MITRE ATT&CK 2024 결과: 사이버리즌, SOC 효율성과 운영 우수성 부문 리더로 평가 받아
점점 더 정교하고 복잡한 사이버 위협 환경에서 보안 팀은 끊임없이 울리는 경고 소리 속 진짜 위험을 구별하는 데 어려움을 겪고 있습니다. 심지어 공격자들은 전 세계적으로 활동하며 24시간 내내 윈도우, 리눅스, macOS 환경의 엔드포인트를 타겟으로 고급 랜섬웨어 및 스파이 기법을 사용하고 있습니다. 최근 2024 MITRE ATT&CK® 엔터프라이즈 평가에서 사이버리즌은 별도의 설정 변경 없이 100% 탐지 커버리지 역량과 운영 효율성의 우수성을 다시 한 번 입증했습니다.
올해의 MITRE 평가는 CLOP1), LockBit2) 및 DPRK3) 공격자를 모방한 고급 랜섬웨어 위협 시뮬레이션 테스트로 진행되었으며 윈도우, 리눅스, macOS 환경에서 솔루션을 평가했습니다.
1) CLOP(클롭): 기업 및 기관을 타겟으로 파일을 암호화한 후 암호 해독을 위해 금전적인 대가를 요구하는 랜섬웨어
2) LockBit(락빗): 기업의 네트워크를 타겟하는 랜섬웨어이며 자가 복제 기능으로 네트워크 내 다른 장치로 자동 확산하는 특징이 있음
3) DPRK(조선민주주의인민공화국): 금융범죄, 정보 탈취, 정치적 목적으로 사이버 공격을 감행하는 북한 정부나 관련 단체가 후원하는 사이버 APT 공격 그룹의 총칭으로써,
이번 2024년도 MITRE ATT&CK 평가에서는 동일 소속 해킹 그룹들의 MacOS를 타겟으로 한 APT 시나리오 공격 테스트 진행
사이버리즌은 설정 변경이나 지연 없이 모든 위협 단계에서 100% 실시간으로 탐지해내 사이버공격에 대한 완벽한 커버리지를 보여주었습니다. 또한 100%의 정탐(True Negative, 정확히 이상을 탐지)과 0개의 오탐(False Positive, 정상적인 작동을 이상으로 탐지)을 기록해 사이버리즌의 우수한 역량을 입증했습니다. MITRE 결과에서는 Correlation(CMC) 엔진과 AI/ML 기반 분석으로 작동되는 사이버리즌의 특허 기술인MalOp™(Malicious Operation)의 강점도 주목받았습니다.
MalOp™ 은 공격의 전 과정, 행동, 사용자, 머신, 타임라인을 하나의 스토리로 연결하여 운영 중심의 관점을 제공합니다. 이 강점은 수많은 경고로 인한 피로, 보안 전문가의 부족, 정교해지는 위협에 시달리는 보안 팀에게 큰 변화를 가져다 주었습니다. 각 경고를 독립적으로 조사할 필요가 없어졌으며 분석가는 악의적인 행위 전체를 한 눈에 볼 수 있게 되었습니다. 그 결과 평균 대응 시간(MTTR)이 감소했고, 여러 SIEM 쿼리나 수작업의 상관관계 분석 시간을 절약할 수 있었습니다.
MITRE ATT&CK 결과가 보안팀에게 어떤 영향을 끼칠까요?
▲ 설정 변경 없이 즉시 탐지, 오탐 0%
사이버리즌은 추가적인 장비나 설정 변경 없이 100% 탐지 커버리지를 달성했으며, 오탐을 생성하지 않았습니다.
또한 지연 없이 실시간으로 탐지하고 대응하여 즉각적인 대응이 가능했습니다.
분석가들은 이제 불필요한 경고 없이 신뢰할 수 있는 정보를 실시간으로 받아 조사에 집중할 수 있습니다.
▲ 모든 환경에서 가시성 향상
CLOP, LockBit 과 같은 랜섬웨어 공격자가 타겟하는 윈도우, 리눅스 엔드포인트부터 북한과 연계된 공격자가 타겟하는 macOS 시스템까지 MalOp™ 기술은 완벽한 커버리지를 보장합니다.
