시큐리티팩트
시큐리티Home > 시큐리티
-
북한 해커, 클라우드 뚫고 암호화폐 기업 침투
[시큐리티팩트=김효진 기자] 북한과 연계된 것으로 의심되는 해커 조직이 암호화폐 기업들을 겨냥해 조직적인 침투 공격을 벌이고 있는 것으로 나타났다. 공격 대상에는 스테이킹 플랫폼, 거래소 소프트웨어 업체, 암호화폐 거래소 등이 포함됐으며, 공격자들은 소스 코드와 개인 키, 클라우드 자격 증명 등을 탈취한 것으로 확인됐다고 5일(현지 시각) 사이버시큐리티뉴스가 보도했다. 보안 연구자들에 따르면 이번 공격은 웹 애플리케이션 취약점 악용과 클라우드 접근 권한 탈취를 결합한 형태로, 최근 암호화폐 업계에서 발견된 침투 사례 가운데 가장 정교한 작전 중 하나로 평가된다. 보안 연구 단체인 Ctrl-Alt-Intel은 2026년 1월 노출된 오픈 디렉터리(Open Directory·서버 내부 파일 목록이 외부에 공개된 상태)를 조사하는 과정에서 공격자의 내부 운영 환경에서 생성된 파일을 발견했다. 해당 파일에는 셸 명령 기록, 공격 도구 설정, 탈취된 소스 코드 등이 포함돼 있어 공격의 전체 흐름을 추적할 수 있었다. 연구진에 따르면 공격자들은 두 가지 주요 방식으로 침입을 시도했다. 첫 번째는 웹 애플리케이션 취약점 악용이다. 공격자들은 리액트2셸(React2Shell) 프레임워크의 취약점인 CVE-2025-55182를 이용해 웹방화벽을 우회하고 스테이킹 플랫폼을 대규모로 스캔해 취약한 서버를 찾았다. 두 번째는 이미 확보한 클라우드 접근 토큰을 이용하는 방식이다. 공격자들은 유효한 아마존 웹 서비스(AWS) 접근 토큰을 활용해 초기 해킹 단계를 건너뛰고 곧바로 클라우드 인프라 탐색 단계로 진입했다. 연구진은 이 같은 방식이 단순한 기회형 해킹이 아니라 실제 암호화폐 자산을 보유한 기업을 겨냥한 계획된 작전이라고 분석했다. 실제로 공격자들은 탈취한 스테이킹 플랫폼의 백엔드 소스 코드에서 트론(TRON) 블록체인 지갑의 개인 키가 포함된 환경설정 파일을 확보한 것으로 나타났다. 블록체인 기록에서는 같은 기간 약 52.6 트론(TRX)이 이동한 사실도 확인됐다. 다만 해당 자금 이동이 동일한 공격자에 의해 이뤄졌는지는 확인되지 않았다. 또한 공격자는 암호화폐 거래소에서 사용되던 도커 컨테이너 이미지(Docker Container Image·애플리케이션과 실행 환경을 하나로 묶은 소프트웨어 패키지)도 확보했으며, 여기에는 데이터베이스 계정 정보와 내부 서비스 설정, 거래소 운영 로직 등이 포함된 것으로 조사됐다. 연구진은 해당 거래소 시스템이 블록체인 인프라 기업 체인업(ChainUp)의 소프트웨어 기반으로 구축돼 있었지만, 공격이 체인업 자체가 아니라 고객 시스템을 통해 이뤄진 것으로 판단했다. 체계적 공격으로 클라우드 내부까지 침투 클라우드 환경에서는 보다 체계적인 공격 단계가 확인됐다. 