랜섬웨어를 비롯한 사이버 공격이 점차 정교해지면서 단순 탐지를 넘어 사고 원인 규명과 대응까지 아우르는 침해사고 대응 역량이 중요 과제로 부상하고 있다. 특히 합법적인 시스템 도구를 악용하는 공격 기법이 확산되며, 기존 보안 솔루션만으로는 전체 공격 흐름을 파악하기 어렵다는 지적이 이어지고 있다.

2월 10일 서울에서 마에스트로 포렌식은 AI 기반 자동화 디지털 포렌식 및 악성코드 분석 통합 플랫폼 ‘마에스트로 위즈덤(MAESTRO WISDOM)’에 침해사고 대응(DFIR) 기능을 대폭 강화했다고 밝혔다.

최근 킬린(Qilin) 랜섬웨어를 비롯해 LotL(Living off the Land), 파일리스(Fileless) 공격, EDR 우회·비활성화 공격이 빠르게 증가하고 있다. 이들 공격은 보안 솔루션을 선제적으로 무력화하거나 운영체제 기본 기능을 활용하는 방식으로 진행돼, 기존 EDR 중심의 대응 체계에서는 침해 경로와 행위 분석에 한계가 있다는 평가다.

마에스트로 위즈덤은 이러한 환경 변화에 대응하기 위해 디지털 포렌식 기반의 정밀 분석을 강화했다. 윈도우, 맥OS, 리눅스, 모바일, 클라우드 환경을 지원하며, 약 1000개 이상의 디지털 아티팩트를 상호 연관 분석해 공격 흐름과 행위 체인을 파악하도록 설계됐다. 또한 ‘포렌식 가속기’ 기술을 통해 증거 식별과 분석 속도를 기존 대비 5배 이상 향상시켰다.

특히 윈도우 기본 도구를 악용한 LotL·파일리스 공격에 대해 메모리, 프로세스, 레지스트리, 이벤트 로그, 네트워크 증거를 종합 분석해 공격 도구와 실행 흐름을 자동 시각화한다. EDR을 우회하거나 삭제·비활성화하는 공격 흔적도 식별할 수 있어, 기존 보안 솔루션이 탐지하지 못한 이후 단계까지 추적이 가능하다는 설명이다.

마에스트로 포렌식에 따르면 고객사 A는 킬린 랜섬웨어 침해사고 대응을 위해 해당 플랫폼을 도입해 2TB 규모 저장장치를 4시간 이내 1차 분석하고, 3일 만에 침투 경로 식별과 차단 조치를 완료했다. 이는 통상 1~2주 이상 소요되는 고난도 분석 기간을 단축한 사례로 제시됐다.

플랫폼은 현장 조사, 원격 침해사고 대응, 모바일 분석 기능을 단일 체계로 통합하고 위협 인텔리전스 플랫폼과 연동된다. 이를 통해 유사 공격 비교와 행위 패턴 분석, 외부 보안 솔루션과의 API 연계도 가능하다.

김종광 대표는 최근 침해사고 대응에서는 정확한 원인 분석과 신속한 조치가 핵심이라며, 포렌식 기반 분석과 자동화를 결합해 기존 EDR 체계를 보완하는 방향으로 플랫폼을 고도화하고 있다고 밝혔다.