Ŭ¶ó¿ìµå SIEM Àü¹®±â¾÷ ·Î±×ÇÁ·¹¼Ò(´ëÇ¥ ¾çºÀ¿)°¡ 2024³â 3¿ù CTI(Cyber Threat Intelligence) ¿ù°£ ¸®Æ÷Æ®¸¦ ¹ßÇàÇß´Ù°í 25ÀÏ ¹àÇû´Ù.
CTI´Â »çÀ̹ö °ø°Ý °ü·Ã Á¤º¸¸¦ ¼öÁýÇÏ°í ºÐ¼®ÇØ »çÀ̹ö À§Çù¿¡ ½Å¼ÓÇÏ°í Á¤È®ÇÏ°Ô ´ëÀÀÇÏ°íÀÚ °¡°øÇÑ ÇüÅÂÀÇ Á¤º¸´Ù.
·Î±×ÇÁ·¹¼Ò´Â 3¿ù CTI ¸®Æ÷Æ®¿¡¼ 2¿ù ¾Ç¼º º¿ °¨¿°ÀÌ ±Û·Î¹ú ±âÁØ Àü¿ù ´ëºñ ¹«·Á 78.01% Áõ°¡Çß´Ù°í ÀüÇß´Ù. ¾Ç¼º º¿ °¨¿°À¸·Î ±¹³»¿Ü ÀÌÄ¿¸Ó½º ¼ºñ½ºÀÇ Å©¸®µ§¼ÈÀÌ Áö¼ÓÀûÀ¸·Î À¯ÃâµÇ°í ÀÖÀ¸¸ç, 2Â÷ ÇÇÇØ ¹æÁö¸¦ À§ÇÑ ³ë·ÂÀÌ ÇÊ¿äÇÑ ½ÇÁ¤ÀÌ´Ù.
·Î±×ÇÁ·¹¼Ò´Â ÀÌÄ¿¸Ó½º ¼ºñ½º »ç¾÷ÀÚ´Â Å©¸®µ§¼È À¯Ãâ ¿©ºÎ¸¦ »ç¿ëÀÚ¿¡°Ô ¾È³»ÇØ ºü¸£°Ô ´ëÀÀÇÒ ¼ö ÀÖµµ·Ï µµ¿Í¾ß ÇÑ´Ù¸ç »ç¿ëÀÚ´Â ¼ºñ½ºº°·Î ¾ÏÈ£¸¦ ´Ù¸£°Ô ¼³Á¤Çϰųª 2FA(2-Factor Authentication)¸¦ ÀÌ¿ëÇØ °èÁ¤ º¸¾ÈÀ» °ÈÇØ¾ß ÇÑ´Ù°í Àü´ÞÇß´Ù.
¶ÇÇÑ ·Î±×ÇÁ·¹¼Ò´Â CTI ¸®Æ÷Æ®¿¡¼ ±¹»ê º¸¾È ÇÁ·Î±×·¥À¸·Î À§ÀåÇÑ ¾Ç¼ºÄÚµå TrollAgent¸¦ ºÐ¼®ÇÏ°í, À̸¦ ŽÁöÇÒ ¼ö ÀÖ´Â ¹æ¹ýÀ» ¼Ò°³Çß´Ù.
ºÏÇÑ Kimsuky ±×·ì¿¡¼ ¹èÆ÷ÇÏ´Â TrollAgent´Â ±¹³» ƯÁ¤ ȨÆäÀÌÁö ·Î±×Àο¡ ÇÊ¿äÇÑ ÀüÀÚ¹®¼ ¹× Áõ¸í¼ À§º¯Á¶ ¹æÁö ÇÁ·Î±×·¥À¸·Î À§ÀåÇØ ¼³Ä¡¸¦ À¯µµÇÑ´Ù. ƯÈ÷ ±¹³» ¹æ»ê¾÷ü ÀÎÁõ¼·Î ¼¸íÇØ ¾Ç¼ºÄÚµå ŽÁö¸¦ ȸÇÇÇÏ°í, »ç¿ëÀÚµéÀÇ ÀǽÉÀ» ÃÖ¼ÒÈÇß´Ù.
ÇØ´ç ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é ´Ù¾çÇÑ Á¤º¸¸¦ ¼öÁýÇØ C2 ¼¹ö·Î Àü¼ÛÇÑ´Ù. GPKI µð·ºÅ丮¸¦ Å»ÃëÇÏ´Â ±â´ÉÀ» Æ÷ÇÔÇÏ°í ÀÖ¾î ±¹³» °ø°ø±â°üÀ» ÁÖ °ø°Ý´ë»óÀ¸·Î »ï°í ÀÖ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
Ç¥¸éÀûÀ¸·Î´Â Á¤»ó º¸¾È ÇÁ·Î±×·¥Ã³·³ ¼³Ä¡µÇ±â ¶§¹®¿¡, »ç¿ëÀÚ´Â ¾Ç¼ºÄÚµåÀÇ ½ÇÇà ¿©ºÎ¸¦ ÀÎÁöÇϱ⠾î·Æ´Ù´Â °ÍÀÌ ·Î±×ÇÁ·¹¼Ò Ãø ¼³¸íÀÌ´Ù.
ÀÌ¿¡ ·Î±×ÇÁ·¹¼Ò´Â TollAgent¿Í º¯Á¾À» ŽÁöÇÒ ¼ö ÀÖ´Â YARA ·êÀ» ¹èÆ÷ÇØ ¾Ç¼ºÄÚµå ŽÁö¿Í Â÷´ÜÀ» Áö¿øÇÏ°í ÀÖ´Ù. YARA¸¦ Áö¿øÇÏ´Â Àåºñ ¶Ç´Â XDR °è¿ÀÇ Àåºñ¸¦ µµÀÔÇØ »ç¿ëÇÏ´Â °æ¿ì, ·Î±×ÇÁ·¹¼Ò°¡ ¹èÆ÷ÇÑ ±ÔÄ¢À» Àû¿ëÇØ º¸¾ÈÀ» °ÈÇÒ ¼ö ÀÖ´Ù.
·Î±×ÇÁ·¹¼Ò´Â ÇöÀç ´©Àû ħÇØ ÁöÇ¥(IoC) 2¾ï °Ç ÀÌ»ó, PI(Privacy Intelligence) 780¾ï °Ç ÀÌ»óÀÇ CTI Á¤º¸¸¦ º¸À¯ÇÏ°í ÀÖÀ¸¸ç, ½Ç½Ã°£À¸·Î Àü ¼¼°è¸¦ ´ë»óÀ¸·Î º¸¾È À§Çù Á¤º¸¸¦ ¼öÁýÇÏ°í ÃßÀû ÁßÀÌ´Ù. ¶ÇÇÑ ¼öÁýÇÑ Á¤º¸¸¦ ÀÚ»ç SIEM(Security Information and Event Management, ÅëÇÕº¸¾È°üÁ¦) ¹× SOAR(Security Orchestration, Automation and
Response, º¸¾È¿î¿µÀÚµ¿È) Ç÷§Æû¿¡¼ Áï°¢ÀûÀ¸·Î È°¿ëÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù.
[´º½º] Àμ½½ÃÅ¥¸®Æ¼, ¸¶±×³Ý ±×·¹ÀÌÅ° ÆнºÆ®Æ®·¢ Ãâ½Ã 