공격자들은 AWS 자격 증명을 확보한 뒤 EC2(가상 서버 서비스) 인스턴스, RDS(관리형 데이터베이스 서비스), S3(클라우드 저장소) 버킷, IAM(접근 권한 관리 시스템) 역할, 쿠버네티스(Kubernetes·컨테이너 관리 플랫폼) 클러스터 등을 대상으로 대규모 인프라 탐색을 진행했다. 특히 공격자는 S3 저장소에서 "secret(비밀키), cred(자격증명), pass(비밀번호)" 등의 키워드를 기준으로 민감 정보를 검색했으며, 인프라 설정이 저장된 테라폼 상태 파일(Terraform State File·클라우드 인프라 설정 정보를 담은 파일)을 다운로드해 추가 자격 증명을 확보했다. 이후 공격자들은 쿠버네티스 접근 설정 파일인 큐브컨피그(kubeconfig)를 업데이트해 클러스터에 접속했고, 실행 중인 컨테이너 목록과 설정 정보, 비밀 키 등을 추출했다. 또한 엘라스틱 컨테이너 레지스트리(Elastic Container Registry·ECR)에 저장된 도커 이미지를 내려받아 내부 서비스 구조를 분석한 것으로 나타났다. 명령·제어 서버(원격에서 해킹 시스템을 제어하는 서버) 운영을 위해 공격자들은 브이셸(VShell)과 FRP 터널링 도구(외부에서 내부 서버에 우회 접속하기 위한 프로그램)를 설치했으며, DNS 통신에 사용되는 53번 포트와 IPv6 네트워크(차세대 인터넷 주소 체계)를 이용해 보안 탐지를 회피했다. "암호화폐 탈취 전 '장기 침투' 전략 가능성" 보안 전문가들은 이번 공격이 단순한 자금 탈취보다는 대규모 암호화폐 공격을 준비하는 사전 단계일 가능성에 주목하고 있다. 실제로 북한 해킹 조직은 과거에도 거래소 시스템과 내부 인프라에 장기간 침투한 뒤 한 번에 대규모 암호화폐를 탈취하는 방식의 작전을 수행해 온 것으로 알려져 있다. 전문가들은 특히 클라우드 인프라와 컨테이너 환경을 동시에 노린 점에서 이번 공격이 암호화폐 공급망 전체를 겨냥한 구조적 해킹 시도일 가능성이 높다고 분석한다. 이에 따라 보안 업계에서는 취약점 패치와 접근 토큰 관리 강화, 클라우드 자격 증명 보호, 그리고 쿠버네티스·컨테이너 환경에 대한 접근 통제 강화를 시급한 보안 과제로 제시했다.
-
[이슈 분석: 미-이란 전쟁] 총과 미사일 넘어 ‘코드 전쟁'… 하이브리드 전장 시대 열렸다
[시큐리티팩트=김효진 기자] 중동 분쟁이 이제 총과 미사일뿐 아니라 코드와 네트워크가 맞붙는 새로운 전장으로 빠르게 확장되고 있다. Israel과 Iran 간 군사 충돌이 격화되는 가운데, 사이버 공격과 정보전이 동시에 진행되는 ‘하이브리드 전쟁' 양상이 뚜렷해지고 있다는 분석이다. 전통적인 군사력 충돌과 디지털 공격이 동시에 진행되면서 전쟁의 형태 자체가 변화하고 있다는 평가가 나온다. 이스라엘 방위군(IDF)는 최근 테헤란 동부에 위치한 이슬람혁명수비대(IRGC)의 군사 시설을 겨냥한 대규모 공습을 단행했다고 밝혔다. 이 시설에는 IRGC의 ‘사이버 및 전자 본부'와 정보기관이 포함된 것으로 이스라엘 측은 주장하고 있다. 이란은 현재 인터넷 통신이 크게 제한된 상태여서 시설 피해 규모나 인명 피해 여부는 확인되지 않고 있다. 