지니언스 시큐리티 센터(Genians Security Center)는 APT37 그룹이 수행한 '아르테미스(Artemis)' 작전 캠페인을 식별했습니다. 위협 행위자는 HWP 문서 내부에 악성 OLE 개체를 은밀하게 삽입하는 방식을 활용했습니다. 사용자가 문서 내용을 신뢰하고 하이퍼 링크를 클릭하면 공격 체인이 시작되도록 설계되어 있습니다.
[그림 1-1] 공격 흐름 개요도
해당 OLE 개체가 로드될 경우, 위협 행위자는 정상 프로세스를 먼저 실행하는 위장 기법을 사용했습니다. 이러한 다단계 절차는 합법적 프로세스 흐름을 악용해 시그니처 기반 보안 제품의 의심 탐지를 회피하는 효과를 노립니다. 이후 정상 프로세스의 실행 컨텍스트를 기반으로 최종적으로 악성 DLL을 호출하여 페이로드를 구동합니다.
이는 초기 실행과 권한 상승을 교묘하게 결합해 탐지를 우회하려는 전술이며, EDR(Endpoint Detection and Response)은 이러한 비정상적인 실행 흐름을 이상행위 탐지 규칙을 통해 식별할 수 있습니다.
지난 8월 4일 발간된 「RoKRAT 셸코드 및 스테가노그래피 기반 위협 분석과 EDR 대응 방안」 보고서를 통해 APT37 그룹의 LNK 바로가기 및 HWP OLE 기반 공격 사례를 상세히 소개한 바 있습니다. 당시 공격에서는 DLL 사이드 로딩 기법 이후에 추가로 다운로드된 사진파일의 스테가노그래피 전략을 자세히 기술하였습니다.
이처럼 위협 행위자들은 LNK 전략과 함께 HWP 악성 문서를 지속적으로 공격에 활용하고 있어, 이용자들의 각별한 주의가 필요합니다.
이 캠페인은 정상 프로세스를 악용한 탐지 회피 전략, 다단계 실행 체인, 정상 실행 흐름과 악성 행위를 교묘히 혼합한 고도화된 기법을 특징으로 합니다. 특히 악성 페이로드를 정상 프로세스 하위에서 동작시키는 방식은 분석 난이도를 크게 높여, 식별과 대응을 어렵게 만듭니다.
종합적으로, 본 공격은 APT37이 지속적으로 수행해 온 정찰·침투 중심의 고도화된 활동 패턴을 다시 한번 보여주는 사례로 평가됩니다. 이는 해당 위협 그룹이 정교한 기술을 활용해 지속적으로 공격 역량을 강화하고 있음을 시사합니다.
10월 27일, 미국의 북한 전문 매체로 알려진 38노스(38 North)는 「HWP as an Attack Surface: What Hancom's Hangul Word Processor Means for South Korea's Cyber Posture as a US Ally」 제목의 보고서를 발표했습니다.
해당 보고서에 따르면, 한국에서 표준적으로 사용되는 Hangul Word Processor(HWP) 문서 포맷이 사실상 고정된 공격 표면(Attack Surface) 으로 자리잡아 왔으며, 북한의 사이버 작전 주체들이 이를 지속적으로 악용해 한국의 정부·군·핵심 사업체 네트워크 침투 시도에 활용해 왔다고 기술하고 있습니다.
실제로 한국에서는 HWP 문서를 매개로 한 공격이 지속적으로 관찰되고 있습니다. 위협 행위자의 관점에서 악성코드의 동작 방식은 환경과 조건에 따라 언제든지 변화될 수 있으며, 선택할 수 있는 전술은 매우 다양합니다.
따라서 어떤 공격 기법이 사용되고 있는지 식별하고, 이를 기반으로 유사 위협에 대비할 수 있는 대응 능력을 강화하는 것이 무엇보다 중요합니다.
이에 본 위협 인텔리전스 보고서는 실제 발생한 공격 시나리오를 중심으로 배경과 전술적 특징을 심층적으로 분석하고, 상황에 적합한 대응책을 모색하는 데 필요한 근거를 제시하고자 합니다.
