권영목 파고네트웍스 대표 “위협탐지·클리닝 서비스로 기업들 새로운 위협 다수 발견하고 충격”(영상)

“파고네트웍스, MDR 플랫폼화로 EPP, EDR, NDR, 오픈XDR과 연동해 자동화된 프로세스로 고객의 실질적 위협 대응 제공”

데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 권영목 파고네트웍스 대표는 PAGO ‘MDR 위협 인사이츠 분석 보고서 2023(실제 현업에서 탐지/방어한 사이버 공격 분석)’을 주제로 강연을 진행해 관심을 끌었다.

파고네트웍스는 MDR 서비스로 국내 최고 기업이다. AI기반 탐지대응솔루션을 적용함과 동시에 사고대응 및 차단 MDR 서비스를 제공하고 있다. 현재 400여 개 고객사에 사일런스, 스텔라사이버, 센티넬원 등 AI 기반 보안솔루션과 함께 MDR 서비스를 제공하고 있으며 7년간 축적된 국내에 특화된 위협 데이터를 기반으로 실질적인 고객 정보보호 강화에 기여하고 있다.

권영목 대표는 “AI 기반 EPP, NDR, XDR, EDR 제품을 공급하면서 여기서 탐지된 악성파일들이 진짜 악성인지, 얼마나 위험한지에 대한 유효성 검증이 필요했고 고객들 요구도 컸다. 그래서 딥액트(DeepACT)라는 MDR 서비스를 제공하게 됐다”며 “고객들은 AI 기반 솔루션과 함께 MDR 위협 헌팅 서비스를 통해 보다 상세한 위협 정보와 대응 방안 리포트를 받을 수 있게 됐다. 파고네트웍스는 단순 솔루션 제공을 넘어 자체 SOC 플랫폼을 개발해 어텍 서비스 매니지먼트를 강화할 수 있는 MDR 플랫폼 벤더로 고객들에게 인정을 받고 있다”고 말했다.

한편 파고네트웍스의 강점은 NDR, 오픈XDR 제품을 도입하면 EPP와 EDR 그리고 IOC 서비스와 IOA 서비스를 별도 차지 없이 제공받을 수 있고 이를 통해 고객들은 자동화된 능동적 위협 인사이츠를 제공받을 수 있다는 점이다. 즉 고객들은 제품 도입과 함께 직접 운영이 어려운 경우 매니지드 서비스까지 제공해 준다는 것이다.

이를 위해 파고는 위협 인텔리전스 시스템과 위협을 자동으로 분석할 수 있는 시스템과 인력을 구축하고 있으며 이를 통해 고객사의 중요한 자산과 크리티컬한 인프라를 보호하는데 집중하고 있다.

파고는 악성 행위에 대한 유효성 검증 인사이츠를 제공하기 위해 위협 헌팅 기술을 확보했고 궁극적으로 고객들에게 위협 탐지, 차단이 실질적으로 이루어질 수 있도록 한 것이다.

권영목 대표는 “파고의 목표는 명확하다. 고객사 보호 비율을 극대화하는 것이다. 현재 진행중인 위협이 있다면 최대한 빨리 대응하고 현실적인 대응 방안을 제공해 주는 것이다. 특히 탐지와 예방에만 그치는 것이 아니라 어떤 경로로 악성공격이 들어왔는지까지 알려주고자 한다. 이를 위해 MDR 서비스를 플랫폼화하기 위해 진행중에 있다”고 강조했다.

특히 “고객사에서 어떤 보안제품을 사용하고 있든 오픈XDR 스텔라사이버와 연동해 위협 대응 서비스를 제공할 것이다. 고객들은 EPP, EDR, NDR, 오픈XDR 모두를 연동해 활용할 수 있고 파고네트웍스의 고도화된 휴먼 기술력까지 통합해 사용할 수 있다. 파고는 이를 프로세스화 시키고 플랫폼화된 서비스를 제공해 나갈 것”이라고 덧붙였다.

이어 그는 최근 공격 사례를 들어 설명했다.