그러나 전문가들은 물리적 시설이 타격을 받았다고 해서 이란의 사이버 작전 능력이 즉각 약화될 가능성은 제한적이라고 보고 있다. 현대 사이버전은 특정 건물이나 서버에 의존하기보다 해외에 분산된 인력과 대리 조직을 통해 운영되는 경우가 많기 때문이다. 사이버 공격 조직이 국가 내부뿐 아니라 해외 네트워크와 협력 구조를 통해 활동하는 경우가 많아, 단일 군사 타격만으로 작전 능력을 완전히 차단하기는 어렵다는 분석이다. 감시카메라 해킹부터 DDoS 공격까지 실제로 이란과 연계된 해킹 조직들은 최근 미국과 이스라엘, 그리고 중동 지역 국가들을 대상으로 다양한 사이버 공격을 이어가고 있다. 사이버 보안 기업들의 분석에 따르면 친이란 해커들은 감시 카메라 시스템을 해킹해 미사일 공격 피해 지역을 원격으로 정찰하려 한 정황이 포착됐다. 이들은 공격 이후 현장 상황을 파악하거나 군사 시설 피해 여부를 확인하기 위해 이러한 장비를 활용한 것으로 보인다. 또한 일부 해킹 조직은 이스라엘 결제 시스템을 겨냥한 공격을 시도하거나, 중동 지역 정부 웹사이트를 대상으로 분산서비스거부(DDoS) 공격을 진행했다고 주장했다. 에너지 기업과 주유소 운영 시스템을 공격해 일부 시설 운영이 일시적으로 중단됐다는 주장도 제기됐다. 다만 사이버 공격의 특성상 실제 피해 규모와 공격 주체를 확인하기는 쉽지 않다는 점도 지적된다. 이처럼 사이버 공격은 전통적인 군사 작전과 결합하며 전쟁의 새로운 양상을 만들어내고 있다. 전문가들은 이를 ‘전장의 디지털화'라고 설명한다. 최근 분쟁에서는 군사 충돌 이전부터 사이버 침투와 정보전이 먼저 시작되고, 물리적 공격 이후에도 사이버 공격이 장기간 이어지는 사례가 점점 늘어나고 있다. AI까지 확장되는 미래 전쟁 또 다른 특징은 공격 주체가 국가뿐 아니라 다양한 비국가 행위자로 확대되고 있다는 점이다. 친이란 또는 친이스라엘 성향의 해커 조직, 핵티비스트 그룹, 그리고 사이버 범죄 조직까지 갈등에 가세하며 공격 규모를 키우고 있다. 보안 기업들은 중동 분쟁 이후 수십 개의 해킹 단체가 동시에 활동을 강화한 것으로 파악하고 있다. 전문가들은 특히 인공지능(AI) 기술이 새로운 변수로 떠오르고 있다고 지적한다. 군사 작전에 활용되는 AI 시스템이나 이를 지원하는 클라우드 인프라가 공격 대상이 될 수 있으며, 데이터 조작을 통해 AI 판단을 왜곡하려는 시도도 등장할 가능성이 있다는 것이다. 실제로 일부 보안 전문가들은 AI 데이터 오염이나 알고리즘 교란이 미래 사이버전의 핵심 수단이 될 수 있다고 경고한다. 결국 중동 분쟁은 더 이상 물리적 전장에만 머무르지 않는다. 미사일과 드론이 하늘에서 충돌하는 동안, 보이지 않는 네트워크 공간에서는 코드와 알고리즘이 또 다른 전쟁을 벌이고 있다. 전문가들은 현대 분쟁에서 사이버 공간이 단순한 보조 수단이 아니라 전쟁의 핵심 전장 중 하나로 자리 잡고 있다고 평가한다. 앞으로 분쟁의 양상은 군사력뿐 아니라 디지털 기술과 사이버 역량이 얼마나 결합되느냐에 따라 결정될 가능성이 커지고 있다.
