[데일리시큐][KCSCON 2025] 엔키화이트햇 천호진 팀장 “작은 부주의가 해커에게 길을 열어준다”

내용 요약

KCSCON 2025에서 엔키화이트햇의 천호진 팀장이 발표한 “APT Down: The North Korea Files 재구성–국내 공격 사례 분석”은 국제 공개 자료와 국내 사례를 연결해 북한·중국 배후 APT 활동을 시각화한 세션이다. 발표에서는 APT 탐지·분석 기법과 오픈소스 인텔 활용 방법이 핵심 포인트로 부각됐다.

핵심 포인트

• APT 탐지·속성화: 공개 보드(예: Kaspersky’s “North Korea Files”)와 국내 로그를 매핑해 공격 패턴을 재구성.
• 오픈소스 인텔 활용: 공개 취약점·공격 도구 정보를 실시간으로 수집·분석해 침해 사전 감지.
• 국내 보안 인프라 연계: 보안 이벤트 로그와 글로벌 인텔을 연동해 사고 대응 시간을 단축.

기술 세부 내용

1️⃣ APT Detection & Attribution

• APT(Advanced Persistent Threat)는 장기간에 걸쳐 조직 내부를 침투해 데이터를 탈취하는 정교한 공격.
• 공개 보고서 매핑: Kaspersky, Mandiant 등에서 공개한 “North Korea Files”에 기록된 TTP(전술·전술·전술)와 국내 보안 로그를 연결.
• 시각화 도구: ATT&CK Matrix 기반 플로우 차트로 공격 단계(Recon, Initial Access, Execution 등)를 단계별로 표시.
• 속성화 방법: IOC(Indicator of Compromise) 매칭, 행위 기반 서명, 행위 패턴 클러스터링을 통해 APT 소속을 추정.

2️⃣ Threat Intelligence Platforms (TIP) & Open‑Source Intelligence

• TIP는 외부 인텔(블랙/화이트/그레이)과 내부 로그를 통합해 실시간 위협 포지셔닝을 제공.
• 오픈소스 인텔: GitHub, Pastebin, Shodan 등에서 수집한 공개 자료를 활용해 악성코드 샘플, C2 도메인, 취약점(CVE) 정보를 확보.
• 수집 파이프라인: RSS, Twitter API, MISP(머신러닝 기반) 등을 연동해 자동화된 데이터 흐름을 구축.
• 분석 워크플로우: 데이터 정제 → 상관 분석 → 시각화 → 대응 플랜 생성. 이를 통해 “APT Down”과 같은 대형 분석도 한눈에 이해 가능.

Tip: TIP 구축 시 사전 정의된 Playbook과 공격 패턴 시각화를 필수적으로 포함하면, 신규 APT에 대한 빠른 대응이 가능합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200783