한국IBM이 확장된 탐지 및 대응(XDR) 통합 플랫폼을 필두로 국내 기업 보안 시장 공략에 나선다. 서비스형 랜섬웨어(RaaS), 비즈니스 이메일 손상 공격(BEC), 디도스 등 고도화를 거듭한 공격들이 연일 쏟아지고 있는 현 상황을 통합 가시성과 자동화된 탐지, 분석, 대응을 제공하는 XDR로 해결하겠다는 포부다.

14일 한국IBM은 서울 여의도 IFC 본사에서 연례 보고서 '엑스포스 위협 인텔리전스 인덱스'와 함께 확장된 탐지 및 대응(XDR) 통합 플랫폼 '큐레이더 XDR'을 소개했다. 공격 표면 관리부터 인공지능(AI)이 접목된 대응 자동화까지 연계해 '빈 틈' 없는 보안을 제공하는 점이 골자다.

김강정 한국IBM 보안사업부 총괄 상무는 "XDR을 통해 보안 위협에 대한 전방위적 탐지와 대응을 확대해야 한다"며 "고립(사일로)화된 환경을 해소하고 모든 영역을 아울러야 한다"고 강조했다.

2022년 사이버 공격 표적 1위는 아시아

IBM 시큐리티 연례 보고서 '엑스포스 위협 인텔리전스 인덱스'에 따르면 아시아 태평양 지역은 지난해 가장 많은 사이버 공격을 받았다. 전체 공격 중 31%가 아태지역에서 발생했다. 이는 지난 2021년(26%)에 이어 2년 연속 1위다.

업종별로 살펴보면 제조업(48%)과 금융 및 보험업(18%)을 겨냥한 공격이 대다수를 차지했다. 공격 수법으로는 첨부 파일을 통한 스피어 피싱(40%)이 가장 많이 사용됐다. 기업 시스템 내부에 '백도어(Backdoor)'를 만든 후 거래 및 의사결정 관련 내용을 주고 받는 과정 중간에 끼어들어 실제 담당자인 것처럼 위장한 이메일을 보내는 '스레드 하이재킹' 방식이다. 

공격자들은 이메일에 악성코드가 포함된 첨부파일을 포함시켜 사용자가 의심없이 클릭하도록 유도한다. 이같은 과정을 통해 PC에 설치된 '익스플로러'를 '키 로거'로 활성화, 입력되는 모든 ID와 패스워드 등을 파악해 기업 자산을 탈취하고 있는 것으로 분석됐다.

전세계적으로도 백도어 유포(21%)는 공격자들이 가장 선호하는 공격방식이다. 추가 공격이 가능한 것은 물론, 다크웹 상에서 백도에 액세스 권한에 대한 시장 가치가 상승함에 따라 공격 횟수가 늘어나고 있는 것이다. 실제로 최근 백도어 엑세스 권한은 1만달러(약 1304만4000원)에 판매되고 있다. 반면 신용카드 데이터는 10달러(약 1만3052원)에 거래된다.

두번째로 높은 빈도를 보인 것은 랜섬웨어(17%)다. 비중 자체는 지난 2021년 21%에서 다소 감소했으나, 공격을 완료하는데 소요되는 시간은 과거 평균 2개월에서 단 4일로 단축됐다. 대다수의 기업들이 각종 솔루션 도입을 통해 보안을 강화하자 이를 피하기 위해 정교화·지능화를 거듭하는 모습이다.

조가원 한국IBM 보안사업부 기술총괄 상무는 "최근 랜섬웨어는 2중을 넘어 BEC, 디도스 등을 접목한 3중 갈취로 진화하고 있다"며 "고도화되는 사이버 공격에 대응하기 위해 AI를 활용한 대응 자동화 등 대비책 마련이 시급한 상황"이라고 강조했다.

XDR 플랫폼으로 통합 보안 구현

이같은 상황을 타개할 방안으로 한국IBM은 XDR 통합 플랫폼 '큐레이더 XDR'을 제시했다. 큐레이터 XDR은 ▲공격 표면관리(ASM) ▲엔드포인트 탐지 및 대응(EDR) ▲보안정보 및 이벤트 관리(SIEM) ▲보안 오케스트레이션·자동화 대응(SOAR) 등으로 구성됐다.

통합된 환경에서 위협 탐지, 추적, 조사 및 대응을 간소화할 수 있도록 설계됐다. 뿐만 아니라 인공지능(AI)와 사전 구축된 플레이북을 통해 탐지와 분석, 대응을 자동화하는 점이 특징이다. 뿐만 아니라 타사 시스템 및 솔루션과 연계해 개방형 XDR 생태계를 사용자 맞춤형으로 구축하는 일도 가능하다.

이같은 유연성은 '큐레이더 XDR 커넥트(QRadar XDR Connect)' 덕분이다. 타사 솔루션들과의 연동을 지원해 통합 가시성을 제공하는 것이다. 김강정 상무는 "보안 솔루션들이 대부분 사일로화 돼있어 가시성 확보가 어려운 경우가 많다"며 "큐레이더 XDR 커넥트를 통해 모든 솔루션에 대한 통합 가기성을 제공하는 것은 물론, 엑스포스로 위협탐지 정보를 실시간으로 적용시켜 문제에 대한 즉각적 탐지와 대응이 가능하다"고 역설했다.

공격 표면에 대한 취약점 탐지는 '란도리(Randori)'가 맡는다. 이는 '란도리 레드팀', '란도리 레콘(Recon)' 등 두 가지 모듈로 구성돼있다. 먼저 레드팀은 공격자 관점에서 시스템에 대한 침투를 통해 이전에 발견하지 못했던 취약점을 찾아내는 '오펜시브 시큐리티'를 수행한다. 란도리 레콘은 노출 표면 확인, 기업 내 숨겨진 IT 자산, 위험평가, 노출 부분 대응 및 우선 순위화 등을 종합적으로 관리해준다.

기업 내 존재하는 스마트폰, 태블릿, PC 등 수많은 엔드포인트 기기에 대한 관리는 EDR 솔루션 'ReaQta'를 통해 가능하다. AI를 활용해 위협을 자동으로 식별하고 관리하는 동시에, 공격자에게 탐지되지 않도록 설계된 점이 특징이다. 향후 IBM은 클라우드 뿐만 아니라 구축형(온프레미스)를 지원하는 신규 솔루션도 출시할 예정이다.

김강정 상무는 "지금까지 외산 벤더들이 제공하는 EDR 솔루션은 전부 서비스형 소프트웨어(SaaS) 기반이었다"며 "제조업처럼 클라우드 시스템으로 전환하지 못한 고객들을 위해 올해 2분기 중 온프레미스 버전을 출시할 예정"이라고 설명했다.

찰스 핸더슨(Charles Henderson) IBM 시큐리티 엑스포스 총괄은 "오늘날 백도어 공격이 향후 랜섬웨어와 같은 위기가 되는 것은 시간 문제"라며 "공격자는 항상 탐지를 회피할 새로운 방법을 모색하고 있기 때문에 방어 태세를 잘 갖추는 것만으로는 더 이상 충분하지 않다"고 지적했다. 이어 "기업은 공격자와의 쫓고 쫓기는 쟁탈전에서 벗어나기 위해 위협 중심 선제적 보안 전략을 추진해야 한다"고 말했다.

김가은 기자 7rsilver@techm.kr