-P.M.I (Please More Information) 노트-
Top-CERT담당 김민지 선임과 김민영 선임과 이야기를 나눠보았습니다. SK쉴더스 Top-CERT의 박진감 넘치는 직무 이야기, 지금 바로 확인해 보세요!
김민지 선임: 안녕하세요. Top-CERT담당 김민지입니다. Top-CERT담당은 SK쉴더스의 침해사고분석 및 대응 전문팀입니다. 침해사고가 발생 시 보안관제에서 1차적인 대응을 진행한다면, Top-CERT담당에서는 사고 원인 및 영향을 정밀 분석하여 대응하는 조직입니다.
김민영 선임: 안녕하세요. Top-CERT담당 김민영입니다. 저희 팀은 사고 발생시 현장에 투입되어 로그, 포렌식, 악성코드 분석 등을 통해 공격자의 TTPs(Tactics, Techniques and Procedures)를 파악하고 재발 방지 대책을 수립합니다. 공격자가 실시간으로 공격을 수행하는 경우도 있고 반대로 저희가 찾아낸 정보를 바탕으로 공격자 서버에 접근해 공격자가 탈취한 데이터나 공격도구를 획득하는 등 여러 박진감 넘치는 업무를 수행하는 팀입니다.
김민지 선임: 저희 팀은 다년간 축적된 APT[1] 침해사고 대응 노하우와 사고 분석 전문 인력, 글로벌 포렌식 전문 솔루션(EnCacse, FTK)을 기반으로 고객사의 해킹 사고에 신속한 대응을 지원하고 있습니다.
김민영 선임: 더불어 고객사의 보안 역량을 강화하는 데에도 기여하고 있습니다. 사고 분석을 완료하면 랜섬웨어로 인한 공장 정지, 연구 데이터 유출 사고 등 위험도가 높은 실제 사고 현장에서 확보한 침해사고지표(IoC), 공격자의 해킹 기법 등의 정보를 공유하여 선제적인 위협 판별과 체계적인 대응을 할 수 있도록 돕고 있습니다.
[1]APT : Advanced Persistent Threat의 약어
김민지 선임: 침해사고가 발생한 것은 공격자에 의해 기업의 정보 자산이 해킹되었다는 것이기 때문에 분위기가 엄숙한 편이지만, 저희 분석실 안에서는 함께 공격 포인트를 분석하고 찾아가는 과정을 즐겁게 하는 편입니다.
김민지 선임: 월평균 3~5건 정도 해킹사고가 접수되며 침해사고 조사 분석 프로세스는 ‘사전 조사 – 증거 수집 – 침해사고 분석 – 결과 보고’로 진행됩니다. 사고가 접수되면 고객사와 인터뷰를 통해 환경정보와 분석 대상을 파악하여 증거 수집 계획을 수립하는데요. 증거 수집 단계에서는 휘발성 데이터(메모리 덤프, 프로세스 정보, 네트워크 정보 등)와 비휘발성 데이터(시스템 로그)를 입수한 후, 디스크 덤프와 보안장비 로그를 수집합니다.
김민영 선임: 맞습니다. 그런데 만약 실시간으로 공격이 진행 중이라면 공격자 IP 차단, 서버 격리, 피해 증상에 대한 대응책 제시 등 빠르게 초기 대응 조치를 수행한 다음, 서버 이미지, 아티팩트, 로그 등 분석에 필요한 데이터들을 우선적으로 수집합니다.
김민지 선임: 증거 확보가 완료되면 시스템에 대한 기본 정보를 확인하고 시스템 및 애플리케이션 로그와 파일시스템을 분석합니다. 해당 내용을 바탕으로 TTPs를 파악하여 사고 원인을 규명하고 사고 대책에 대한 수립 및 권고와 사고대응 결과보고를 진행하며 마무리합니다.
김민영 선임: 무엇보다도 ‘재발 방지’입니다. 사고가 발생했다는 것은 시스템 및 네트워크 내 취약한 부분이 있다는 의미이고, 이를 이용해 공격자들이 또다시 침투할 수 있기 때문에 이를 차단하고 보완하여 기업의 정보 자산을 보호해야 합니다.
해킹사고분석을 통해 공격의 원인과 방법을 추적하고, 공격자의 동작 패턴과 전략을 확인함으로써 우리가 미처 알지 못했던 보안 취약점을 식별할 수 있습니다. 이를 통해 새로운 보안 대책을 마련하고 더 나아가 다른 종류의 공격까지 대비하는 역할을 하기 때문에 매우 중요합니다.
해킹사고 분석은 실제 사고가 발생한 고객사에 투입되어 사고를 분석하는 업무이고, 흔적 분석 업무는 사고 침해 정황을 조기에 발견하고 최대한 빠른 조치를 수행하기 위해 감사 형식으로 진행하는 업무입니다. 기업이 사고를 인지하기까지 많게는 3개월 이상의 시간이 소요되는 경우가 많답니다.
