운영 효율 높이는 관리형 위협 인텔리전스 서비스 ‘NSHC BOIIM’

보안은 사후 처리도 중요하지만, 기본은 피해를 미연에 방지하는 것이 매우 중요하다. 보안 사고가 발생한 이후에는 아무리 빠르게 대처한다고 해도 피해는 피할 수 없기 때문이다.

하지만 조직의 보안 팀이 사전에 보안 사고에 대비하기 위해서는 수많은 공격 정보를 취합 분석해, 최신 공격 동향과, 현재 조직의 대비 상태에 대한 파악이 필요하지만, 각종 정보를 수집해 자체적으로 위협 인텔리전스를 구축할 수 있는 조직은 거의 없다고 봐도 과언이 아니며, 규모가 작고, 자본이나 인력이 충분치 못한 중소기업이라고 하면 거의 불가능하다고 해도 과언이 아니다. 따라서 대부분의 위협 인텔리전스는 보안 연구소를 운영중인 보안 기업이 제공하는 서비스를 활용하는 것이 일반적이다.

서비스 방식으로 제공되는 XTI

비즈니스 정보 유출과 사이버 위협 정보로부터 자산을 지키는 첫걸음인 위협 인텔리전스를 기반으로 확장된 서비스를 제공하는 NSHC의 XTI(eXtened Threat Intelligece) 서비스인 ‘BOIIM(Business Operational Information Intelligence Management)’은 CTI를 활용해 외부 위협 탐지를 최적화하는 매니지드 보안 서비스다.

이 서비스는 클라우드 위혐 탐지와 대응(CDR), EDR, NDR을 결합해 위협 탐지 범위를 확대하며, 향후 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)과 통합해 클라우드 네이티브 보안까지 확장할 계획이다.

비즈니스 운영을 위한 확장형 위협 인텔리전스 서비스로서, CTI, DarkWeb/OSINT, ASM, MTI 등 각 인텔리전스 영역에 특화된 모듈을 제공하며, 각 플랫폼에 대한 선택적 구성을 통한 효율적인 인텔리전스를 운영한다.

‘BOIIM’은 CTI(Cyber Threat Intelligence)와 OSINT(Open Source Intelligence), ASM(Attack Surface Mangement)와 외부 위협 정보 관리 기능 등 4가지 요소로 구성돼 있으며, 각각 ‘APT와 사이버범죄 해킹 그룹 분석 사이버위협 인텔리전스’인 ‘ThreatRecon’, Deep/DarkWeb 노출과 유출 정보 조사, 프로파일링 전문 인텔리전스인 ‘DarkTracer’, 공격표면관리인 ‘XTI-ASM’, 고객 맞춤형 외부 위협 정보 관리인 ‘deep.insight’ 등을 통해 서비스를 제공한다.

CTI와 관련해서는 NSHC가 운영중인 ‘ThreatRecon’ 팀을 통해 APT와 사이버 범죄 해킹 그룹의 공격 활동에 대한 분석 자료와 MITRE ATT&CK Matrix 기반의 해킹 기법에 대한 상세 정보를 제공한다. 또한 공격 그룹 프로파일링, 유사성 비교, 활동과 특성을 전문가 입장에서 분석해 악성 코드와 사이버 공격 무기 관련 데이터를 제공하며, 주기적으로 기업 운영 내 활용 가능한 CTI 리포트를 제공한다.

OSINT와 관련해서는 다크웹 위협 모니터링 플랫폼인 ‘DarkTracer’를 통해 2000억 건 이상의 방대한 다크웹 빅데이터 기반 유출 정보 검색 기능을 제공하며, 다크웹과 딥웹에 노출된 기업 도메인과 해킹된 계정, 디바이스 정보를 확인할 수 있도록 돕는다. 또한 위협 정보 연관 관계를 추적하고 시각화해 제공한다.

ASM과 관련해서는 ‘NSHC XTI-ASM’을 통해 외부에 노출된(관리/미관리) IT 자산 확인 서비스(진단&스캐닝)를 제공하며, 공격 위협에 노출된 자산에 대한 지속적인 실시간 관리와 모니터링이 가능하다. 또한 공격자 관점의 공격표면 정보 수집과 보안 위협에 대한 검증(VA/PT) 서비스를 제공해, 노출된 보안 위협을 확인하고 취약점을 자동으로 테스트할 수 있다.

외부 위협정보 리포트를 제공하는 deep.insight는 OSINT DB를 통한 위협 정보 분석과 다양한 IoC를 활용한 위협정보를 분석하고 ID/PW 유출 상황과 감영된 디바이스 데이터 분석 기능을 제공한다.

보안 정책과 IT 환경 구성 의사 결정 통찰력 제공

‘BOIIM’은 비즈니스 의사 결정을 위한 전략적인 큰 그림으로 위협 동향과 범위 등을 다루며, 이를 통해 기업의 의사결정권자가 TTP(Tactic, Technic, Procedure)에 대한 이해로 조직의 보안 전략, 정책, 보안과 IT 환경 구성에 대한 의사 결정을 내리기 위한 기반을 제공한다.

내부 IT 환경의 공격 표면(Attack Surface) 분석으로 공격 발생 과정 분석(MITRE ATT&CK Matrix)을 확보해 보안 관리자가 조직 내부 IT 환경에 대한 인텔리전스와 조직 외부 위협 인텔리전스를 확보해, 신규 공격 표면을 확보할 수 있다.

또한 위협 정보와 데이터 수집으로 지표(Indicators)를 생성해, 해킹 그룹이 활용하는 지표로 실제 공격을 탐지하고 차단할 수 있다. 이를 통해 실시간 인텔리전스 정보를 제공하는 대시보드, 인텔리전스 위협에 대한 주기적인 알림을 제공하는 알람, 정기적인 인텔리전스 요약 보고서, 그리고 외부 유출, 노출 자산 관리 등의 기능을 제공한다.