씨큐비스타가 네트워크 기반으로 랜섬웨어 공격 전 단계를 조기 탐지할 수 있는 특화 탐지 엔진 ‘헌터 랜섬(Hunter Ransom) TTP’를 개발했다. 이번 기술은 자사의 차세대 네트워크 위협탐지·대응(NDR) 솔루션 ‘패킷사이버(PacketCYBER)’에 탑재돼 금융, 의료, 국방, 통신 등 주요 산업 전반에서 적용될 예정이다.

 

씨큐비스타는 에이전트 설치 없이 네트워크 트래픽만으로 랜섬웨어 공격의 초기 침투부터 내부 확산, 암호화 준비, 공격자와의 최종 협상 단계까지 전 과정을 추적하는 기술을 구현했다고 밝혔다. MITRE ATT&CK 기반으로 설계된 이번 엔진은 네트워크 한 지점에 설치하는 것만으로도 모든 기기의 움직임을 모니터링하며 다계층 분석을 통해 정밀하게 탐지하는 것이 특징이다.

 

랜섬웨어는 데이터를 암호화하거나 시스템 접근을 차단하고 이를 복구하는 대가로 금전을 요구하는 대표적 사이버 공격 방식이다. 단 몇 분 만에 기업 전체를 마비시킬 수 있는 만큼 공격의 조기 탐지가 핵심 대응 전략으로 꼽힌다.

 

 

헌터 랜섬 TTP는 공격 단계를 네 가지로 세분화해 추적한다. '초기 침투' 단계에서는 방화벽을 우회한 SMB 포트 스캔과 난수형 도메인(DGA) 기반 외부 통신을 탐지한다. '내부 확산' 단계에서는 다수 호스트에서 동시 발생하는 비콘 신호나 SMB 연결 급증을 분석해 경보를 발령한다. '암호화 준비' 단계에서는 파일 서버 트래픽 급증이나 데이터 엔트로피 상승 패턴을 실시간 식별해 암호화 공격 임박 상황을 알린다. 마지막 'C2 통신 및 협상' 단계에서는 Tor나 프록시 기반 암호화 키 교환과 비트코인 주소 전달 같은 은밀한 통신을 주기성, 일관성 지표로 분석해 최종 C2 활동을 확정한다. 이 과정에서 IoT 기기와 개인이 사용하는 BYOD 환경까지 보호 범위에 포함된다.

 

씨큐비스타는 패킷사이버를 각 산업별 환경에 맞게 최적화해 위협 탐지 시 자동으로 경보를 발령하고 엔드포인트 탐지·대응(EDR)과 NDR을 결합한 통합 방어체계를 구현할 계획이다. 이를 통해 랜섬웨어 대응의 완성도를 높이고 보안 공백을 줄여 기업과 기관의 피해를 최소화한다는 전략이다.

 

전덕조 씨큐비스타 대표는 “EDR이 방문을 지키는 경비원이라면, 패킷사이버는 건물 전체 CCTV를 통합 관제하며 침입자의 동선을 예측하는 보안센터와 같다”며 “헌터 랜섬 TTP가 탑재됨에 따라 패킷사이버가 한층 고도화돼 네트워크 한 지점에 설치하는 것만으로도 모든 기기의 움직임을 실시간 추적해 엔드포인트 보안이 놓칠 수 있는 위협까지 포착할 수 있어 차세대 NDR 보안솔루션으로 독보적인 입지를 굳히게 됐다”고 말했다.

 

헬로티 구서경 기자 |