초기 침투는 스피어피싱을 통해 전달된 HWP 문서를 매개로 이루어지며, 문서에 내장된 악성 OLE 개체가 실행되면서 최종적으로 사용자 환경에 대한 초기 접근 권한을 확보합니다.
유입된 위협 요소는 스테가노그래피와 DLL 사이드 로딩 등 복합 기법을 활용해 실행 흐름을 은폐했습니다. 사이드 로딩 단계에서는 Microsoft Sysinternals의 시스템 유틸리티가 악용되었습니다. 공격자는 실행 파일과 동일한 경로에 조작된 악성 DLL을 배치해 프로그램이 이를 정상 DLL로 오인해 로드하도록 유도했습니다.
위협 행위자는 지난 7월부터 스테가노그래피 기법을 이용해 RoKRAT 모듈을 은밀하게 적재해 왔습니다. 특히 8월에는 이전까지 보고된 적 없는 인물 사진을 공격에 활용한 것으로 확인됩니다. 참고로 비교 과정에서 흑백화면으로 임의 변환한 사진 2장은 7월에 발견된 샘플입니다.
[그림 3-1] 스테가노그래피 공격에 활용된 사진 화면
본 보고서는 8월에 신규 포착된 스테가노그래피 기반 공격 기법을 기점으로, 11월까지 연속적으로 전개된 APT 공격 캠페인을 종합적으로 분석한 결과를 담고 있습니다. 약 4개월 동안 지속된 스피어 피싱 활동 조사를 통해, 공격자들이 활용한 악성 HWP 문서가 어떤 방식으로 변형·고도화되었는지 단계별 진화 양상을 확인할 수 있습니다.
[그림 3-2] 토론참석 요청으로 위장된 스피어 피싱 화면
지난 8월 말, 공격자는 국회 국제회의 토론자 초청 요청서로 가장한 이메일을 발송하며 사회적 신뢰도가 높은 특정 대학 교수의 신원을 사칭한 것으로 확인되었습니다. 해당 이메일에는 '북한의민간인납치문제해결을위한국제협력방안(국제세미나).hwpx' 파일이 첨부되어 있었으며, 수신자의 관심 분야를 고려한 표적형 기만 전술이 사용되었습니다.
이와 유사하게, 국내 주요 방송사 프로그램의 작가를 사칭해 북한 체제 및 인권과 관련된 인터뷰를 요청하고, 여러 차례 신뢰 형성 대화를 진행한 뒤 악성 HWP 문서를 전달한 사례도 확인되었습니다. 조사 결과, 서로 다른 방송 프로그램에 소속된 두 명의 작가 이름을 각각 도용한 것으로 파악되었으며, 이를 통해 피해자에게 사회공학적 신뢰를 유도한 것으로 분석됩니다.
[그림 3-3] 인터뷰 요청으로 위장된 스피어 피싱 화면
대학 교수나 방송사 작가를 사칭한 사례 외에도, 특정 논평이나 행사 관련 문서를 위조한 사칭 공격 역시 다수 확인되었습니다. 이와 같이 HWP 문서를 활용한 공격은 문서 내부에 삽입된 OLE 개체를 하이퍼링크로 위장해 사용자가 직접 실행하도록 유도하는 전술을 사용합니다.
[그림 3-4] OLE 하이퍼링크와 연결 대상 파일
이러한 사례들은 공신력 있는 기관 또는 전문가의 명의를 도용해 접촉 신뢰도를 높이는 사회공학 기반의 위협 행위로 평가됩니다.
방송사 작가를 사칭한 사례의 경우, 초기 접촉 단계에서는 악성링크나 첨부파일을 사용하지 않고 자연스러운 대화를 통해 신뢰를 형성합니다. 이후 회신을 통해 반응을 보인 대상에게만 추가적으로 인터뷰 요청서로 위장한 악성파일을 전달하는 방식으로 공격을 전개하는 것이 확인되었습니다.