-
[SF보안 리포트] ‘투명성’과 ‘인텔리전스’ 중심의 2세대 위협 헌팅 시대...위협 탐지의 ‘블랙박스’ 없앤다
[시큐리티팩트=김상규 기자] 최근 글로벌 사이버 보안 시장은 위협 헌팅(Threat Hunting)의 고도화 트렌드가 뚜렷하다. 과거의 보안이 침해 사고 발생 후 대응하는 '반응형(Reactive)'에 머물렀다면, 이제는 공격이 성공하기 전 네트워크 내부에서 숨어있는 위협을 찾아내는 '선제적(Proactive)' 단계로 진화하고 있다. 특히 XDR(Extended Detection and Response, 확장된 탐지 및 대응) 시장이 팽창하면서, 단순한 데이터 수집을 넘어 '탐지 로직의 개방성'이 핵심 경쟁력으로 부상했다. 글로벌 사이버 보안 리더 카스퍼스키(Kaspersky)가 공격 탐지의 원리와 기법을 투명하게 공개해 보안 환경의 가시성(Visibility)을 높인 위협 탐지 강화 솔루션 ‘헌트허브(Hunt Hub)’를 3일 전격 출시했다. 이번 출시는 단순한 경고(Alert) 위주의 보안에서 벗어나, ‘왜(Why)’ 탐지되었는지에 대한 논리적 근거를 제공함으로써 보안 팀의 선제적(Proactive) 대응 능력을 강화하는 데 초점이 맞춰졌다. 위협 탐지의 투명성 확보… ‘블랙박스’ 제거한 헌트허브 새롭게 공개된 헌트허브(Hunt Hub)는 카스퍼스키의 위협 인텔리전스 포털(TIP, Threat Intelligence Portal) 내에 통합되어 작동한다. 이 솔루션의 핵심은 보안 솔루션 내부에서 어떤 로직으로 위협을 식별했는지 보여주는 ‘투명성’에 있다. 기존 보안 솔루션들이 탐지 결과만을 통보하는 일종의 ‘블랙박스(Blackbox)’ 방식이었다면, 헌트허브는 카스퍼스키 넥스트 EDR 엑스퍼트(Kaspersky Next EDR Expert)의 탐지 규칙과 지표를 공유한다. 특히 시그마(SIGMA, 오픈소스 기반 탐지 룰 표준) 유사 형식으로 제공되는 상세 권고사항과 탐지 로직은 분석가가 탐지 결과의 맥락을 명확히 이해하고 조사를 효율화할 수 있도록 돕는다. 또한, MITRE ATT&CK(마이터 어택, 사이버 공격 전술 및 기술 분류 체계) 커버리지 맵 기능을 통해 기업은 자사의 보안 스택이 특정 공격 기법을 얼마나 효과적으로 방어하고 있는지 점수화된 지표로 확인할 수 있다. CVE(Common Vulnerabilities and Exposures, 공통 취약점 및 노출) 데이터베이스 역시 약 30만 건으로 대폭 확장되어 실제 공격에 악용된 사례를 기반으로 대응 우선순위를 정할 수 있게 됐다. 국내외 보안업계, 위협 헌팅 솔루션 경쟁中 카스퍼스키의 헌트허브와 유사한 솔루션으로는 크라우드스트라이크(CrowdStrike)의 ‘팔콘 헌터(Falcon Hunter)’나 팔로알토 네트웍스(Palo Alto Networks)의 ‘코어텍스(Cortex) XDR’ 내 위협 헌팅 모듈이 꼽힌다. 이들 선두 기업들 역시 공격자의 TTPs(Tactics, Techniques, and Procedures, 전술·기법·절차)를 얼마나 정밀하게 가시화하느냐에 사활을 걸고 있다. 구글 클라우드 산하의 맨디언트(Mandiant) 역시 최근 인텔리전스 중심의 '위협 헌팅 서비스'를 강화하며, 기업 보안 담당자들이 공격자의 사고방식을 이해하고 방어 체계를 재설계할 수 있도록 돕고 있다. 