Criminal IP의 탄생배경

국내외 사이버 범죄 증가로 인해 침해사고 분석기법과 이를 통한 인텔리전스 기반 인사이트를 제공하는 서비스에 대한 수요는 현저하게 증가했지만, 이를 위해서는 막대한 초기 비용, 정보수집 및 인력의 확보가 불가피하며, Criminal IP는 이러한 보안니즈에 부합하여 사이버위협의 진단에 도움을 줄 수 있는 서비스를 자체 개발하였습니다.

사이버 범죄의 흔적을 추적하고 특정하는데 있어서 가장 중요한 단서로 사용되는 정보는 IP 주소라고 할 수 있습니다. IP 주소가 인터넷상에서 행한 모든 일을 타임라인으로 기록하여 범죄기록부를 만들고, 이에 머신러닝, AI,  그리고 행위기반 이상징후 탐지를 한군데 결집시킨 Data-driven security라는 개념에 착안하였습니다.

 IP주소에 기반한 사이버 위협 인텔리전스 (Cyber Threat Intelligence)란?

이는 근본적으로 비즈니스 의사 결정에 관련된 사이버위협의 리스크를 최소화하여 가장 효과적으로 대응할 수 있도록 도움을 주는 증거기반 보안정보의 수집을 의미합니다. 범죄현장에 남아있는 지문을 통해 범죄자의 신원을 파악하듯, 사이버 범죄에서는 IP 주소가 부정접속, 계정도용, 부정결제, 자금세탁 추적, 크레덴셜 스터핑(credential stuffing) 방지 등 익명 공격을 추정하는데 가장 중요하게 사용되는 단서이기 때문입니다. Criminal IP의 경우 IP 주소를 기반으로 DB 서버, 파일 서버, 미들웨어 서버, 관리자 서버, IoT 시스템, 악성사이트까지 각 기업이나 중요기관이 보유한 IT 자산이 무정형한 네트워크 상에서 얼마나 많이, 그리고 얼마나 심각하게 노출되어 있는지 조회할 수 있습니다. 이를 통해 악성행위자들(threat actors)들보다 한발 앞서서 공격포인트를 찾을 수 있습니다. 또한 이는 고유의 크롤링 기술을 이용한 방대한 OSINT(Open Source Intelligence) 수집과 AI와 머신러닝 기반 부정탐지 알고리즘 적용, 타사 대비 빠른 네트워크 스캐닝 기술이 접합된 종합 솔루션입니다,

Criminal IP는 무엇인가요?  

Criminal IP는 개인이나 기업의 사이버 자산과 관련된 취약점을 실시간으로 탐지하고, 이에 대해 선제적인 대응을 가능하게 하는 종합적인 위협 인텔리전스 검색엔진입니다. 크게는 SEARCH 와 INTELLIGENCE 부분으로 세분화 되며, 자세한 배너 및 악성행위 히스토리 등 보안위협과 관련된 세부 정보를 편리하게 조회 가능합니다. 이를 통해 인터넷에 연결된 모든 컴퓨터, 악성 IP, 피싱 사이트, 악성링크, 인증서, 산업제어 시스템, IoT, 서버, CCTV 등의 모든 정보를 찾아보실 수 있습니다.

기업 혹은 기관의 보안 실무자는 개발자용 API와의 연동을 통해 관리 자산에 침투하는 공격자를 차단하거나, 취약한 공격표면에 노출된 자산을 면밀히 모니터링할 수 있습니다. 마치 구글검색으로 손쉽게 정보를 얻을 수 있는 것처럼, Criminal IP의 검색엔진을 통해 실질적으로 모든 인터넷 자산 및 관련 취약점 정보를 다양한 필터와 태그로 검색하고, 최신 위협 인텔리전스 정보를 조회하여 국가별 및 서비스별 취약점 통계 등, 유의미한 사이버 보안 정보를 모두 한곳에서 빠르게 열람할 수 있습니다.

무엇을 검색할 수 있나요?  

1. Asset Search

키워드로 서비스명을 직접 검색하거나, CVE 번호를 검색하여 연관된 IP 주소를 조회하여 아래 내용을 한 페이지에서 조회하실 수 있습니다.