참고로, 동일한 방송사 작가 명의를 활용한 공격 시나리오는 이미 2023년 6월 초부터 활동이 포착된 바 있습니다. 당시에는 '북한이탈주민 초빙강의.zip' 이름의 악성 압축파일이 유포되었으며, 이를 통해 설치된 악성코드에서는 아래와 같은 PDB(Program Database) 정보가 식별된 바 있습니다.
| D:\Sources\MainWork\Group2017\Sample\Release\DogCall.pdb |
[표 3-1] 악성코드 내부에 포함된 PDB 문자열
해당 PDB 아티팩트 문자열은 2023년 5월 23일자 공개된 「북한인권단체를 사칭한 APT37 공격 사례」 보고서를 통해 소개된 바 있습니다. 최근에는 PDB 문자열이 거의 확인되지 않고 있으나, 과거 유사 계열의 악성코드에서는 다양한 형태의 PDB 경로가 반복적으로 식별된 사례가 있습니다.
| D:\HighSchool\version 13\First-Dragon(VS2015)\Sample\Release\DogCall.pdb |
| d:\HighSchool\version 13\2ndBD\T+M\T+M\Result\DocPrint.pdb |
| D:\HighSchool\version 13\VC2008(Version15)\T+M\T+M\TMProject\Release\ErasePartition.pdb |
| E:\Happy\Work\Source\version 12\First-Dragon\Sample\Release\DogCall.pdb |
| e:\Happy\Work\Source\version 12\T+M\Result\DocPrint.pdb |
[표 3-2] 유사 계열의 악성코드에서 발견된 PDB 문자열
이처럼 기존에 사용되던 공격 전술이 일부 변형되거나 동일한 형태로 재활용되는 사례가 있습니다. 따라서 과거 유사 전술·기법(TTP)에 대한 체계적인 파악을 통해 위협 환경에 대한 인사이트를 확보하는 것은, 이미 알려진 위협에 대한 대응 효율성을 높이는 데 중요한 역할을 합니다.
실제 공격에 활용된 여러 HWP 악성문서 중 대표 샘플 4종의 Root Entry 구성을 비교한 결과, 공통적으로 BinData 스토리지 내에 OLE 개체가 포함된 스트림이 존재하는 것으로 확인되었습니다. 이러한 OLE 임베딩 방식은 악성 페이로드 로딩을 위한 전형적인 패턴입니다.
[그림 4-1] HWP 악성파일 내부 구조 비교 모습
내부 OLE 개체는 공통적으로 임시 디렉터리(%TEMP%)에 'version.dll' 명칭의 악성모듈 생성 기능을 포함합니다.
더불어 'Volumeid1.exe', 'vhelp.exe', 'mhelp.exe' 등 서로 다른 파일명으로 위장된 실행파일들도 조건에 따라 함께 생성됩니다. 이들은 모두 Sysinternals VolumeId 정식 유틸리티 입니다.
해당 실행파일들은 동일 디렉터리에 위치한 'version.dll' 이름의 악성파일을 자동으로 적재하는 DLL 사이드 로딩 기법을 수행함으로써 악성 라이브러리를 은밀히 실행합니다.
이에 따라 EXE 프로세스만을 기반으로 한 악성 유무 패턴 비교 방식으로는 해당 위협을 효과적으로 식별하기 어렵습니다. 따라서 공격 체인 초기 단계에서 활용되는 'version.dll' 파일의 유입 시점을 모니터링하고 이상 행위를 실시간으로 탐지할 수 있는 EDR 기반 능동적인 대응이 요구됩니다.
이를 통해 초기 침투를 조기에 식별하고, 후속 페이로드 실행을 사전에 차단하는 대응 전략을 구축할 수 있습니다.
당시 사용된 HWP 악성문서 일부에서는 작성자(Author) 필드에 'Hazard', 마지막 저장자(Last Saved By) 필드에 'Artemis'가 공통적으로 기록되어 있습니다.
