시큐리티팩트

[시큐리티팩트=김상규 기자] 보안 전문업체 마에스트로포렌식이 자사의 통합 침해사고 분석 플랫폼 ‘마에스트로 위즈덤(MAESTRO WISDOM)’에 침해사고 대응(DFIR) 기능을 대폭 강화했다고 10일 밝혔다.

마에스트로포렌식에 따르면 최근 보안 시장에는 고도화된 공격이 빠르게 확산 중이다. 기존 보안 솔루션을 먼저 무력화하거나 삭제하는 ‘킬린(Qilin) 랜섬웨어’를 비롯해, 시스템 내 정상 도구를 악용하는 ‘LotL(Living off the Land)’, 파일 없이 실행되는 ‘파일리스(Fileless)’ 공격 등이 대표적이다. 이러한 공격들은 기존 보안 솔루션만으로는 원인 규명과 확산 차단이 어려워 대응에 한계가 있었다.

이에 마에스트로포렌식은 디지털포렌식 기반의 정밀 탐지 분석과 실시간 대응이 가능한 통합 플랫폼을 고도화했다. ‘마에스트로 위즈덤’은 인공지능(AI) 기반 자동화 디지털 포렌식 및 악성코드 분석 통합 플랫폼이다. 기존 대비 5배 이상 빠른 증거 식별과 분석을 지원하는 ‘포렌식 가속기(Forensic Accelerator)’ 기술을 내장했다.

특히 이 플랫폼은 단편적 이벤트 분석을 넘어 1000개 이상의 디지털 아티팩트(Artifact, 디지털 기기나 시스템 사용 시 남겨지는 흔적 및 데이터)를 상호 연관 분석한다. 이를 통해 전체 공격 흐름과 행위 체인을 한눈에 파악할 수 있도록 설계됐다. LotL 및 파일리스 공격 행위 역시 메모리, 프로세스, 레지스트리, 이벤트 로그, 네트워크 아티팩트 등 다양한 증거를 종합 분석해 탐지한다. 공격에 사용된 도구와 명령어, 실행 흐름을 자동으로 시각화해 제공하는 기능도 갖췄다.

또한 최근 증가하는 ‘EDR 킬러’ 악성코드 식별도 가능하다. EDR을 우회하거나 삭제·비활성화하는 공격을 포착해, 보안 솔루션이 무력화된 이후의 공격 흔적까지 끝까지 추적한다.

성능은 실제 고객 사례에서 증명됐다. 킬린 랜섬웨어 침해사고를 당한 한 기업은 마에스트로 위즈덤을 통해 2TB 하드디스크를 4시간 이내에 1차 분석 완료했다. 특히 삭제된 이벤트 로그를 복구하고 ‘카빙(Carving)’ 기술을 통해 성과를 거뒀다. 카빙은 파일의 위치 정보가 파괴되거나 삭제되어도 데이터 조각을 직접 찾아내 원래 파일로 복원하는 고난도 기법이다. 덕분에 해당 기업은 3일 만에 랜섬웨어 탐지 및 차단 조치를 마무리했다. 통상 1~2주 이상 소요되는 분석 기간을 획기적으로 단축한 사례다.

마에스트로 위즈덤은 현장 조사용 ‘라이브’, 원격 대응을 위한 ‘리모트’, 모바일 악성코드 분석용 ‘모바일’ 등으로 구성된다. 위협 인텔리전스 플랫폼 ‘마에스트로 CTIP’와 연동되며, 글로벌 보안 솔루션과의 API 연계를 통해 분석 정확도를 높였다.

김종광 마에스트로포렌식 대표는 “최근 침해사고는 단순 탐지를 넘어 정확한 원인 규명과 빠른 대응이 핵심이다”라며, “마에스트로 위즈덤은 포렌식 기반 정밀 분석과 AI 자동화를 결합해 기존 EDR과 안티바이러스의 한계를 보완하는 플랫폼이다”라고 말했다. 이어 “킬린 랜섬웨어 등 고도화된 위협 환경에서도 신속하고 체계적인 대응이 가능하도록 기능을 지속 고도화할 것”이라고 덧붙였다.