Cross-Machine Correlation 엔진으로 초당 8천만 개의 이벤트를 처리하여 공격자가 숨을 곳을 없게 만듭니다.
▲ 행동 지표(IoB)4) 중심
사이버리즌은 단순한 침해 지표(IOC)5) 대신 악의적인 의도를 드러내는 행동 지표(IoB)에 집중합니다.
이를 통해 새로운 공격 패턴을 조기에 식별하고 기존 방어를 회피하는 고도화된 위협까지 탐지할 수 있습니다.
4) 행동 지표(IoB): 공격자의 행동 데이터를 수집 및 분석하여 정교한 공격이나 이전에 본적 없는 멀웨어 포착에 도움이 되는 지표
5) 침해 지표(IOC): 멀웨어 유형, IP 주소, 기술적 제부 사항 등 보안팀에서 공격 발생 여부를 판단하는데 사용되는 지표
▲ 경고로 인한 피로와 번아웃 극복
경고 피로는 단순한 성과 문제가 아니라 팀의 사기에 관한 문제입니다. 과중한 업무로 인해 분석가들이 빨리 번아웃되고 있습니다. 이로 인해 이직이 증가하고 보안팀 내의 지식 격차가 발생할 수 있습니다. 이때
공격자들은
이 틈을 악용할 수 있습니다. 사이버리즌이 최근 1200명의 글로벌 보안 전문가를 대상으로 진행한 보안 운영 설문조사 결과에 따르면 팀은 경고 과부화로 인해 최대 20%의 공격을 놓치고 있으며, SOC 전문가의
16%는 주간 경고의 절반 정도만 처리하고 있습니다.
MITRE ATT&CK 평가 결과가 보여주듯 사이버리즌을 도입하면 보안팀이 오탐이나 불완전한 증거를 걸러내는 데 소요하는 시간을 줄이고, 조직을 선제적으로 방어하는 데 더 집중할 수 있습니다. 특히 MalOp™ 기술로 상관관계 분석 및 분류 자동화하여 주니어 분석가도 복잡한 위협을 효과적으로 처리할 수 있도록 팀을 강화합니다.
앞으로의 방향
암호화를 넘어서서 랜섬웨어, AI 기반 소셜 엔지니어링, 국지화된 공격 전술로 위협 환경이 진화하는 만큼 방어 또한 끊임없이 진화되어야 합니다.
기존의 통제 및 서명 기반 탐지에만 의존하는 것은 더 이상 충분하지않습니다.
공격자들이 계속해서 적응해 나가는 만큼 보안 팀도 포괄적인 커버리지, 즉각적인 맥락, 더 빠르고 정밀한 대응을 제공하는 도구를 수용해야 합니다.
사이버리즌의 미래 지향적인 솔루션은 EDR, EPP, MDR 서비스를 통합하여 24x7 커버리지를 제공합니다. 강력한 예방 및 탐지 기술을 결합하여, 가장 복잡한 랜섬웨어 공격도 중요한 데이터가 암호화되기 전에 감지하고 차단할 수 있습니다. 또한 대량의 엔드포인트 정보를 단일 MalOp으로 상관 분석함여 단순히 공격에 대응하는 것을 넘어 보안팀이 앞서 나갈 수 있도록 지원합니다.
결론
2024년 MITRE ATT&CK 엔터프라이즈 평가에서 사이버리즌의 성과는 단순한 커버리지 수치는 보안 역량의 일부에 불과함을 보여줬습니다.
진정한 역량은 오탐, 탐지 지연, 설정 변경 없이 실시간으로 탐지하고 즉각적으로 대응하는 운영 우수성에서 확인할 수 있습니다.
MalOp™ 기술은 보안 팀이 경고 피로를 극복하고, 대기 시간을 줄이며, 차세대 랜섬웨어와 그 이상의 위협에 대한 대응력을 향상시키는 운영 중심 접근 방식을 제공합니다.
위협이 진화함에 따라 보안도 함께 진화해야 합니다. 사이버리즌 솔루션과 MalOp™ 기술은 조직이 보안 운영을 미래에 대비해 준비하고, 어떤 위협이 닥치더라도 자신감, 명확성, 효율성을 가지고 방어할 수 있도록 지원합니다.