이 익스플로잇(Zero-day Exploit), C2 서버 활용 등 여러 방식으로 탐지를 우회한다. 최근에는 금전 취득 외에 정치·사회적 목적 달성을 위한 수단으로도 쓰이고 있다.

랜섬웨어 공격은 ‘서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)’ 모델을 통해 확산하고 있다. 단순 암호화뿐 아니라 이중 갈취 방식으로 데이터 유출 압박을 병행하며, 파일리스(Fileless) 공격과 산업별 타기팅 전략으로 탐지를 어렵게 만들고 있다.

강민석 이사는 “APT 공격자들은 더욱 정교한 방식으로 랜섬웨어를 활용하고 있다. 정치적 및 사회적 동기를 가진 공격도 증가하고 있으며, 정부 기관과 대규모 기업이 주요 표적이 되고 있다”며 “공격자들은 특정 목표를 정한 후 장기간 정보를 수집한 뒤 최적 시점에 공격을 감행한다. 이에 대응하기 위해서는 APT 동향 분석 및 위협 사전 탐지가 필수적”이라고 강조했다.

카스퍼스키 위협 인텔리전스는 전 세계에서 수집한 보안 데이터를 기반으로 사이버위협을 분석, 기업이 효과적으로 공격을 예측하고 대응하도록 지원한다. 이 플랫폼은 △행위 기반 탐지 △위협 인텔리전스 피드 △침해지표(IoC) 등 기술로 공격자의 전술, 기법 및 전찰(TTPs)를 실시간 파악한다.

카스퍼스키는 전 세계 사용자가 공유한 보안 데이터에서 개인정보를 제외 후 KSN(Kaspersky Security Network)에 업로드해 위협 인텔리전스를 고도화한다. 특히 ‘봇팜(BotFarm)’을 통해 알려진 모든 봇넷(BotNet) 제품군과 허니팟을 모니터링하며 이를 통해 신규 악성코드를 탐지하고 있다.

한편, APT 공격자는 주로 정부 및 군사기관, 금융·핀테크, IT 및 클라우드 인프라를 주요 표적으로 삼고 있었다. 가장 활동이 두드러진 위협 행위자는 북한과 연계된 ‘라자루스(Lazarus)’였으며 이 외에 김수키(Kimsuky), 데스스토커(DeathStalker), 블라인드이글(BlindEagle) 등 다양한 위협 그룹이 공격을 펼치고 있는 것으로 나타났다.

카스퍼스키 이효은 한국지사장은 “공격자들은 저마다 다른 목적을 가지고 APT와 랜섬웨어 공격을 계속 발전시키고 있다”며 “카스퍼스키는 글로벌 데이터와 첨단 기술로 만들어진 위협 인텔리전스를 통해 위협을 효과적으로 탐지하고 예측할 수 있도록 돕는다”고 말했다.