사내 PC 한 대가 랜섬웨어에 감염됐다. 이때 단순히 하나의 랜섬웨어 악성코드만 탐지해서 차단하는 것이 아니라 이미 수많은 악성코드와 악성행위가 연동되었기 때문에 보이지 않았던 중요정보를 탐색했던 악성파일, 익스플로잇, 계정탈취 등에 사용됐던 위협들을 찾아내 제거하는데 집중한다. 실제로 지난해 중견기업에서 발생한 사고다. 파고는 당시 사고를 성공적으로 탐지해 예방했고 더불어 공격자의 위협 의도까지 파악해 냈다. 위협의 6하원칙, 누가, 언제, 어디서, 무엇을, 어떻게 왜 공격했는지 상세히 파악해 고객사에 전달한 사례다.

또 다른 사례에서는, EDR 솔루션으로 해커의 포트스캐닝툴과 악성코드를 찾아내고 방어한 후, FTP 툴이 공격자에 의해 다운로드됐고 C2서버와 통신한 것까지 모든 인텔리전스 정보를 추적해 보고했다. 파고는 고객들이 솔루션을 최대한 잘 활용할 수 있도록 지원하고 추가적인 대응 정보를 제공해 주고 있다.

파고네트웍스 고객군은 78%가 제조업, 10%가 식음료, 5%가 전자상거래와 의료기관들이다. 또 IT인프라 공급기업과 로컬 보안 기업도 제품과 서비스를 활용하고 있다. 특히 제조분야 고객은 중장비 부품, 자동차 부품, 공조시스템, 치과용 의료기기, 반도체, 에너지, 화학 등이다. 대부분 고객들이 기존 엔드포인트 보안솔루션이나 네트워크 보안솔루션을 사용하고 있었지만 파고 제품과 연동된 MDR 서비스를 통해 기존에 탐지되지 않았던 수백개의 위협들이 추가로 탐지된 것이다. 잘 숨어서 공격을 진행하고 있던 위협들을 찾아내면서 지속적으로 고객들이 증가하고 있다고 전했다.

권 대표는 “대표적인 고객사 4곳에서는 파고 위협 클리닝을 통해 위협이 현저하게 감소했다. 한편 크리티컬한 위협 초기 단계에서는 해킹툴이 42% 탐지됐고 트로이안이 26%, 크립토마이너가 19%, 랜섬웨어 11%, 스피어피싱 1% 등을 조사됐다. 랜섬웨어중 가장 많이 탐지된 것은 락빗이 60%, 블랙켓 14%, 마콥 13%, 워너크라이 13%로 조사됐다. 탐지된 위협 목적은 원격제어, 계정탈취, 정보수집, 권한상승, 내부전파 순으로 조사됐다”고 설명했다.

이어 그는 “중견 중소기업들이 어텍 서비스 매니지먼트를 받아 보면 새로운 사실들이 많이 발견될 것이다. 많은 기업들이 원격접속 프로토콜을 인터넷에 오픈해 놓고 있다. 또 RDP, FTP, 내부에서만 접근할 수 있는 시스템, 보안장비 관리 콘솔 로그인페이지, DB 접속 관리 사이트 등이 외부에 무작위로 연결된 경우들도 많다. 내부 관리 인력이 없기 때문에 외부 파트너에게 의존하고 그들에게 퍼블릭 IP를 제공하고 포트를 오픈하면서 발생하는 문제들이다”며 “파고 고객들이 꾸준히 증가하는 이유도 뭔가 위협들이 있는데도 자체적으로 찾을 수 있는 조직이나 인력을 없는 경우 의뢰가 들어오고 무상으로 위협 정보를 찾아 제공해 준다. 그러면서 고객들이 계속 증가했다. 파고의 프리미엄 위협 탐지 및 대응 또는 위협 클리닝 서비스를 적극 활용하길 바란다”고 강조했다.

좀더 상세한 정보를 원한다면 권영목 파고네트웍스 대표의 K-CTI 2024 강연영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.