이는 보안 운영 센터(SOC, Security Operations Center) 인력 부족 문제를 해결하기 위해 AI와 머신러닝을 결합하여 탐지 로직을 자동 분석하고 자연어로 공격 시나리오를 설명해 주는 기술로 이어지고 있다. 이러한 흐름 속에 국내 보안 기업들 역시 한국형 위협에 특화된 가시성 확보 기술로 맞불을 놓고 있다. 안랩(AhnLab)은 자사의 안랩 XDR에 생성형 AI 보안 어시스턴트인 ‘애니(Annie)’를 탑재해 탐지 로직의 문턱을 낮췄다. 지니언스(Genians) 또한 EDR(Endpoint Detection and Response, 단말 탐지 및 대응) 솔루션을 기반으로 능동적 위협 헌팅 전략을 제시하고 있으며, 이글루코퍼레이션은 차세대 SIEM(Security Information and Event Management, 보안 정보 및 이벤트 관리) 솔루션을 통해 통합 가시성을 제공 중이다. 샌즈랩 역시 AI 기반의 디셉션(Deception, 기만 기술) 과제를 통해 선제적 방어 체계 고도화에 박차를 가하고 있다. 선제적 위험 관리로의 패러다임 전환 카스퍼스키 니키타 나자로프 위협 탐색 총괄은 “헌트허브를 통해 탐지 전문성을 공개함으로써 분석가에게 명확한 가시성을 제공하게 됐다”며 “이러한 투명성은 조직이 정보에 기반한 위협 헌팅으로 전환하는 데 결정적인 도움을 줄 것”이라고 강조했다. 이효은 카스퍼스키 한국지사장 역시 “헌트허브 출시는 위협 탐지의 ‘블랙박스’를 해소하는 의미 있는 진전”이라며 “국내 기업들이 선제적 위협 헌팅과 위험 관리로 전환하여 보안 보호 효과를 강화할 수 있을 것으로 기대한다”고 밝혔다.
-
‘AI 탈옥’ 현실화… 챗봇 이용, 멕시코 정부 해킹
[시큐리티팩트=김효진 기자] AI 챗봇이 원래 하지 못하도록 막아둔 해킹 관련 답변을 끌어내는 ‘AI 탈옥(jailbreak)’ 기법이 실제 사이버 공격에 사용된 사례가 확인됐다. 공격자는 인공지능(AI)에 반복적으로 질문과 역할 설정을 입력해 해킹 방법과 공격 코드를 생성하도록 유도한 뒤 멕시코 정부 기관 시스템을 노린 것으로 나타났다. 사이버보안 업체 갬빗 시큐리티(Gambit Security)는 2025년 12월부터 2026년 1월 초까지 약 한 달간 진행된 해킹 캠페인에서 공격자가 클로드(Claude) AI 챗봇을 활용해 취약점 식별과 공격 코드 생성을 수행했다고 밝혔다. 26일(현지 시각) 블룸버그 보도에 따르면 공격자는 스페인어 프롬프트를 이용해 AI를 '엘리트 해커' 역할로 설정하는 방식의 시뮬레이션 환경을 구성했으며, 반복적인 프롬프트 입력을 통해 안전 장치를 단계적으로 우회한 것으로 나타났다. 초기 요청은 AI 안전 정책에 따라 거부됐지만, 지속적인 설득과 역할극(prompt engineering)이 이어지면서 클로드는 취약점 스캔 보고서와 공격 자동화 스크립트 등 수천 건의 기술 문서를 생성한 것으로 조사됐다. 연구진은 공격자가 이후 측면 이동과 탐지 회피 전략 수립을 위해 ChatGPT를 추가적으로 활용한 정황도 확인했다고 밝혔다. 