반도체 전문 온라인 매거진 - 올포칩

카스퍼스키(www.kaspersky.co.kr 지사장 이효은)는 AI 기반의 DLL(Dynamic Link Library) 하이재킹 탐지 기능을 추가한 ‘카스퍼스키 SIEM(보안 정보 및 이벤트 관리 솔루션)’을 발표했다. 

카스퍼스키 SIEM은 카스퍼스키 디지털 풋프린트 인텔리전스(DFI) 및 카스퍼스키 관리형 탐지 및 대응(MDR) 솔루션과 통합하여 사용할 수 있으며, 대시보드 및 보고서 작업 기능을 강화했다. *DLL 하이재킹은 프로그램 실행 시 필요한 DLL(Dynamic Link Library, 동적 연결 라이브러리, 여러 프로그램이 공통으로 사용하는 기능·코드 모음) 파일을 공격자가 조작하거나 위조된 DLL로 대체해, 정상 프로그램이 이를 잘못 불러오도록 유도하여 악성 코드를 실행하는 공격 기법이다. 

카스퍼스키 MDR 애널리스트 최신 보고서에 따르면, 2024년 전 세계 기업 4곳 중 1곳이 APT 공격의 피해를 입었으며, 이는 2023년 대비 74% 증가한 수치다. 자동화된 탐지 기술의 발전에도 불구하고 공격자는 여전히 취약점을 악용해 방어망을 우회하고 있다. 이에 카스퍼스키는 위협 탐지 역량 강화를 위해 SIEM을 대폭 업그레이드하고 새로운 기능을 추가했다. 

카스퍼스키 SIEM은 AI 기반 DLL 하이재킹 탐지 및 대응, DFI·MDR 통합, 행위 기반 분석 강화, 보고·시각화 개선, 그리고 고가용성과 확장성을 통해 사이버 위협 탐지와 대응 역량을 전방위로 강화한 보안 플랫폼이다. 구체적인 업데이트 내용은 다음과 같다: 

DLL 하이재킹 대응 강화

합법적인 소프트웨어는 실행 과정에서 수많은 라이브러리를 로드하는데, 공격자는 이를 악용해 탐지를 피하고 공격을 수행한다. 이번 업데이트에서는 AI 기반 서브시스템이 도입되어 로드되는 모든 라이브러리를 실시간 분석한다. 의심스러운 교체 정황이 탐지되면 자동으로 이벤트를 주석 처리하여 보안팀이 신속히 사고를 생성하고 조사를 진행할 수 있다. 사용자는 단순히 DLL 하이재킹 강화 규칙을 수집기 또는 상관분석기에 연결하기만 하면 해당 기능을 활용할 수 있다. 이를 통해 시스템은 잠재적인 라이브러리 대체 위협을 효과적으로 탐지하고 대응하는 능력을 향상시킬 수 있다. 

카스퍼스키 디지털 풋프린트 인텔리전스(DFI) 및 관리형 탐지 및 대응(MDR)과 통합

카스퍼스키 SIEM은 이제 카스퍼스키 디지털 풋프린트 인텔리전스와의 원활한 통합을 제공하여 사용자가 디지털 풋프린트 데이터와 관련된 포괄적인 분석을 받을 수 있다. 이 개선 사항을 통해 사용자 계정 및 비밀번호 유출이 신속하게 탐지되고 자동화된 경고가 생성되어 즉각적인 대응이 가능해진다. 이 통합을 통해 식별된 인시던트는 SIEM 시스템 내에서 추가 조사가 가능하여 전반적인 보안 태세를 강화할 수 있다. 또한, MDR 콘솔에서 발생한 인시던트를 SIEM으로 자동으로 가져올 수 있어 위협 관리와 분석을 더욱 신속하고 효율적으로 수행할 수 있다. 

행위 기반 분석 강화

카스퍼스키 SIEM은 윈도우 기반 워크스테이션 및 서버의 인증 프로세스, 네트워크 활동, 프로세스 실행 전반에 걸친 이상 징후를 포괄적으로 탐지하기 위해 특별히 설계된 전용 사용자 및 엔터티 행동 분석(UEBA) 규칙 세트를 통합하여 더욱 강화되었다. 이 추가 기능을 통해 카스퍼스키 SIEM은 확립된 행동 패턴과의 편차를 보다 효과적으로 분석할 수 있게 되어 APT, 표적 공격 및 내부자 위협을 적시에 식별할 수 있다. 

보고 및 시각화 기능 개선

대시보드와 보고서 템플릿을 카스퍼스키 SIEM 설치 환경 간에 공유 및 이전할 수 있게 되어 보안 환경 전반에 걸쳐 원활한 협업과 일관성을 지원한다. 이 기능을 통해 사용자는 카스퍼스키로부터 직접 업데이트를 수신할 수 있어 보안 팀이 포괄적인 조직 사이버 보안 분석을 위한 최신 콘텐츠에 접근할 수 있다.

또한 새로운 데이터 시각화 위젯이 도입되어 정보를 표현하는 고급 기능을 제공한다. 사용자는 이제 데이터를 추세로 표시하고, 여러 그래프를 결합하며, 서로 다른 값 간의 관계를 시각화할 수 있어 보안 인사이트의 명확성과 효과성을 높일 수 있다. 더불어 정교한 쿼리를 생성할 수 있는 사전 구성된 위젯이 새로 추가되었다. 이는 드릴다운 기능과 결합되어 사용자가 대시보드에서 다른 사전 구성된 대시보드로 이동하여 더 상세한 분석을 수행할 수 있도록 지원한다. 

고가용성과 확장성 제공

카스퍼스키는 SIEM 코어에 고가용성과 복원력을 제공하도록 설계된 분산형 Raft 기반 아키텍처(여러 서버가 합의 알고리즘을 통해 동일한 상태를 유지하며 장애에도 안정적으로 동작하도록 설계된 분산 시스템 구조)를 도입했다. 이러한 접근 방식은 과부하 상태에서도 지속적인 운영을 보장하며 조직이 수평 확장을 손쉽게 수행할 수 있게 지원한다. 

카스퍼스키의 일리야 마르켈로프 통합 플랫폼 총괄은 “카스퍼스키는 복잡한 위협에 대응하기 위해 SIEM 플랫폼의 탐지 기능을 지속적으로 고도화하고 있다. 이를 통해 보안 전문가들의 업무 부담을 줄이고, 더 많은 시간을 복잡한 사이버 사고 분석과 사전 대응에 집중할 수 있도록 지원한다. AI 기술을 기반으로 다양한 프로세스를 자동화하고 방대한 데이터를 빠르게 분석함으로써 기업 보안의 효율성과 회복력을 크게 강화하고 있다”라고 말했다. 

카스퍼스키 이효은 한국지사장은 “한국은 APT 그룹의 표적 공격과 공급망 취약성 등 다양한 위협에 직면해 있습니다. 은밀한 공격 기법으로 인해 기업 보안은 점점 더 어려워지고 있다. 이번에 업그레이드된 카스퍼스키 SIEM은 AI 기반 DLL 하이재킹 탐지 기능과 DFI, MDR의 심층 통합을 통해 비정상 행위를 정밀하게 식별한다. 우리는 자동화되고 지능화된 보안 역량으로 한국 기업 고객들의 보안 운영·유지 부담을 줄이고, 견고한 디지털 방어선을 구축할 수 있도록 지원할 것이다”라고 말했다.