2023 K-CTI 대한민국 사이버위협•침해사고대응 인텔리전스 컨퍼런스 참관

행사명: K-CTI 2023

일시: 203.02.08(수) 9:00 ~ 17:00

장소: 한국과학기술회관

발표자료: https://www.dailysecu.com/form/register.html?form_id=1672361997

 

이번 발표장에서 공통적으로 가장 많이 나온 단어는 ‘선제적 대응/조치’ 입니다.

사이버 위협 인텔리전스에서 중요한 Key Point라고 생각합니다.

 

섹션	내용
[1] ScarCruft 그룹의 정보 수집 활동 –부제: Forward Defense -KISA 이태우	KISA 종합분석팀에서는 Threat Hunting Life Cycle 모델을 활용해서 프로파일링을 하고 있다. 우선, FENS(자체도구), Sand Box 등을 이용한 동적분석을 통해 주요 침해정보를 수집하고 심각도가 높다고 판단이 된다면 사고조사 및 IoC수집, 분석 리포트 공개 후 프로파일링을 한다.   Defend Forward는 미 국방부에서 만든 개념으로 사전적 의미로 선제적 대응을 뜻 하며, 공격적인 사고방식(Mitre ATT&CK기반 TTPs)으로 대응을 의미한다.   최근 종합분석팀에서는 Go언어 기반의 Malware에 대한 조치/차단 방안에 대해 연구 중 이다. 지금까지 감염된 호스트 경우 조치/차단을 하고 Decoy Document 경우 백신회사에 의뢰해서 조치/차단으로 해결 했지만, Go Lang ably의 경우 정상 API 서비스이기 때문에 서비스 자체를 차단할 수 없어서 이에 대한 대응 방안을 연구 하고 있다.   앞으로 악성코드, 침해사고 조사/분석은 공격에 사용된 데이터들을 프로파일링 할 수 있도록 해야 한다.
[2] 네트워크 트래픽 심층 분석을 통한 고도화된 위협 탐지 및 대응 -RSA 조남용	실질적인 피해를 줄이려면 초기침투 단계에서 내부 확산 전에 조치/차단을 해야한다. 관제에서 차단만 하게 되면 공격자는 공격 행위를 중단하고 내부망에 더 많은 C&C서버 확보에 집중하게 되어 CERT에서 대응하기 전에 내부망 점령을 한다.   그래서 초기 침투 단계에서 선제적으로 대응 해야 하는데 해당 이벤트를 얼마나 빠르고 넓게 탐지 할 수 있느냐에 따라 달라진다. 대부분의 보안장비는 탐지된 이벤트 또는 일부 로그만 볼 수 있기 때문에 빠르게 대응하기 어렵다.   이러한 문제점은 네트워크 원본 트래픽을 통해 초기 침투부터 침해 시도 범위 확인이 가능하다. RSA는 클라우드, VM, 서버 등의 트래픽을 미러링 해서 세션기반으로 메타 데이터를 달아준다. 여기서 메타 데이터만 따로 저장하고 트래픽 원본 데이터는 고유 ID를 부여해서 저장한다.   메타 데이터는 다양한 IoC와 연동하여 탐지 이벤트 생성한다. 예를 들어 HTTP헤더가 일반적인지 아닌지 확인을 하고 Body 부분에 Payload를 Decoding 후 연동된 IoC에 등재 되어있는지 비교를 한다.
[3] 사이버 위협 인텔리전스, 고객 활용 사례 소개 -레코디드퓨처 윤광택	레코디드퓨처에서 정의하는 인텔리전스는 다양한 출처의 데이터에서 검증되고 정제된 데이터로써 분석가 대신 필요한 데이터를 바로 보여 줄 수 있는 것이라고 말한다.   무료로 고품질 리포터를 메일로 제공 하고 있다. https://go.recordedfuture.com/cyber-daily
[4] 신속한 변화를 위한 암호화 및 양자 위협 -탈레스 John Ray	양자시대가 오는 것은 확실하고 양자컴퓨터는 곧 공개 될 예정이다. 양자내성 암호화에 대한 표준을 NIST에서 작성하고 있으며, 표준이 공개되면 PKI는 폐기 될 개념이다. 그래서 암호화 민첩성이 중요해진다. 암호화 민첩성은 기존에 사용하는 암호를 양자내성 암호화로 전환 시 가용성 문제에 대한 내용이다.   지금부터 양자내성 암호화에 대하여 생각을 하고 천천히 준비를 해야 하고 현재 쓰고 있는 암호 알고리즘을 전환 할 때 가용성 문제가 없는지 체크를 해봐야 한다.
[5] 정보 유출 위협과 인텔리전스 -NSHC 최상명	Dark Tracer를 활용한 샤오치잉 그룹에 대한 프로파일링 데모를 진행
[6] 사이버 위협 인텔리전스 활용을 통한 불법 가상화폐 거래 분석 및 추적 –인섹시큐리티 천성민	-
[7] 최신 다크웹 동향으로 본 CTI필요성 –S2W 박민수	S2W는 공격자 추적도 하고 있지만 조력자 추적에 좀 더 신경을 쓰고 있다. 공격 그룹의 주요 트렌드가 다크웹에서 텔레그램으로 넘어가던가 이원화로 운영 하고 있다.   고객 대상으로 비공개 커뮤니티를 운영하며 기업 맞춤형 리포트를 주기적으로 제공하고 있으며, 필요시 대응방안에 대한 가이드를 해주고 있다.
[8] 금융 회사 침해 사고 분석 -엔키 천호진	-
[9] 러시아-우크라이나 사이버전 정세 –씨엔시큐리티 백승우
[10] 최신 Attack Surface 위협모니터링 –익스웨어랩스 윤영	-