김민지 선임: 공격한 행위 흔적들을 지우고 나가는 안티포렌식 기법을 최근 많이 사용하는데요. 이런 공격은 카빙에 한계가 존재해서 공격 흐름을 분석하기 정말 어렵습니다.
김민영 선임: 맞아요. 라자루스, 김수키 등 북한발로 추정되는 해킹사고를 분석했는데요. 공격이 매우 세세하기도 하고, 안티포렌식 기법으로 흔적을 삭제하고 나가서 공격자의 TTPs 파악이 정말 어려웠습니다. 하지만 어려운 만큼 끝까지 분석하고 원인을 규명해냈을 때의 성취감은 정말 컸습니다!
김민지 선임: 지난해 ‘랩서스(LAPSUS$)’와 국내 기업만을 타깃으로 공격한 ‘귀신’(GWISIN) 랜섬웨어 그룹이 이슈였는데요. Top-CERT담당에서는 랜섬웨어 그룹의 공격유형/기법, 특장점 등을 사이버 공격 라이프 사이클에 맞춰 세분화해 분석한 내용과 대비책을 공유했습니다. 앞으로도 주요 사이버 위협 정보와 대비책을 공유하는 ESG 활동을 지속해 나갈 예정입니다.
김민영 선임: 저는 탐정이 나오는 추리물을 좋아하는데요. 여러 현장에서 발견한 증거를 바탕으로 합리적 추리를 통해 범죄의 상세한 방법을 밝혀내는 것이 사고 분석 업무와 유사하다고 생각합니다. 피해를 입은 서버에서 증거를 찾아내고 공격자의 공격 수법을 찾아나가는 업무가 추리 탐정과 유사해 시작하게 되었습니다.
김민지 선임: 정보보호학과 재학 당시, 보안 관련 업무를 꿈꾸다가 SK쉴더스 루키즈 교육을 들었는데요. 직무설명회 때 침해사고대응팀의 소개를 듣고 포렌식에 관심이 생겨 Top-CERT담당에 지원하게 되었습니다.
김민영 선임: 가장 중요한 역량은 끈기 있게 노력하는 마음가짐입니다. 침해사고분석은 수백만, 수천만 줄의 로그에서 몇 줄의 공격 흔적을 찾기 위해 여러 아티펙트를 비교해가며 분석하기 때문에 끈기가 필요합니다. 네트워크 지식, 파일 시스템 등 넓은 분야의 지식을 요하기 때문에 지원 시 본인이 자신 있는 1~2개 정도의 분야를 준비하면 좋을 것 같습니다.
김민지 선임: 정보보안 기초 지식과 포렌식 기초 지식이 필요하다고 생각합니다. 입사 준비할 때는 최근 보안 사고 사례나 이슈되고 있는 취약점 사례를 찾아보는 것을 추천드립니다. 공격 패턴은 계속해서 진화하고 있기 때문에 입사한 뒤에도 계속 공부해 나가야 합니다.
김민지 선임: 보안은 ‘작지만 소중한 것’입니다. 한 기업에서 보안보다는 시스템 운영이 우선시되고 있지만, 보안을 놓치게 된다면 조직의 가치 있는 정보 자산을 잃을 가능성이 존재하기 때문에 보안에 투자하는 것이 중요합니다.
김민영 선임: 보안은 ‘자기관리’라고 생각합니다. 자기관리는 변화가 눈에 바로 띄지는 않지만 꾸준히 노력하면 어제보다 발전한 나를 발견할 수 있듯이, 꾸준하게 보안에 투자하면 문제가 생겨도 빠르게 대응할 수 있는 더 나은 환경을 만들어 주기 때문입니다.
김민지 선임: 저 혼자 성장하는 것이 아닌 함께 공부하고 서로 공유하여 같이 성장할 수 있는 팀 분위기를 도모하는 팀원이 되고 싶습니다.
김민영 선임: 더 빠르고 정확한 분석을 위해 신기술 영역과 부족한 부분에 대한 자기 발전을 끊임없이 수행하고, Top-CERT담당의 일원으로써 여러 공격 유형에 대한 분석 결과를 공유하여 다양한 위협에 대응할 수 있도록 돕고 싶습니다.
SK쉴더스 Top-CERT와 함께한 <PMI 노트> 여섯 번째 이야기, 어떠셨나요?
우리나라 기업의 소중한 정보 자산을 든든하게 지키는 Top-CERT의 사이버보안 이야기를 깊게 들어볼 수 있는 뜻깊은 시간이었는데요!
다음에도 우리의 안녕을 지키고 있는 SK쉴더스 구성원의 이야기와 함께 찾아오겠습니다. 😊