분석된 대화 기록에는 내부 네트워크 목표 설정, 접근 권한 확보 절차, 자격 증명 활용 방식 등이 단계별 계획 형태로 포함돼 있었으며, AI 구독 서비스 외 별도의 고급 해킹 인프라 없이 공격 준비가 가능했던 것으로 나타났다. 이번 공격은 멕시코 연방 및 지방 정부 기관을 포함한 공공 인프라를 대상으로 진행됐다. 조사 결과 최소 20개 이상의 보안 취약점이 악용된 것으로 확인됐다. 주요 표적에는 연방 세무청(SAT)의 납세자 기록 약 1억9500만 건, 국가선거연구소(INE)의 유권자 데이터, 할리스코·미초아칸·타마울리파스 주 정부의 행정 정보 등이 포함됐다. 몬테레이 수도 유틸리티 시스템에서도 일부 운영 데이터 접근이 발생한 것으로 파악됐다. 전체 수집 데이터 규모는 약 150GB로 추정되며 현재까지 공개적인 대량 유출 사례는 확인되지 않았다. AI가 생성한 결과물에는 네트워크 정찰 스크립트, SQL 인젝션 공격 코드, 구형 정부 시스템을 겨냥한 자격 증명 자동화 도구 등이 포함됐다. 공격은 패치되지 않은 웹 애플리케이션과 취약한 인증 구조 등 기존 공공 인프라의 구조적 보안 취약점을 집중적으로 노린 것으로 분석됐다. 앤트로픽(Anthropic)은 관련 계정을 차단하고 실시간 오용 탐지 기능을 강화했으며, Claude Opus 4.6 모델의 안전성 개선 조치를 진행 중이라고 밝혔다. OpenAI 측은 ChatGPT가 정책 위반 프롬프트를 거부하도록 설계돼 있으며 악성 요청 차단 체계가 작동했다고 설명했다. 멕시코 정부 기관들의 대응은 엇갈렸다. 할리스코 주 정부는 침해 사실을 부인했고, 국가선거연구소는 무단 접근이 확인되지 않았다고 밝혔다. 연방 당국은 현재 피해 범위를 평가하고 있다. 갬빗 시큐리티는 이번 공격이 국가 차원의 조직적 작전과 연계됐다는 증거는 발견되지 않았으며, 신원이 확인되지 않은 단일 행위자 또는 소규모 그룹에 의한 활동일 가능성이 높다고 분석했다. 한편 일론 머스크는 소셜미디어 X를 통해 AI 위험성을 언급하며 생성형 AI의 악용 가능성을 경고했다. xAI 측은 자사 AI 모델 그록(Grok)이 불법 행위를 유도하는 요청을 거부하도록 설계돼 있다고 밝혔다. ■ "엘리트 해커 대신 AI"… 사이버 공격의 진입 장벽 붕괴 전문가들은 이번 사건이 생성형 AI 탈옥(jailbreak)을 통해 범용 AI가 실제 공격 보조 도구로 활용될 수 있음을 보여준 대표적 사례라고 평가한다. 과거 국가 지원 조직이나 숙련된 해커 집단이 수행하던 취약점 분석·공격 자동화 과정이 이제는 AI와의 대화만으로 상당 부분 구현 가능해지면서 사이버 공격의 진입 장벽이 크게 낮아졌다는 것이다. 특히 AI가 ▲취약점 탐색 ▲공격 코드 생성 ▲침투 전략 설계 ▲자동화 실행 절차를 연쇄적으로 지원할 경우, 단독 행위자도 고급 지속 위협(APT)에 준하는 공격 역량을 확보할 수 있다는 우려가 제기된다. 보안 전문가들은 대응 방안으로 △행동 기반 AI 사용 모니터링 △신속한 시스템 패치 △민감 환경에서 외부 네트워크와 분리된 에어갭(Air-gap) AI 운용 등을 핵심 방어 전략으로 제시하고 있다. 이번 사건은 AI가 생산성 도구를 넘어 사이버 전장의 '능력 증폭 장치(force multiplier)'로 작동하기 시작했음을 보여주는 신호라는 평가가 나온다.
