- LotL·파일리스 공격까지 정밀 분석하는 침해사고 대응 플랫폼

보안 전문기업 마에스트로 포렌식이 AI 기반 자동화 디지털 포렌식·악성코드 분석 통합 플랫폼 ‘마에스트로 위즈덤(MAESTRO WISDOM)’에 침해사고 대응(DFIR) 기능을 추가하며, 최신 랜섬웨어와 윈도우 기본 기능을 악용한 공격까지 분석할 수 있는 통합 대응 체계를 구축했다.

 

EDR 우회·비활성화 공격까지 정밀 탐지

최근 킬린 랜섬웨어를 비롯해 LotL(Living off the Land), 파일리스(Fileless) 공격, EDR 우회·삭제·비활성화 공격이 빠르게 확산되고 있다. 이러한 공격은 기존 보안 솔루션을 먼저 무력화한 뒤 침해를 확대하는 방식으로, 단일 로그나 이벤트 기반 탐지로는 원인 규명이 쉽지 않다.

 

마에스트로 포렌식은 이러한 환경 변화에 대응해 포렌식 기반 정밀 분석과 실시간 대응이 가능한 통합 DFIR 플랫폼으로 마에스트로 위즈덤을 고도화했다. 메모리·프로세스·레지스트리·이벤트 로그·네트워크 아티팩트 등 약 1000개 이상의 디지털 증거를 상호 연관 분석해 공격 흐름과 행위 체인을 한눈에 파악하도록 설계했다.

 

LotL·파일리스 공격 행위 자동 시각화

마에스트로 위즈덤은 윈도우 기본 도구를 악용하는 LotL·파일리스 공격을 정밀 분석한다. WMI·PowerShell·원격 관리 도구 등 정상 기능을 활용한 공격 행위를 자동으로 식별하고, 사용된 도구·명령어·실행 흐름을 시각화해 제공한다. EDR 킬러 악성코드와 같이 보안 솔루션 무력화 이후의 공격 흔적까지 추적할 수 있어, 기존 EDR을 보완하는 역할을 수행한다.

 

침해사고 분석 기간 대폭 단축

마에스트로 포렌식에 따르면, 고객사 A는 킬린 랜섬웨어 침해사고 대응을 위해 마에스트로 위즈덤을 도입했다. LotL·파일리스 기법이 결합된 해당 공격은 기존 보안 솔루션으로 원인 분석이 어려운 상황이었다.

 

마에스트로 위즈덤을 통해 2TB 하드디스크를 4시간 이내 1차 분석하고, 초기 침투 경로와 악성 행위 체인을 식별했다. 삭제된 이벤트 로그 복구와 카빙을 통해 증거를 확보했으며, 최종적으로 3일 만에 랜섬웨어 탐지·차단 조치를 완료했다. 일반적으로 1~2주 이상 소요되는 고난도 침해사고 분석 기간을 크게 줄인 사례다.

 

원격 대응까지 단일 플랫폼으로 통합

마에스트로 위즈덤은 현장 조사용 ‘마에스트로 위즈덤 라이브’, 원격 침해사고 대응을 위한 ‘마에스트로 위즈덤 리모트’, 모바일 분석용 ‘마에스트로 위즈덤 모바일’로 구성된다. 위협 인텔리전스 플랫폼 ‘마에스트로 CTIP’와 연동해 유사 공격 탐색, 악성코드 기원·유포 경로 분석, 행위 패턴 비교까지 단일 플랫폼에서 수행할 수 있다. 글로벌 보안 솔루션과의 API 연계를 통해 분석 정확도도 높였다.

 

마에스트로 포렌식 김종광 대표는 침해사고 대응에서 정확한 원인 규명과 신속성이 중요하다고 설명하며, 마에스트로 위즈덤이 포렌식 기반 분석과 AI 자동화를 결합한 DFIR 플랫폼으로서 고도화된 랜섬웨어와 파일리스 공격 대응 기능을 지속 강화할 계획이라고 밝혔다.

 

#마에스트로포렌식 #마에스트로위즈덤 #DFIR #디지털포렌식 #침해사고대응 #랜섬웨어 #LotL #파일리스공격 #EDR