실시간
뉴스

보안

SKT 사고는 '스텔스형 해킹'…"구시대적 보안으로 대응 불가"

씨큐비스타, 스텔스형 위협대응 보고서 발간

[ⓒ씨큐비스타]
[ⓒ씨큐비스타]

[디지털데일리 김보민기자] SK텔레콤과 같은 대규모 해킹 사고가 재발하지 않기 위해 차세대 보안 전략이 필요하다는 의견이 나왔다.

씨큐비스타(대표 전덕조)는 스텔스형 사이버 위협 대응 전략을 분석한 '씨큐리포트(CQ Report)'를 긴급 발표했다고 1일 밝혔다. 이번 보고서는 지난 4월 SK텔레콤에서 발생한 유출 사고를 '스텔스형 해킹'으로 분류해, 위협 개요와 대응 방안을 다뤘다.

보고서에 따르면 지난 4월 국내 대형 통신사는 BPF도어, 심비오트(Symbiote) 등 악성코드 공격을 받아 국제이동가입자식별자(IMSI), 전화번호(MSISDN), 인증 키 등 민감 보안 개인정보가 외부로 유출돼 2차 피해가 따를 수 있다는 우려가 이어지고 있다. 탈취된 유심(USIM) 정보와 개인정보가 결합될 경우 큰 피해가 이어질 수 있다는 점도 주목했다.

스텔스형 위협은 시그니처 기반 탐지 체계를 우회해 통신 세션 내 이상 징후를 은닉한다는 특징이 있다. 엔드포인트탐지및대응(EDR) 등 기존 보안시스템으로 탐지가 어렵다는 의미다. 해커들은 최근 전략을 고도화해 장기간 은닉할 수 있는 역량을 갖췄고, 통신 인프라와 클라우드 서버 등을 위협하는 공격 수단을 펼치고 있다.

씨큐비스타는 이번 유출사고에 사용된 악성코드로 은닉형 BPF도어, 기생형 심비오트, 정보 탈취형 룸마C2(LummaC2)를 언급했다. BPF도어는 일반 악성코드와 달리 은밀하게 통신을 제어할 수 있도록 설계돼 방화벽 등 기존 보안 체계로 탐지가 불가능한 것으로 알려졌다.

씨큐비스타는 스텔스형 악성코드가 각각 고유한 통신 특성과 패턴을 갖고 있어, 심층 분석을 통해 이를 조합한 탐지 로직을 구성해야 한다고 강조했다. 아울러 비암호화 및 암호화 통신을 아우르는 통합 탐지 및 대응 체계를 구축해 사이버보안을 강화해야 한다고 제언했다.

이와 함께 통합 세션 메타데이터를 실시간 분석하는 TTP 탐지 모듈과 대규모 세션 데이터 정밀 분석을 병행해, 암호화 여부와 관계없이 네트워크상 은닉형 이상 징후를 탐지할 수 있는 차세대 네트워크탐지및대응(NDR)을 구축해야 한다고 강조했다.

전덕조 씨큐비스타 대표는 "최근 사이버 위협은 단순한 시그니처 탐지를 우회하는 수준을 넘어, 커널 은닉, 암호화 통신 위장, 포트리스(portless) 백도어 통신 등 점점 더 고도화되고 있다"며 "TLS 1.3, QUIC 등 최신 암호화 프로토콜 환경에서도 주기성 패턴 등을 포착해 은닉형 공격을 조기 탐지할 수 있는 정교한 통신 세션 기반 이상 분석 기법 도입이 시급하다"고 말했다.

이어 "최근 잇따른 대형 스텔스형 해킹사고는 단순 패턴 매칭이나 복호화에 의존하는 구시대적 보안시스템으로는 더 이상 최신 위협에 대응할 수 없다는 냉혹한 사례"라며 "실시간 통신 메타데이터 기반 행위 탐지와 대규모 심층 분석을 통합한 차세대 NDR 만이 스텔스형 위협 대응체계를 구축하는 실질적인 대안이 될 것"이라고 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문 기업이다. 주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공·금융·국가 기관에 채택됐고, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득했다. 최근 사물인터넷(IoT) 보안 및 암호화 트래픽 위협 탐지 기술로 사업 확대중이며, 정부 연구·개발(R&D) 프로젝트에 참여해 인공지능(AI) 기반 위협헌팅기술을 개발하고 있다.

디지털데일리 네이버 메인추가
x