-
그룹아이비, 클라우드 보안 상태 관리 솔루션 ‘CSPM’ 출시... "오설정부터 규제 대응까지 통합 관리"
[시큐리티팩트=김상규 기자] 글로벌 사이버 보안 선도 기업 그룹아이비(Group-IB)가 클라우드 환경의 설정 오류를 탐지하고 규정 준수 여부를 실시간으로 감시하는 ‘클라우드 보안 상태 관리(CSPM, Cloud Security Posture Management)’ 솔루션을 선보이며 클라우드 보안 시장 공략에 속도를 낸다. 그룹아이비는 25일 자사의 통합 보안 플랫폼인 ‘통합 리스크 플랫폼(Unified Risk Platform)’ 내에 CSPM 솔루션을 공식 출시했다고 발표했다. 이번 신제품은 클라우드 자산과 워크로드(클라우드에서 실행되는 앱이나 서비스)의 보안 상태를 지속적으로 가시화하여, 클라우드 전환 과정에서 발생할 수 있는 보안 공백을 메우는 데 중점을 두었다. 그룹아이비의 CSPM 솔루션은 단순히 설정을 점검하는 기존 도구들과 달리 세 가지 핵심 기능을 통해 차별화를 꾀했다. 첫째, 공격 표면 관리(ASM) 및 위협 인텔리전스(TI)의 결합이다. 외부 공격에 노출된 자산을 찾는 ASM 기술과 실시간 위협 정보인 TI를 결합했다. 이를 통해 이론적인 위험이 아닌, 실제 공격자가 노리는 취약점을 우선순위화하여 대응할 수 있도록 돕는다. 둘째, 통합 CI/CD 파이프라인 보안을 들 수 있다. 애플리케이션의 개발부터 배포에 이르는 전 과정인 CI/CD(지속적 통합 및 지속적 배포) 단계에서 설정 오류를 사전에 식별한다. 이는 취약점이 실제 운영 환경에 배포되기 전 차단하는 선제적 대응 체계를 의미한다. 셋째, 글로벌 규제 준수 모니터링이다. 다양한 국가 및 산업군의 보안 규정 준수 여부를 자동으로 평가하고 보고서를 생성하여, 기업의 비즈니스 연속성을 보장한다. 드미트리 볼코프 그룹아이비 CEO는 “보안 팀이 코드 작성 단계부터 운영 환경까지 클라우드 위험을 완벽히 파악할 수 있도록 돕는 것이 핵심”이라며, “통합 리스크 플랫폼과의 결합으로 다중 경로를 통한 공격으로부터 고객을 더욱 효과적으로 보호할 것”이라고 강조했다. 현재 글로벌 보안 시장은 기업들의 멀티·하이브리드 클라우드 도입이 가속화되면서 CSPM의 중요성이 비약적으로 커지고 있다. 국내 역시 공공 및 금융권의 클라우드 전환이 본격화됨에 따라 단순 가시성 확보를 넘어 자산 점검의 자동화와 통합 관리에 대한 수요가 높다. 현재 시장에서는 팔로알토 네트웍스(Palo Alto Networks)의 ‘프리즈마 클라우드’, 체크포인트(Check Point)의 ‘클라우드 가드’ 등 글로벌 대형 벤더들이 주도권을 쥐고 있다. 이들은 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP, 클라우드 환경 통합 보안 플랫폼)이라는 거대 담론 속에서 CSPM을 제공한다. 이에 맞서 그룹아이비는 자사만의 강력한 강점인 ‘수사 기반의 위협 인텔리전스’를 CSPM에 직접 이식하는 전략을 택했다. 이는 타사 제품이 설정값의 정상 여부에 집중할 때, 그룹아이비는 '실제 공격자의 관점에서 어떤 오설정이 가장 치명적인가'를 판별해 준다는 점에서 경쟁력을 확보할 것으로 보인다. 2003년 설립된 그룹아이비는 싱가포르에 본사를 둔 글로벌 사이버 보안 전문 기업이다. 전 세계 디지털 범죄를 조사하고 수사하는 역량이 탁월하며, 인터폴(INTERPOL) 및 유로폴(Europol)과 협력하여 대규모 사이버 범죄 조직을 소탕하는 데 중추적인 역할을 수행해 왔다. 통합 리스크 플랫폼을 통해 위협 인텔리전스, 사기 방지, 공격 표면 관리 등 기업의 디지털 리스크를 전방위적으로 방어하는 솔루션을 공급하고 있다.