[그림 4-2] 악성 HWP 문서 정보 화면
이러한 근거를 종합할 때, 해당 악성 HWP 문서를 제작한 위협 행위자의 사용자 계정명은 'Artemis'로 추정되며, 이는 본 보고서 제목에서 작전명을 '아르테미스'로 지정한 배경이기도 합니다.
앞서 설명한 것처럼, HWP 문서에서 최초로 호출되는 실행 파일이 정상 유틸리티이기 때문에 초기 단계에서 위협 요소를 식별하기가 쉽지 않습니다.
위협 행위자는 이러한 탐지 지연 구간을 악용하여 DLL 사이드 로딩 기법을 수행하고, 이를 통해 악성 DLL 모듈을 은밀하게 로드하는 방식으로 공격을 전개합니다.
DLL 사이드 로딩에 사용되는 'version.dll' 파일은 2025년 10월부터 11월까지 지속적으로 활용된 것이 확인됩니다.
또한 다수의 샘플에서 동일한 PDB 문자열이 반복적으로 식별되므로, 이를 동일 위협 행위자가 수행한 일관된 위협 캠페인으로 분류할 수 있습니다.
| D:\Develop\HwpOLE\HwpOLE\x64\Release\version.pdb |
[표 4-1] DLL 내부에 포함된 PDB 문자열
[그림 4-3] DLL 로직 분석 화면
'version.dll' 파일은 내부 페이로드를 단일 XOR 키(0xFA) 반복 패턴으로 암호화한 상태로 숨겨 두고 있습니다.
이후 환경에 따라 일반적인 바이트 단위 XOR 방식 또는 한 번에 16바이트(128비트)씩 처리하는 고속 XOR 방식(SSE: Streaming SIMD Extensions) 중 하나를 선택해 페이로드를 복호화합니다.
이런 방식은 시그니처 기반 탐지를 회피하면서도 복호화 속도를 높이기 위한 은폐·우회용 패킹 기법으로 사용된 것입니다. 복호화된 페이로드는 64비트 DLL 형태로 메모리에 로드되며, 자체적인 PDB 문자열도 포함하고 있습니다.
| D:\Develop\HwpOLE\HwpOLE\x64\Release\common.pdb |
[표 4-2] 복호화된 페이로드 내부에 포함된 PDB 문자열
해당 모듈은 암호화된 블록을 메모리 상에서 16바이트 연속 키(0xF9)로 XOR 복호화한 뒤 제어를 전달하는 구조로, 전형적인 shellcode 로더 패턴의 특징을 명확히 보여줍니다.
[그림 4-4] shellcode 복호화 로직
암호화된 데이터 블록이 모두 정상적으로 복호화되면, x64 환경에서 실행되는 완벽한 shellcode가 활성화 됩니다.
본 shellcode는 단일 키(0x29)를 이용한 XOR 복호화 과정을 거치게 됩니다. 활성화된 shellcode는 최종 페이로드의 기능을 수행하는 핵심 모듈로서, 공격 체인의 마지막 단계에서 실제 악성 동작을 구현하는 역할을 담당합니다.
[그림 4-5] 최종 페이로드 복호화 로직
이와 같은 다단계 복호화 절차를 통해 최종적으로 활성화되는 페이로드는, 전형적인 RoKRAT 계열의 악성도구 입니다.
지니언스 시큐리티 센터(Genians Security Center)는 사이버 위협 인텔리전스(CTI) 분석 보고서를 통해 APT37 그룹이 수행한 주요 사이버 작전에 대해 이미 다수의 사례를 공개한 바 있습니다.
이러한 과거 활동과의 교차 비교는 해당 위협 그룹이 일관되게 구사하는 전술·기술·절차(TTP)의 특성을 도출하는 데 유효하며, 공격 배후의 운영 패턴과 전략적 의도 간의 상관관계를 정교하게 파악할 수 있도록 합니다.
아울러 APT37의 활동은 다양한 위협 인텔리전스 보고서를 통해 반복적으로 식별되고 있으나, 언론 기사나 일부 자료를 통해 외부에 공개되는 사례는 실제 활동 규모의 일부분에 불과한 것으로 판단됩니다.
