주 컨텐츠로 이동

사이버 보안

2025년 2월 19일

 

레코디드 퓨처는 사이버 위협을 어떻게 발견하고 추적하나요? 데이터 과학 책임자가 설명합니다.

"기본적으로 위협 행위자가 이 정보를 얼마나 빨리 사용할 것인가와 얼마나 빨리 찾아내서 해결할 수 있는가의 경쟁이라고 Matt Kodama(" )는 말합니다.

Google 로고

벤 폭스 루빈

부사장
글로벌 커뮤니케이션 담당 부사장
마스터카드

사이버 보안 회사인 Recorded Future의 데이터 과학 책임자인 Matt Kodama는 자신의 직업을 식당 뒤편에서 일하는 것에 비유합니다. 그의 팀은 식료품을 쇼핑하고, 레시피를 디자인하고, 음식을 요리하고, 접시에 담는 일을 합니다. 

그의 팀이 작업하는 구성 요소는 웹 전체에서 선별한 데이터 조각으로, 이를 분석하여 고객이 사용할 수 있는 유용한 정보를 골라냅니다. 이 정보는 주요 금융 기관, 정부 및 기타 여러 기관에서 온라인과 현실 세계에서 조직에 대한 잠재적 위협을 실시간으로 추적하는 데 사용하는 Recorded Future의 소프트웨어 플랫폼에 입력됩니다. 

마스터카드 뉴스룸은 최근 12월에 마스터카드의 일원이 된 레코디드 퓨처의 본사를 방문하여 코다마와 만나 그의 업무에 대해 들어볼 수 있는 기회를 가졌습니다. 

다음 질문&A는 길이와 명확성을 위해 편집되었습니다. 

 

어떤 데이터를 사용하시나요?

공개적으로 사용 가능한 다양한 종류의 데이터부터 시작하여 전체 스펙트럼을 실행합니다. 다른 한편에서는 사이버 위협 행위자들이 자주 사용하는 접근하기 어려운 곳에서 데이터에 액세스하는 영리하고 정교한 방법을 알아냈습니다. 

 

구체적인 사례를 공유해 주시겠어요?

위협 행위자들에게 있어 현재 가장 큰 게임 중 하나는 개인의 컴퓨터에서 정보를 훔치는 것입니다. 이제 위협 행위자는 로그인 문자열, 비밀번호, 쿠키, 컴퓨터 모양에 대한 모든 정보를 확보하게 됩니다. 위협 행위자는 이 데이터를 사용하여 사용자의 컴퓨터처럼 보이는 가짜 컴퓨터를 만들고, 이 가짜 컴퓨터의 브라우저 트래픽이 사용자의 마을에서 오는 것처럼 보이게 만들 수 있습니다. 

기업용 랜섬웨어를 사용하는 위협 행위자라면, 이는 공격 대상이 되는 네트워크에 침투하는 데 유용한 정보입니다. 이와 같이 감염된 컴퓨터에서 판매용으로 제공되는 파일의 수는 엄청나게 많습니다. 큰 사업입니다.

미친 듯이 미친 세상입니다. 벼룩시장 같은 곳입니다. 

많은 고객이 걱정하는 것은 VPN과 같은 고위험 로그인이 노출되었다는 사실을 가능한 한 빨리 알 수 있는지 여부입니다. 매우 구체적인 보안 조치를 취할 수 있습니다. 로그인 세션이 있으면 해당 세션을 종료합니다. 현재 로그인에 설정된 비밀번호가 무엇이든 재설정하세요, 기본적으로 위협 행위자가 이 정보를 얼마나 빨리 사용하느냐와 방어자가 이를 얼마나 빨리 발견하고 수정할 수 있느냐의 경쟁이기 때문입니다. 

 

다른 예가 있나요?

인터넷을 통해 메시지를 보내려는 모든 컴퓨터에는 "이 도메인과 온라인으로 대화하려는 경우 이 IP 주소로 메시지를 보내십시오."라는 표가 있어야 합니다. 인터넷 전화번호부와 같은 역할을 합니다. 

매우 기본적이지만 실제로 매우 효과적인 분석 중 하나는 이 모든 정보를 가지고 "어제 여기 없던 것이 오늘 여기 있나?"라고 말하는 것입니다. 끊임없이 새로운 비즈니스가 만들어지고 있고, 물론 많은 비즈니스가 실패합니다. 따라서 새 도메인이 나타났다가 아무에게도 해를 끼치지 않고 사라지는 것은 매우 정상적인 현상입니다. 따라서 모든 사람에게 "새 도메인이니 차단하세요."라고 말할 수는 없습니다. 대신 새로운 도메인을 모두 살펴보고 연결을 시도할 수 있습니다. 그리고 다시 전송되는 보안 인증서가 새 인증서이고 이상하게 보인다면 위험한 인증서입니다. 

이 모든 이야기의 마지막에 고객이 원하는 것은 "[도메인 이름 시스템] 필터에 넣어야 하는 도메인 이름의 아주 짧은 목록을 알려주시고 제 직원들이 해당 도메인을 검색하지 않도록 해 주시겠어요?"라고 말하는 것입니다. 이를 차단할 수 있다면 그것이 최고의 표준입니다. 

 

이렇게 하면 피싱 이메일이 잠재적 피해자에게 발송되기 전에 피싱 사이트를 차단할 수 있을까요?

이상적으로는 그렇습니다. 악당들이 인프라를 사용하려면 먼저 인프라를 설정해야 합니다. 인프라가 매우 빠르게 설정되는 시점을 감지한 다음, 위협 행위자가 정상적이고 양성인 인프라가 아닌 어떤 새로운 인프라를 운영하는지 정확하게 파악하는 것입니다.

 

고객은 이 정보를 어떻게 사용하나요?

세상의 문제는 악플러의 활동이 너무 많다는 것입니다. 만약 제가 마술처럼 회사에 차단해야 할 고위험 도메인 이름에 대한 피드를 모두 제공할 수 있다면, 그 회사에는 해당 도메인 수에 맞게 확장 가능한 보안 제어 기능이 없습니다. 너무 많은 나쁜 것들이 있습니다. 고객들은 이 도메인 이름이 위험하다는 것뿐만 아니라 누구를 노리는지, 저와 같은 사람들을 노린다는 징후는 무엇인지 등 우리가 제공할 수 있는 모든 인사이트에 매우 목말라합니다. 그러면 보안을 위해 그 정보를 우선적으로 사용하는 것이, 솔직히 말해서 거의 똑같이 생겼지만 다른 사람을 노리는 비슷한 위협이 90개(% )나 되는 것보다 낫기 때문입니다. 

고객은 보안 제어의 제한된 용량과 같은 매우 어려운 최적화 문제를 안고 있습니다. 그들은 무엇에 집중할까요? 너무 많습니다. 그래서 그들은 최적화 문제를 해결하는 데 도움이 되는 인사이트를 제공해 주기를 갈망합니다.  

 

스타트업 분위기, 클래식 록, 사이버 보안의 미래

레코디드 퓨처의 본사에서 위협 인텔리전스에 대해 자세히 알아보세요.