  • Triage: 인바운드와 아웃바운드 IP 주소의 위험도 스코어링을 직관적인 5단계(SAFE, LOW, MODERATE, DANGEROUS, CRITICAL)로 분류
  • Connection: IP 주소 요약정보를 조회하는 SUMMARY 항목을 통해, IP 주소 소유자 및 국가정보, SSL 인증서 정보, 연결된 도메인 정보들을 하나로 연결
  • Detection: VPN IP, TOR IP, HOSTING IP, CDN, SCANNER IP 여부를 탐지
  • Summary: 현재 열린 상태로 운용되는 포트 정보 및 IP주소와 관련된 과거의 악용 이력 및 취약점까지 통합요약

2. Domain Search

검색한 도메인 정보를 실시간으로 스캔해 위험도 스코어링과 함께 해당 도메인의 피싱 도메인 여부, 악성링크 유무 여부, 인증서의 유효성 등의 정보를 종합적으로 제공합니다.

도메인 위험도 스코어링도 마찬가지로 5단계의 위험도 등급으로 분류되어 제시되며, 도메인 요약정보(summary)를 통해 가짜 도메인, 가짜 SSL 여부 진단, abuse record, phishing record 진단, html의 숨겨진 요소, 프로그램 및 트랩 탐지, 네트워크의 리다이렉션 여부 및 의심되는 쿠키를 탐지하실 수 있습니다.

의심스러운 악성 링크를 클릭하기 전에는 Criminal IP 사용’과 함께 출범한 이 도메인 검색기능은 기존의 데이터베이스에 등록되지 않은 세상에 갓 등장한 악성 링크도 URL 하나로 탐지가 가능한 유일무이한 기능입니다. 이는 도메인이나 URL 이 주어지면 즉시 크롬을 띄워 스캐닝과 AI 분석이 가동되기 때문에, 해커가 아직 세상에 공개하지 않은 그 어떠한 새로운 URL의 악성유무도 바로 진단하여 스팸과 악성링크 차단에 큰 효과가 날 것으로 예상됩니다.

3. Exploit Search

전세계 알려진 취약점(CVE)를 분석하여 서비스 별 실제 탈취 코드를 비롯한 디테일을 제공합니다. 해당 CVE 정보로 검색 시 그 정보에 매칭되는 EXPLOIT 정보들까지 열람이 가능하여 구체적인 공격양상들을 확인할 수 있습니다. 추가로 CVE검색이 아닌 원하는 플랫폼별로 검색하는 경우, 그와 관련된 EXPLOIT 목록을 확인하실 수 있고, 이러한 결과 항목들을 다양한 조건들(authors, types, years)의 필터링을 통해, 찾고자 하는 유형의 EXPLOIT 종합정보 및 최신 발생 동향까지 단번에 파악이 가능합니다.

4. Image search

RDP, phishing, webcam, RTSP등 다양한 조건으로 이미지 검색을 실행 후 사이버 위협에 취약한 자산을 이미지 형태로 조회할 수 있습니다. 이는 우리가 이미 자주 사용하는 구글이나 네이버의 이미지 검색과 유사하지만, 사이버 위협정보가 되는 이미지만을 검색해준다는 것이 가장 큰 차이점이라고 할 수 있습니다.

Criminal IP만의 차별점

1. 데이터의 양과 질

IP 주소 정보와 관련된 자체 위험도 산출정보, C&C 도메인 및 피싱 도메인 여부 진단, 악성링크가 포함된 URL 식별, 공격표면에 노출된 네트워크 장치 정보, 도메인 유사 알고리즘 정보 등 전례 없는 광범위한 데이터양을 자랑합니다.

데이터의 양적인 측면 아니라 질적인 측면에서도, 42억개에 다다르는 IP 주소와 수십억 개의 도메인 등 사이버 자산 정보를 실시간으로 수집 및 업데이트 하여 최상의 데이터 신선도가 보장됩니다.

