[필 로드리게스 AWS APJ 보안 책임자]아시아 태평양 지역에서 생성형 AI 및 디지털 혁신 이니셔티브가 계속되고 있다. 이에 따라 보안 전문가들로부터 클라우드에서 민감한 워크로드를 보호하기 위해 위협 인텔리전스를 수집하고 사용하는 방법에 대한 질문을 자주 받게 된다.
위협 인텔리전스는 보안 태세를 개선하는 것에 있어 중요한 역할을 하고 있기 때문에 이러한 인텔리전스가 의미 있는 영향력을 가지고 실질적인 비즈니스 가치로 이어질 수 있도록 실행 가능한 인사이트로 전환할 수 있어야 한다.
클라우드 규모를 사용해 위협 인텔리전스 정보 제공
몇 년 전 AWS는 미끼 센서와 교란 도구로 구성된 내부 사이버 보안 도구 모음인 '매드팟'(MadPot)을 개발했다. 이들 도구는 현재 위협 인텔리전스 전략에서 핵심 구성 요소로, 매드팟의 미끼 센서는 그럴듯한 워크로드를 모방해 잠재적인 위협을 유인한 다음 위협 행동을 학습한다. 그 후, 관련 정보를 자동으로 수집하고 상호 연관성을 찾아 분석, 인터넷에서 발생하는 잠재적으로 유해한 활동에 대한 실행 가능한 인텔리전스 데이터를 생성해낸다. 생성된 인텔리전스 데이터를 사용해 네트워크 데이터를 자동으로 무효화하고, 악의적인 활동에 악용되고 있는 공급자에게 인프라차원에서 자동화된 아웃바운드 커뮤니케이션을 신속하게 생성한 뒤 해당 정보를 보안 서비스와 자동 통합해 재투자한다.
악의적인 공격자가 잠재적 취약점을 악용하고 기업 인프라를 테스트하는데에는 90초 정도 밖에 소요되지 않는다. 새로운 미끼가 실행된 후 인터넷을 스캔하는 프로브에 의해 센서를 ‘발견’하기 까지 1분 30초 정도밖에 걸리지 않는 것이다. 이후 침투 및 익스플로잇 시도가 이루어지기까지는 평균 3분 정도 소요된다. 이러한 워크로드가 대중적으로 잘 알려져 있지 않고, 인터넷에 공개된 시스템이 아니라는 점을 고려하면 3분이라는 시간은 매우 짧은 시간이다. 이는 위협 공격자들이 다음 공격 대상을 찾기 위해 얼마나 많은 양의 스캔을 수행하고 있는지, 그리고 얼마나 높은 수준의 자동화를 활용하고 있는지를 보여준다.
매드팟이 악의적인 공격자로부터 조직을 보호하는데 어떻게 도움이 되었는지 보여주는 두 가지 사례를 소개하고자 한다. 2022년, 위협 공격자가 다양한 서비스를 모방하여 취약점 익스플로잇을 시도했을 때 매드팟의 미끼가 다양한 서비스를 모방해 위협을 탐지를 위해 작동하고 있었다. 이를 통해 매드팟은 ‘샌드웜’이라는 위협 그룹을 식별할 수 있는 고유 정보를 수집할 수 있었고, 이 그룹이 고객을 침해하려는 시도도 파악할 수 있었다. 이 인텔리전스를 사용해 고객에게 경고했고 고객은 신속하게 취약점을 완화해 피해를 예방할 수 있었다.
올해 5월에 발생한 또 다른 사례에서 매드팟은 웹사이트를 오프라인 상태로 만들기 위해 디도스(DDoS) 공격을 수행하는 멀웨어 봇넷을 식별하는 신호를 탐지하고 다운로드해 분석했다.
악성 봇넷이 식별되면 AWS 네트워크에서 네트워크 트래픽 통신을 차단해 고객을 보호했다. 매드팟은 명령 및 제어 서버와 최초 도메인 등록기관을 추적한 다음 자동화된 시스템을 통해 사람의 개입 없이 해당 봇넷 영향을 받은 회사에 삭제 알림도 보냈다. 그 결과 서버 호스트와 도메인 등록기관 모두 72시간 이내에 악용된 시스템을 삭제할 수 있었다. 이를 통해 위협 행위자가 DDoS 멀웨어를 배포할 수 없게 되었고, 명령 및 제어 인프라를 다른 곳으로 옮기는 것이 훨씬 더 어려워졌다.
보안은 공동의 책임
우리는 보안을 최우선 과제로 삼고 있다. 글로벌 규모 위협 인텔리전스를 신속하게 전환하는 것은 그 중 하나에 불과하다. 디지털 경제가 성장함에 따라 클라우드와 인프라 보안을 유지하는 것이 엣지 컴퓨팅, 인공 지능과 같은 혁신 기술의 기반이 된다.
위협 인텔리전스는 업무 중단을 야기하고 막대한 손해를 발생시킬 수 있는 사이버 공격을 성공적으로 방어하는 데 도움을 준다. 우리는 매드팟과 같은 글로벌 센서 네트워크와 관련 중단 도구 셋을 통해 클라우드 인프라 전반에서 매일 수백 건에 달하는 사이버 공격을 탐지하고 차단한다. 이처럼 인프라에 대한 사이버 공격의 수행을 더 어렵고 비용이 많이 들게 만드는 것이 목표다. 유관 제공업체와 협력해 인프라 내에서 활동하는 위협 행위자에 대한 조치를 취함으로써 인터넷 전체를 더 안전하게 만드는 데도 기여한다.
기업이나 조직은 보안에 대한 공동 책임 모델을 지속적으로 수용하고 파트너와 협력해 복잡하고 고도화된 사이버 공격에 더 효과적으로 대응해야 한다. 위협 인텔리전스는 전 세계 기업이 지적 재산을 보호하고 새로운 혁신 솔루션을 구현하는 것의 초석이 된다. 여러 기업이 함께 협력하고 인사이트를 공유하면 위협 활동을 성공하기 어려워지고 보안이 전반적으로 향상될 것이다.