이러한 정보 비대칭성은 기관이나 기업의 보안담당 조직들이 APT37의 위협 수준을 과소평가하도록 만들 수 있으며, 이는 심각한 보안 불감증으로 이어질 위험이 있습니다. 공개된 내용만으로 위험도를 판단할 경우, 공격 그룹의 실제 작전 범위·지속성·침투 능력을 정확히 파악하기 어렵습니다.
특히 APT37과 같이 전략적 목적을 기반으로 장기적·조직적으로 활동하는 위협 행위자는 탐지되지 않은 침해 시도, 끈질긴 APT 공격, 초기 정찰 활동 등 은밀하게 수행된 작전이 상당수 존재할 가능성이 높습니다.
따라서 현재 파악된 정보만으로 위협 수준을 낮게 해석하는 것은 보안운영 조직의 대응 우선순위 설정과 방어 전략 수립을 왜곡할 수 있습니다.
그 결과, 공격 표면 관리 소홀·취약한 모니터링 체계·불충분한 위협 헌팅(Threat Hunting) 등으로 이어질 수 있으며, 이는 고도화된 위협 그룹에게 장기적 침투 및 정보 탈취 기회를 제공할 수 있습니다.
이러한 점에서 APT 공격을 수행하는 주요 국가배후 위협조직 활동에 대한 지속적 모니터링과 위협 인식 제고는 필수적이며, '보안 불감증'을 경계하는 조직적 태도가 무엇보다 중요합니다.
본 공격 사례에서는 HWP OLE 구조를 악용한 감염 벡터에 DLL 사이드 로딩 기법과 다중 단계의 페이로드 암호화·은닉 기법이 결합된 정교한 공격 양상이 확인되었습니다.
이러한 복합적 전술 조합은 단순한 탐지 우회를 넘어, 분석 난이도를 전략적으로 높이기 위한 의도적 설계로 평가됩니다.
특히 해당 공격 체계가 RoKRAT 실행 경로를 정교하게 감추는 방향으로 구성되어 있다는 점은, 위협 행위자가 장기간에 걸쳐 도구의 은폐성과 지속성을 강화하기 위한 연구개발 활동을 지속하고 있음을 시사합니다.
분석 결과, 해당 행위자는 정상 프로세스를 악용해 악성 DLL을 로딩하도록 유도하는 방식으로 행위 기반 탐지를 회피하는 동시에, 페이로드를 여러 계층으로 암호화해 정적 분석의 진입점을 최소화하고 있습니다.
이는 단순한 테크닉 나열이 아니라 공격 생명주기 전반을 고려한 체계적 설계로, 기존 탐지 체계를 우회하려는 명확한 의도와 기술적 성숙도를 보여줍니다.
또한 이러한 기법의 고도화는 RoKRAT 자체의 기능적 개선과는 별개로, 배포·은폐·지속성 확보를 위한 생태계적 발전이 병행되고 있음을 의미합니다.
APT37 소속의 위협 행위자가 특정 캠페인 단위가 아니라 장기적인 전략 목표를 기반으로 지속적으로 역량을 축적하고 있다는 점을 뒷받침합니다.
결과적으로 본 공격 사례는 국가배후 해킹조직의 위협 행위자가 탐지 회피를 위해 지속적으로 전술을 진화시키고 있다는 강력한 지표로 평가되며, 향후 변종 및 후속 공격에서 유사한 다계층 은폐 전략이 확대 적용될 가능성도 높습니다.
본 아르테미스(Artemis) 작전에서 식별된 명령제어(C2) 인프라는 러시아 기반의 Yandex Cloud가 핵심 노드로 활용된 것으로 분석됩니다.
이는 APT37이 오랜 기간 보여온 전술적 패턴과 일치하는데, 해당 그룹은 Dropbox, OneDrive, pCloud, Yandex Cloud 등 합법적인 상용 클라우드 서비스를 적극적으로 악용하여 C2 트래픽을 정상 통신으로 위장하는 전략을 지속적으로 발전시키고 있습니다.