또한 상용 VPN을 포함한 전세계 모든 VPN IP 주소 데이터와 TOR, PROXY, HOSTING 등 일반적이지 않은 잠재적 악성 IP 주소로 유입되는 정보를 파악하여 다양한 유형의 IP를 수집하고, 그 중에서도 악성 IP를 타고 유입되는 공격을 미연에 방지할 수 있습니다.

2. 연구기관 및 국가기관 등을 위한 정보제공, 취약점 파악으로 운영 리스크 예방

Criminal IP는 전세계 과거 취약점 정보 및 현재 취약한 IP 주소에 대한 대량 DB를 구축하여 보유하고 있으므로 특정 주제에 대한 연구나 리스크 관리에 수월합니다. 예를 들어, “미국 전체에 RDP 취약점을 보유한 IP주소 조회”에 대한 DB 추출 또는 “특정 CVE ID가 확인되는 IP주소 조회”에 대한 DB 추출이 가능하며, 다양한 VPN IP DB 와 같은 오프라인 DB 또한 제공하고 있습니다.

Criminal IP는 어떻게 활용되나요?

1. 사용자식별

비정상적인 사용자를 식별하여 개인정보 유출, 부정결제 및 이체, 웹 크롤링 등 악의적인 행위 차단에 적극 활용하실 수 있습니다. 특히 해외 VPN IP, 클라우드 IP, 가정용 IP가 아닌 서버 IP에서의 접근, PROXY IP에서의 접근 및 로그인, 회원가입 시도를 탐지하여 사용자가 잠재적인 악성 행위를 펼치고 있는 사람인지(threat actor) 판단할 수 있는 객관적인 증거를 제시합니다.

또한 늘어나는 각종 개인정보 유출 사고를 예방하며, 유출된 개인정보를 악용하는 brute-force attack을 예방하는 효과가 있습니다. 이는 온라인 서비스 제품의 로그인 시스템과 연동되어 의심 IP 주소에서 로그인 시 안내 메시지를 발송하며, 개인정보 유출로 인한 사용자의 피해를 최소화합니다.

2. 보안관제

아웃바운드 및 인바운드 대상 IP 주소와 도메인을 분석하여 보안관제 운영에 효율성을 더합니다. 침입탐지시스템(IDS), 엔드포인트제품(EDR), 스펨메일 필터 등 기존에 사용하는 타 보안 제품 및 조직 내 방화벽과 Criminal IP의 연동이 가능합니다. IP 주소의 위험도 등급에 따라 IP 차단정책이 즉시 적용되는 이점이 있어 직접 IP 기반 보안 관제시스템 구축대비 투입되는 시간과 리소스의 사용이 효율적입니다.

특히나 보안 관제에 있어서 고도화된 피싱 공격의 탐지가 가능하며, 직접 접속하지 않고도 악성 도메인 접속을 수월하게 차단할 수 있습니다. 또한 침해사고 발생 이후에도 위험 IP 접근 이력을 분석하여 IP, 도메인, 취약점, 파비콘(favicon) 등 심층위협분석이 가능합니다.

3. 공격표면관리

전세계의 모든 기업에서는 자사에서 보유하고 있는 IP 주소들이 존재하며, 이 IP 주소에 서버나 네트워크 장비, DB 서버들이 연결해 놓기 때문에, 직접적인 외부 공격 포인트가 될 수 있기 때문에 효과적인 기업자산의 공격표면관리(Attack Surface Management)가 무엇보다 중요합니다.

Criminal IP를 이용하여 기업의 보안관리자들은 자신들도 모르는 클라우드에 분포된 숨겨진 자산을 식별, ASName, 서비스 포트 식별, 보유 자산의 최신 취약점 확인, 인증서 정보관리 및 새로운 자산의 변화사항을 추적하여 팔로업할 수 있습니다.

또한 보이지 않는 자산에 대한 총체적인 가시성을 확보하여 기업이 보유하고 있는 IT 자산들을 실시간 모니터링, 별도의 복잡한 프로그램 설치나 장비도입 없이 Criminal IP로 손쉽게 하루만에 공격표면관리 현황 내역을 받아보아, 빈틈없는 IT 자산관리를 하고 싶으나 내부 자산의 파악에 한계를 느끼는 기업들에게 매우 유용한 서비스입니다.