개발자 인터뷰: 로만 란스키이

오늘은 SOC Prime 위협 탐지 마켓플레이스 리더보드에서 보실 수 있는 탐지 콘텐츠 저자 중 한 명을 독자에게 소개하고자 합니다. SOC Prime의 위협 사냥/콘텐츠 개발 엔지니어인 Roman Ranskyi를 만나보세요.

Roman, 본인에 관해 조금 말씀해주시고, 사이버 보안 분야에서의 경험에 대해 이야기해 주세요

저는 2008년에 당시의 유명 포럼들인 hackzona, zloibiz, antichat에서 시간을 보내면서 정보 보안에 관심을 갖기 시작했습니다. 일부 포럼 스레드를 관리하기도 했었죠. 대학에서 공부하면서 저는 시스템 관리자(sysadmin)로 일했으며, Cisco CCNA 실험실 수업과 실무 정보 보안 기초 강좌를 가르치기도 했습니다.

이후, 통합 기업에서 일하게 되었고, 보안 솔루션의 엔지니어 및 프리세일즈로 일했으며, 모든 솔루션, AV, DLP, NGFW, 다양한 샌드박스, DDoS 공격 방어 시스템을 다루었습니다. 비즈니스 요구에 의해 Arbor, Fireeye와 같은 여러 인증을 취득했으며, Fireeye의 블로그에서의 놀라운 보고서와 혁신적인 기술로 인해 그에 대한 관심이 더욱 커졌습니다. 또한 몇몇 파트너 및 고객을 위한 비공개 회의에서 무대에 올라 우리의 솔루션뿐만 아니라 공격자들의 기술, 방법 및 벡터, 그레이 마켓에 대해 이야기했습니다. 일부 프레젠테이션은 여전히 제 LinkedIn 프로필에서 확인할 수 있습니다.

취미가 어떻게 위협 사냥으로 발전했나요?

Certified Ethical Hacking 과정을 수료했는데, 실질적인 과제가 부족하여 이론적이고 심지어 지루하다고 느꼈습니다. 저는 항상 방어를 알기 위해서는 부술 줄 알아야 한다는 입장을 고수했습니다. 우리는 고객에게 제시하는 솔루션을 시험하는 우리 연구실에서 밤늦게까지 앉아 있는 습관이 있었고, 실제 공격의 다양한 시나리오를 시험하여 반응을 자세히 연구하고 보안 조치를 무력화하려고 노력했습니다. 그 와중에 Offensive Security(PWK), SANS 코스 등의 과정 자료를 공부했습니다.

시스템 통합 회사 이후에는 정보 보안 엔지니어로 개발과 관련된 회사에서 일했으며, 이후 SOC Prime에 위협 사냥/콘텐츠 개발 엔지니어로 합류했습니다.

당신에게 있어 위협 사냥이란 무엇인가요?

기본적으로 위협 사냥은 디지털 포렌식 및 사고 대응에서 비롯됩니다. 이는 환경 전체에 걸친 인사이트와 분석에 관한 것입니다. 위협 사냥은 사건 조사가 아닌, 알려진 및 미지의 위협을 능동적으로 검색하는 것이므로 위협 사냥꾼은 단지 무언가가 일어나기를 기다릴 수 없습니다.

위협 사냥꾼에게 필요한 기술은 무엇이라고 생각하십니까?

한편으로는 공격자처럼 생각해야 합니다 – 목표를 어떻게 달성할 것인지, 블루 팀의 조치를 어떻게 회피할 것인지, 그리고 레이더 아래로 슬며시 빠져나가는 방법입니다.

다른 한편으로는 분석적인 사고방식이 필요하고, 빅데이터에 대한 지식이 있어야 하며, 비슷한 도구들을 다루는 데 능숙해야 합니다.

결론적으로, 이것은 레드 팀과 블루 팀 기술의 혼합입니다.

Roman, 다양한 위협 행위자의 공격을 예측할 수 있는지와 그들의 도구에 대한 방어를 개선하기 위한 추천이 무엇인지 가능할까요? 예시가 있다면 좋겠네요!

모든 위협을 예측하기란 불가능합니다. 공격의 성공 여부는 주제 영역에 대한 지식에 크게 좌우됩니다. 일반적으로 기업 인프라를 말하자면, 보호가 있는 곳에는 회피도 존재합니다.

대기업에 필수적인 도메인 인프라를 말하자면, 첫 번째로 좋은 구성과 강화 및 확장된 감사가 중요합니다. 저는 Red Forest Design 개념을 좋아합니다, 그리고 모든 것을 제대로 하면 공격자의 거의 모든 단계와 활동을 포착할 수 있습니다.

Roman, Threat-Hunting Sigma와 같은 Sigma 유형에 대해 더 알려주세요. 이 도구의 주요 가치는 무엇이며 조직이 탐지 능력을 향상시키는 데 어떻게 도움이 될 수 있을까요?

Sigma의 주요 가치는 비정상 활동의 특정 패턴을 고수할 수 있다는 것입니다. 이는 향후 깊이 있는 분석을 위한 피벗 포인트로 사용할 수 있으며, 그 결과 의심스러운 활동의 사실 여부를 확인 또는 거부할 수 있습니다.

SOC Prime의 Threat Bounty Program 콘텐츠 및 사이버 보안 커뮤니티 내의 경험 공유가 가능하다고 생각하시나요? 왜 중요한가요?

Threat Bounty는 위협 사냥 경험을 통해 수익을 창출할 수 있는 건강한 경쟁의 완벽한 장소입니다. 이는 알려진 및 새로운 공격에 대한 다양한 새로운 탐지 방법을 탐구하게 만듭니다.

SOC Prime TDM을 시도해볼 준비가 되셨습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 가입하세요 자신만의 콘텐츠를 만들고 TDM 커뮤니티와 공유하세요.