사이버 공격은 날로 정교해지고 있지만, 중소기업이나 MSSP(관리형 보안 서비스 제공업체)는 고비용과 시간 부담으로 신속한 디지털 포렌식 대응에 어려움을 겪고 있다. 기존 분석 서비스는 수만 달러의 비용과 수일이 소요되는 경우가 많아 즉각적인 조치가 어려웠다. 이에 따라 저비용, 고속, 자동화된 침입 분석 기술의 필요성이 높아지고 있다.

보안 자동화 기업 슬루스 키트 랩(Sleuth Kit Labs, 이하 슬스)가 조직이 침입의 심각도를 분석하는 사이버 조사 서비스 ‘래피드 엔드포인트 트리아지 서비스(Rapid Endpoint Triage Service)’를 출시했다.

이 서비스는 기업이 내부 보안팀이나 MSSP로부터 침입 알림을 받았을 때, 신속하고 효율적으로 침입의 범위를 파악하도록 돕기 위해 출시되었다. 기업은 사이버 침입 발생 시 수천 달러의 비용이 아닌 2000달러에 몇 시간 내 분석 결과를 받을 수 있다.

자동화 분석과 전문가 보고서 결합

이 서비스는 슬스의 자동 디지털 조사 플랫폼 ‘사이버 트리아지(Cyber Triage)’에 의해 구동되며, 사이버 트리아지는 디지털 침해 사고 대응을 위한 자동화 분석 도구로, 머신러닝과 위협 인텔리전스를 활용해 침입 증거를 신속히 자동으로 분석하고 조사관이 집중해야 할 부분을 보여준다.

이 서비스를 통해 조직은 영향을 받은 시스템에서 작은 프로그램을 실행하고 자동 분석을 위해 데이터를 업로드한다. 조사관은 업로드 된 데이터를 검토하고, 사건의 영향에 대한 주요 질문에 답변하는 보고서를 회신한다.

사용자는 복잡한 설정 없이 프로그램을 실행하고 분석 요청만 하면 되며, 결과 보고서를 통해 정확한 대응 결정을 내릴 수 있도록 지원받는다. 이는 기존 복잡한 포렌식 절차와는 달리 훨씬 단순하고 신속한 접근 방식이다.

특히, 관리형 서비스 제공업체(MSP) 및 관리형 보안 서비스 제공업체(MSSP)의 경우, 고객을 위해 수집 프로그램을 실행하고 이벤트에 대한 심층 분석 및 권장 조치를 제공하는 등 고객의 대응을 돕고 계획을 수립할 수도 있다.

슬루스의 CEO 브라이언 캐리어(Brian Carrier)는 “일부 경고는 빙산의 일각일 뿐이다.”라며, “호스트를 삭제하고 나쁜 일이 일어나는지 확인하는 것은 위험하다. 우리는 중소기업이 스스로를 더 잘 보호할 수 있도록 저렴한 옵션을 제공할 것이다.”라고 말했다.