이러한 서비스들은 글로벌 CDN 기반의 안정적인 가용성과 암호화된 통신 채널을 제공하기 때문에, 위협 행위자가 탐지 회피·익명성 확보·지리적 추적 방해를 위한 인프라로 활용하기에 매우 적합합니다.
특히 APT37은 클라우드 스토리지를 단순 업로드·다운로드 용도가 아닌, 명령 전달·결과 수집·암호화된 페이로드 호스팅·시간차 기반 은닉 운영 등 다목적 C2 채널로 전환해 사용하는 정교한 운용 방식을 보여줍니다.
이러한 합법 서비스 악용은 기존의 IP 기반 차단이나 단순 트래픽 필터링으로는 대응 효과가 제한적이며, 정상 사용자 트래픽과의 구분을 어렵게 만드는 대표적인 위협 행위입니다.
실제 공격에 사용된 RoKRAT 내부 분석 결과, Yandex Cloud 인프라 계정 토큰 두 개가 식별되었습니다. 이 중 하나는 2023년 10월, 다른 하나는 2025년 2월에 각각 생성된 것으로 확인되었으며, 이는 공격자가 장기간에 걸쳐 계정 토큰을 갱신·관리하며 C2 접근성을 유지하고 있음을 의미합니다.
[그림 5-1] RoKRAT 위협 행위자의 Yandex 등록 정보
이러한 합법적 클라우드 기반 위협 인프라는 개별 국가·기업의 대응만으로는 완전한 차단이 어렵습니다.
따라서 클라우드 서비스 제공자, 국제 사이버 위협 대응 기구, 외교 채널 간의 긴밀한 협력을 통해 악성 토큰의 무력화와 악용 계정의 신속한 식별 및 폐기가 가능하도록 체계를 마련하는 것이 필수적입니다.
아울러 이러한 협력 체계는 단순한 차단을 넘어, 국제 공조를 통한 관련 수사 절차의 가속화, 공격자 행위 추적, 그리고 재발 방지 조치까지 포괄할 수 있어야 하며, 이를 통해 글로벌 차원에서 클라우드 기반 위협 인프라를 효과적으로 억제할 수 있습니다.
Yandex 클라우드 로그인 계정으로 사용된 tanessha.samuel은 '작전명 토이박스 스토리'에서 식별된 pCloud 가입 계정(tanessha.samuel@gmail.com)과 동일한 사용자 ID를 공유하고 있습니다.
단순한 우연이 아니라, 두 클라우드 서비스(Yandex, pCloud)에 대한 계정 등록 시점이 모두 2023년 10월 19일로 정확히 일치한다는 사실이 확인되었습니다.
[그림 5-2] RoKRAT 위협 행위자의 pCloud 등록 정보
이러한 동시 가입 정황은 공격자가 다중 클라우드 인프라를 동일한 식별자 기반으로 운영하며, 명령제어(C2) 및 페이로드 유포 경로를 통합·관리하고 있음을 강력히 시사합니다.
또한 동일 시점에 러시아 Yandex와 스위스 pCloud를 선택한 것은, 지리적·법적 관할권 분산을 통한 탐지 회피 및 국제적 은폐 전략의 일환으로 해석될 수 있으며, 공격자 귀속 및 위협 추적에서 핵심 단서를 제공합니다.
APT37의 DLL 사이드 로딩과 클라우드 기반 은닉 전략에 효과적으로 대응하기 위해서는 EDR 기반 엔드포인트·행위 기반 탐지를 연동한 다층적 방어 체계가 필수적입니다. 아래는 권고되는 핵심 조치입니다.
Genian EDR은 APT37 그룹이 활용하는 DLL 사이드로딩 기법을 정교하게 설계된 XBA 기반 탐지 규칙을 통해 효과적으로 식별하며, 해당 기법에 대한 탐지 공백 없이 대응할 수 있습니다.