-
마에스트로 포렌식, 리눅스 분석 강화한 ‘위즈덤 리눅스’ 발표… “DFIR 표준 노린다”
[시큐리티팩트=김상규 기자] 인공지능(AI) 기반 디지털 포렌식 전문 기업 마에스트로 포렌식이 서버 및 클라우드 침해사고 대응력을 대폭 강화한 ‘마에스트로 위즈덤 리눅스(MAESTRO WiSDOM Linux)’를 24일 선보였다. 이번 신제품은 레드햇(Red Hat), 우분투(Ubuntu), 페도라(Fedora) 등 주요 리눅스 배포판에서 널리 쓰이는 EXT 계열과 XFS(대용량 환경용 고성능 파일 시스템)에 대한 정밀 분석 기능을 탑재했다. 특히 대용량 서버와 클라우드 인프라에서 주로 사용되는 XFS의 메타데이터와 삭제 파일 복구 기능을 지원함으로써, 그동안 분석이 까다로웠던 고성능 서버 환경에서도 결정적인 증거 확보가 가능해졌다. 마에스트로 위즈덤 리눅스는 현재 시장에 출시된 도구 중 최다 수준인 250종 이상의 디지털 아티팩트(Digital Artifact, 디지털 기기에 남은 활동 흔적) 추출을 지원한다고 회사 측은 강조한다. 시스템 로그부터 이메일, 데이터베이스(DB), 웹쉘(WebShell) 의심 파일 탐지까지 통합 분석이 가능해 사고 전후의 공격 흐름을 입체적으로 파악할 수 있다는 것이다. 또한 '포렌식 가속기(Forensic Accelerator)' 기술을 통해 기존 대비 5배 빠른 증거 식별 속도를 자랑한다. 윈도우·맥·위협 인텔리전스(CTIP) 등 기존 위즈덤 제품군과 연계해 단일 플랫폼에서 통합 조사를 수행할 수 있는 것도 큰 장점이다. 글로벌 시장의 흐름도 리눅스 포렌식의 중요성을 뒷받침하고 있다. 시장조사기관 모도 인텔리전스(Mordor Intelligence)에 따르면, 전 세계 디지털 포렌식 시장은 클라우드 전환 가속화와 리눅스 서버를 겨냥한 지능형 공격 증가로 인해 2029년까지 연평균 약 12% 이상의 높은 성장률을 기록할 전망이다. 이에 따라 침해사고 대응(IR)과 디지털 포렌식이 결합된 DFIR(Digital Forensics and Incident Response) 분야가 핵심 격전지로 떠오르고 있다. 이 시장에서 마에스트로 위즈덤 리눅스는 글로벌 강자들과 경쟁한다. 현재 전 세계 점유율 1위를 차지하고 있는 가이던스 소프트웨어(Guidance Software)의 ‘EnCase’는 방대한 장치 지원 능력을 앞세운 업계 표준 도구로 평가받는다. 하지만 특정 리눅스 아티팩트에 대한 정밀 분석이나 국내 수사 환경에 최적화된 편의성 측면에서는 마에스트로가 경쟁 우위를 점하고 있는 것으로 알려진다. 또한 빠른 처리 속도와 데이터베이스 분석에 강점이 있는 엑세스데이터(AccessData)의 ‘FTK’ 역시 라이벌이다. 그러나 마에스트로의 이번 신제품처럼 리눅스 전용 아티팩트를 250종 이상 집중적으로 분석하는 방식은 실전 수사와 사고 조사 현장에서 차별화된 무기가 될 것으로 보인다. 마에스트로 포렌식은 현재 수사기관과 공공기관, 대기업 보안팀을 중심으로 실전 테스트를 진행하며 솔루션의 신뢰성을 확보하고 있다. 클라우드 인프라의 절대다수가 리눅스 기반인 상황에서 파일시스템 분석부터 위협 인텔리전스 연동까지 한 번에 해결하는 이번 국산 플랫폼의 등장은 국내 보안 대응 수준을 한 단계 높이는 계기가 될 것이다. 김종광 마에스트로 포렌식 대표는 “리눅스 서버와 클라우드 침해사고가 급증하고 있음에도 정교한 분석 도구가 부족했던 것이 현실”이라며 “위즈덤 리눅스를 통해 리눅스 기반 침해사고 분석 분야에서 글로벌 수준의 신뢰받는 표준 솔루션으로 도약하겠다”고 밝혔다.
