보안 전문업체인 마에스트로 포렌식(대표 김종광)은 오늘, AI 기반 자동화 디지털 포렌식 및 악성코드 분석 통합 플랫폼 '마에스트로 위즈덤(MAESTRO WISDOM)'에 침해사고 대응(DFIR) 기능을 대폭 강화했다고 밝혔다.
최근 국내외에서 킬린 랜섬웨어 (Qilin Ransomware, 기존 보안 솔루션을 먼저 무력화하거나 삭제·비활성화한 후 공격을 수행하는 고도화된 공격)를 비롯해 LotL(Living off the Land, 시스템에 존재하는 합법적인 도구와 기능을 악용해 악성 활동을 수행하는 사이버 공격), 파일리스(Fileless) 공격, EDR 바이패싱(우회)·비활성화 공격이 빠르게 확산되면서, 기존 보안 솔루션만으로는 침해사고의 원인 규명과 확산 차단이 어려운 상황이다. 마에스트로 포렌식은 이러한 환경 변화에 대응하기 위해, 디지털포렌식 기반의 정밀 탐지 분석과 실시간 대응이 가능한 통합 침해사고 분석 플랫폼을 고도화했다.
마에스트로 위즈덤(MAESTRO WISDOM)은 윈도우, 맥(macOS), 리눅스(Linux), 모바일(Android·iOS), 클라우드 환경까지 아우르는 원스톱 침해사고 분석 및 대응 플랫폼으로, 기존 대비 5배 이상 빠른 증거 식별과 분석을 가능하게 하는 '포렌식 가속기(Forensic Accelerator)' 기술을 내장하고 있다. 특히 단일 로그나 단편적 이벤트 중심 분석이 아닌, 약 1000개 이상의 디지털 아티팩트를 상호 연관 분석해 공격 흐름과 행위 체인을 한눈에 파악할 수 있도록 설계됐다.
최근 공격자들은 윈도우에 기본 탑재된 WMI/WMIC, PowerShell, 원격 파일 전송 프로그램, 원격접속·관리 도구 등을 활용해 별도의 악성 파일을 설치하지 않고도 운영체제가 제공하는 기본 도구들을 활용하여 공격을 수행한다. 심지어 그림판, 메모장 등 정상 프로그램을 활용해 주요 정보를 탐색·유출·탈취하는 사례가 빈번하게 발생되고 있다.
마에스트로 위즈덤은 이러한 LotL 및 파일리스 공격 행위를 메모리, 프로세스, 레지스트리, 이벤트 로그, 네트워크 아티팩트 등 다양한 증거를 종합 분석해 탐지하며, 공격에 사용된 도구, 명령어, 실행 흐름을 자동으로 시각화해 제공한다. 또한 최근 증가하는 EDR 킬러(EDR Killer) 악성코드, 즉 EDR을 우회(Bypassing)·삭제·비활성화하는 공격도 식별 가능해, 기존 보안 솔루션이 무력화된 이후의 공격 흔적까지 추적할 수 있다.
마에스트로 포렌식에 따르면, 고객사 A는 킬링 랜섬웨어 침해사고 분석을 위해 '마에스트로 위즈덤'을 도입했다. 해당 공격은 LotL 및 파일리스 기법을 결합해 내부 시스템으로 확산되며, 기존 보안 솔루션으로는 원인 분석이 어려웠다.
마에스트로 위즈덤을 통해 2TB 하드디스크를 4시간 이내 1차 분석을 완료, 공격 초기 침투 경로와 악성 행위 체인을 식별했으며, 삭제된 이벤트 로그 복구 및 카빙 성공, 최종적으로 3일 만에 랜섬웨어 탐지·차단 조치까지 마무리했다. 일반적으로 1~2주 이상 소요되는 고난도 침해사고 분석을 획기적으로 단축한 사례다.
마에스트로 위즈덤은 현장 조사용 '마에스트로 위즈덤 라이브', 원격 침해사고 대응을 위한 '마에스트로 위즈덤 리모트', 모바일 악성코드 분석용 '마에스트로 위즈덤 모바일' 등으로 구성돼 있으며, 위협 인텔리전스 플랫폼 '마에스트로 CTIP'와 연동된다. 이를 통해 유사 공격 사례 탐색, 악성코드 기원 및 유포 경로 분석, 행위 패턴 비교가 가능하며, 글로벌 보안 솔루션과의 API 연계를 통해 분석 정확도를 한층 높였다.
마에스트로 포렌식 김종광 대표는 “최근 침해사고는 단순 탐지를 넘어, 정확한 원인 규명과 빠른 대응이 핵심이다. 마에스트로 위즈덤은 포렌식 기반의 정밀 분석과 AI 자동화를 결합해 기존 EDR·안티바이러스의 한계를 보완하는 침해사고 대응 플랫폼이다”라고 말하며, “킬린 랜섬웨어, LotL, 파일리스 공격 등 고도화된 위협 환경에서도 신속하고 체계적인 대응이 가능하도록 기능을 지속 고도화해 나갈 것이다”라고 말했다.
임민지 기자 minzi56@etnews.com