이와 같은 분석 기반 탐지 체계는 단순한 해시 매칭 수준을 넘어, 행위 중심의 고급 페이로드 식별 능력을 제공하여 DLL 사이드 로딩을 포함한 다양한 변종 공격에 대해 안정적인 대응 역량을 갖추도록 설계되어 있습니다
[그림 6-1] Genian EDR 기반 APT37 DLL 사이드 로딩 위협 탐지 화면
Genian EDR의 공격 스토리라인 기능은 HWP 프로세스에 의해 생성된 Sysinternals 유틸리티를 매개로 악성 version.dll이 로드되는 DLL 사이드로딩 체인 전체를 고가시성으로 제공합니다.
이를 통해 보안 관리자는 공격 흐름을 단계별로 명확하게 추적할 수 있으며, 이상 징후 분석 및 대응 조치를 지연 없이 신속하게 수행할 수 있습니다.
[그림 6-2] 공격 스토리 라인 화면
또한, 악성파일이 감염 단계에서 수행하는 네트워크 행동을 정밀하게 모니터링하며, 특히 러시아의 Yandex Cloud API로 향하는 비정상 외부 통신 시도를 즉각적으로 수집·식별합니다.
이러한 외부 접속은 위협 행위자가 명령제어(C2) 서버 또는 데이터 유출(Exfiltration) 경로로 활용할 가능성이 높아, 핵심적인 탐지 포인트로 간주됩니다.
이러한 고가시성 네트워크 분석 기능은 보안 관리자가 악성 통신 여부를 즉시 파악할 수 있도록 지원하며, 위협 차단·격리·포렌식 조사 등 신속한 대응 조치를 지연 없이 수행할 수 있는 근거 자료를 제공합니다.
결과적으로 네트워크 단계에서의 은밀한 침투 및 정보 탈취 시도를 조기에 발견하고 대응할 수 있는 핵심 방어 역량으로 작용합니다.
[그림 6-3] 러시아 얀덱스 클라우드 통신 식별 화면
Genian EDR의 공격 스토리라인 기능은 악성코드의 전체 실행 흐름을 시간 순서와 연관 관계로 시각화하여 제공합니다. 이를 통해 SOC 운영자는 프로세스 트리, 명령행, 파일·레지스트리 변경, 네트워크 이벤트를 한눈에 파악하고 신속히 우선순위 지정, 격리, 차단, 포렌식 수집 등 필요한 대응 절차를 수행할 수 있습니다.
EDR은 엔드포인트에서 발생하는 행위를 실시간으로 수집·분석해 악성 활동의 흐름을 명확히 보여주며, 자동 대응 기능을 통해 공격 확산을 빠르게 차단하도록 지원합니다. 이를 통해 조직은 보안 위협을 더욱 효과적으로 탐지하고 대응할 수 있습니다.
또한 EDR은 포렌식 분석과 위협 인텔리전스와의 연계를 통해 침해 원인 파악, 재발 방지, 내부 정보 유출 차단 등 종합적인 보안 관리 체계를 구축하게 합니다.
고도화되는 공격 환경에서 기존 백신(Anti-Virus)이나 방화벽만으로 탐지되지 않는 위협을 보완하기 위해, EDR 도입은 사실상 필수적인 보안 요소로 자리 잡고 있습니다.
8e4a99315a3ef443928ef25d90f84a09
17171c644307b17d231ad404e25f08b1
31662a24560b3fe1f34f0733e65509ff
a196fb11a423076f66f5e4b2d02813a9
ad3433f5f64abdec7868a52341f14196
c0cac70c93d213d113001e3410c24fd2
d2b2c6646535a62e4c005613d6a036f0
e726b59f96ab8360f323469d72b8b617
ea95109b608841d2f99a25bd2646ff43
f13a4834e3e1613857b84a1203e2e182
f3603f68aadc8bc1ea8939132f0d5252
2f3dff7779795fc01291b0a31d723aca
7e8c24bb3b50d68227ff2b7193d548dd
d287dcaeaf17c9dae8a253994502ee58