사이버 위협헌팅 보안기업 씨큐비스타(대표 전덕조)가 자사의 차세대 네트워크 감지·대응(NDR) 솔루션에 기반한 스텔스형 사이버 위협 대응 전략 보고서 'CQ 리포트'(CQ Report)'를 1일 발표했다. 회사는 SK텔레콤의 유심 서버 해킹 등 최근 불거진 해킹 사건을 '스텔스(Stealth)형 사이버 해킹'이라고 분류, 이의 대응책을 보고서에 담았다.

보고서는 ▲서론 ▲스텔스(Stealth) 악성코드 위협 분석 ▲기존 방어 수단 한계 ▲네트워크 관점 대응 전략 ▲차세대 NDR 기반 스텔스(Stealth) 위협 대응전략 ▲차세대 NDR에서 스텔스형 위협 탐지 및 방안 ▲결론 등 총 7개 부문으로 구성했다.

■ 최근 불거진 스텔스형 사이버 위협 사건

지난 4월 19일 국내 대형 통신사가 BPFdoor, Symbiote 등 악성코드 공격을 받아 IMSI(국제 이동 가입자 식별자), MSISDN(전화번호), 인증 키 등 민감한 보안 개인정보가 외부로 유출돼, 유심정보를 악용한 휴대폰 신규개통, 개인인증 도용 등 '심 스와핑'을 통한 2차 피해가 잇따를 것으로 우려되고 있다.

해커들은 심 스와핑 수법을 통해 피해자 명의로 수신되는 통화와 문자, 인증코드를 가로채, 금융기관이나 가상화폐 거래소 계정을 탈취하거나 이메일, SNS 계정 등에 접근할 수 있게 됐다. 보안업계는 탈취된 유심(USIM) 정보와 유출된 개인정보가 결합될 경우 더 큰 피해로 이어질 수 있다고 우려했다.

같은 날, 콜센터 전문 운영사의 인사시스템이 LummaC2 악성코드 해킹 공격을 받아 임직원과 퇴사한 임직원들의 개인정보 약 3만 6천건이 유출되는 사고도 발생했다. 이름, 주민등록번호 뒷자리, 비밀번호, 계좌번호, 연락처 등이 암호화돼 유출됐으며, 증명사진, 신분증 사본, 통장 사본, 근로계약서, 서명 정보, 가족관계증명서, 주민등록등본, 혼인관계증명서 등이 암호화 없이 유출됐다. 해킹된 약 22GB 분량의 개인정보는 다크웹에서 2천만원에 거래되고 있는 것으로 알려졌다.

■ 스텔스형 사이버 위협 대응 전략

스텔스형 위협은 시그니처 기반 탐지 체계를 우회하며, 통신 세션 내 이상 징후를 교묘하게 은닉해 IPS, EDR 등과 같은 기존 보안시스템으로는 탐지하기 어렵다. 최근 급격히 진화하면서 장기간 은닉할 수 있는 능력을 갖췄고, 통신 인프라, 클라우드 서버, 엔드포인트를 위협하는 주요 공격 수단으로 부상하고 있다.

이번 유출사고에 사용된 악성코드는 △은닉형 BPFdoor △기생형 Symbiote △정보 탈취형 LummaC2 등이다. 특히 BPFdoor는 일반 악성코드와 달리 매우 은밀하게 통신을 제어할 수 있도록 설계된 고급 스텔스 백도어 악성코드로, '방화벽, IPS, EDR 등의 기존 보안솔루션'으로는 탐지가 거의 불가능한 것으로 알려졌다.

씨큐비스타는 스텔스형 악성코드들은 각각 고유한 통신 특성과 패턴이 있어, 심층 분석을 통해 이를 조합한 탐지 로직을 구성해야 하며, 비암호화 및 암호화 통신을 아우르는 통합 탐지 및 대응 체계를 구축해 사이버 보안을 강화해야 한다고 강조했다.

이와함께 통신 세션 메타데이터를 실시간으로 분석하는 TTP 탐지 모듈과, 대규모 세션 데이터의 정밀 분석 체계를 병행, 암호화 여부와 관계없이 네트워크상의 은닉형 이상 징후를 선제적으로 탐지할 수 있는 차세대 NDR 대응을 구축해야 한다고 덧붙였다.

전덕조 씨큐비스타 대표는 "최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어, 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화하고 있다"며 "TLS 1.3, QUIC 등 최신 암호화 프로토콜 환경에서도 Beaconing 통신, TLS 핸드셰이크 이상, 주기성 패턴 등을 포착해 은닉형 공격을 조기 탐지할 수 있는 정교한 통신 세션 기반 이상 분석 기법 도입이 시급하다"고 강조했다. 이어 "최근 잇따른 대형 스텔스형 해킹사고는 단순 패턴 매칭이나 복호화에 의존하는 구시대적 보안시스템으로는 더 이상 최신 위협에 대응할 수 없다는 냉혹한 사례"라며 "실시간 통신 메타데이터 기반 행위 탐지와 대규모 심층 분석을 통합한 차세대 NDR 만이 스텔스형 위협 대응체계를 구축하는 실질적인 대안이 될 것"이라고 말했다.

한편 씨큐비스타(CQVista)는 지능형 위협 탐지 및 대응 기술을 중심으로 NDR과 FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다. 주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공기관과 금융기관, 국가기관 등에 채택돼 최고 보안솔루션 기업으로 인정받고 있다고 회사는 밝혔다. NDR 유형으로 보안기능확인서 인증도 획득했다. 최근 IoT 보안 및 암호화 트래픽 위협 탐지 기술로 사업을 확대중이며, 정부 R&D 프로젝트에 참여해 AI기반 위협헌팅기술을 개발하고 있다.