경계를 넘는 위협, 경계를 허무는 방어: K-CTI 2025 컨퍼런스 핵심 인사이트

K-CTI 2025는 급변하는 사이버 보안 환경에서 최신 위협 동향과 대응 전략을 공유하는 한국의 대표적인 사이버 보안 컨퍼런스입니다. 이번 컨퍼런스는 사이버 위협 인텔리전스(CTI), 인공지능(AI), SASE(Secure Access Service Edge), 데이터 보호 등 현대 보안 환경의 핵심 주제를 다루며, 국내외 전문가들의 심도 있는 발표와 네트워킹 기회를 제공합니다.

300x250

K-CTI 2025 프로그램

시간	주제
08:20	등록시작
09:15~9:50	[1] 최근 국내 사이버공격 사례 및 대응방안-KISA 박용규 단장- 다운로드
9:50~10:25	[2] 다크웹 계정 유출 무엇이 중요한가?-레코디드퓨쳐 윤광택 본부장 다운로드
10:25~11:00	[3] Know Your Attacker-NetWitness 박지원 부장- goodmkt@goodmit.co.kr메일로 자료 요청문의
11:00~11:35	[4] What's in my Network-샌즈랩 허수만 위협분석팀 팀장/신승철 MNX팀 팀장- 다운로드
11:35~12:10	[5] 시놀로지의 기업 데이터 보안 및 보호 최적화 방안-Synology 셸리 추 Senior Account Manager 다운로드
12:10~13:00	점심 및 전시부스 관람
13:00~13:35	[6] 네트워크 기반 공격자 TTP 탐지 방안(차세대 NDR 활용 방안)-씨큐비스타 전덕조 대표- 다운로드
13:35~14:10	[7] AI 홍수 시대, 세계 최초의 SASE 혁신 기업 Cato Networks가 제시하는 글로벌 네트워크 보안 인프라 운영 방안-케이토네트웍스 김지민 이사- 다운로드
14:10~14:45	[8] 주요 APT그룹 대상 최신 위협 인텔리전스 사례 분석-엔키화이트햇 사이버위협대응센터 위협연구팀 천호진 수석- 다운로드
14:45~15:20	[9] 사이버 위협에 맞서는 인텔리전스: 실전 적용과 비즈니스 보호-안랩 김승관 부장 다운로드
15:20~15:30	휴식 및 전시부스 관람
15:30~16:05	[10] 친러 성향 사이버 범죄 해킹 그룹의 한국 기업 대상 해킹 활동 사례 분석-NSHC 위협분석연구소 조한국 선임연구원- 다운로드
16:05~16:40	[11] 공격자간 협력 사례 공유-플레인비트 이준형 사이버위협대응센터장- 다운로드
16:40~17:20	[12] 북한 IT 외화벌이 인력들의 위협 및 대응방안-클로인트 루이 구 이사-
17:20~17:25	경품추첨 및 폐회

출처 : 데일리시큐

K-CTI 2025 보안 컨퍼런스 주요 주제 및 발표 내용

1. 진화하는 사이버 위협 환경

위협의 고도화 및 복잡성 증가

• 랜섬웨어 침해사고와 데이터 유출 사례의 증가 및 피해 규모 확대
• 공격자들의 새로운 시스템으로 공격 대상 확장 전략
• 제로데이 공격, APT(지능형 지속 위협), 내부자 위협, 암호화된 트래픽 위협 등 다양한 위협 유형 증가

대규모 네트워크 및 혼합 환경 취약성

• 금융, 의료, 산업제어시스템, IoT 장치 등 다양한 환경이 혼합된 네트워크 증가
• IoT, OT/ICS, SCADA 시장 성장에 따른 취약점 증가와 대응 미흡
• 서버, 데스크톱, IoT 장치 등 혼합 장비로 구성된 환경의 보안 복잡성 증대

공격자 협력 심화

• 국가 배후 공격자들을 중심으로 인프라, 악성코드 제작 도구, 아이디어 공유 등 협력 강화
• 스피어 피싱 주제와 자료 공유 등 전술적 협력 증가
• Lnk 악성코드 제작 도구 사용 등 악성코드 측면의 협력 사례 증가

2. AI와 사이버 보안의 융합

AI의 양면성과 보안 환경 변화

• RSAC 2025 리포트에서 강조된 "AI가 사이버 보안의 '기술'에서 '현실'로" 패러다임 전환
• AI와 머신러닝의 위협 탐지, 대응, 보안 운영 방식의 근본적 변화
• 산업 전반의 실험 단계를 넘어 실제 적용 단계로의 진입

공격자의 AI 활용 전략

• 생성형 AI와 LLM을 활용한 코드별 주석 처리 및 문법 오류 없는 악성코드 개발
• AI를 통한 피싱, 익스플로잇 제작, 악성코드 테스트 속도 가속화
• AI 기반 사이버 공격의 진화 로드맵: 제로데이 취약점 자동 탐지와 맞춤형 공격 자동화 가능성

방어 측면의 AI 활용

• "더 똑똑한 AI 중심 SOC(Security Operations Center)" 패러다임 확산
• AI가 단순 반복 업무를 처리하고 인력은 위협 헌팅과 전략적 사고에 집중하는 구조로 전환
• 생성형 AI를 활용한 XDR Story 및 자연어 기반 이벤트 로그 검색 기능 활용

Shadow AI의 위험성

• 기업 내 통제되지 않는 AI 서비스 사용으로 인한 데이터 유출 위험
• 임직원의 소스코드, 고객 정보, 기업 기밀/지적 자산의 LLM 학습 기반으로 활용될 가능성
• AI 서비스 가시성 확보를 위한 카테고리 분류, 대시보드, 사용 현황 리포트 필요성

3. SASE와 통합 보안 아키텍처

SASE의 진화와 중요성

• 네트워크와 보안 기능을 클라우드 기반으로 통합하는 아키텍처로 부상
• 원격 근무, 클라우드 애플리케이션 사용 증가 등 변화하는 IT 환경에 대응하는 핵심 기술
• Cato Networks의 "세계 최초 SASE 혁신 기업" 사례와 솔루션

통합 보안 기능

• FWaaS, SWG, IPS, DNS, NGAM, ZTNA, CASB, DLP, RBI 등 다양한 보안 기능 통합
• Edge SD-WAN 기능을 단일 플랫폼에서 제공하는 효율성
• 전 세계 80개 이상의 PoP(Point of Presence)를 통한 글로벌 연결성 및 보안 제공

제로 트러스트 구현

• "Security that follows the user" 개념의 ZTNA 구현
• 동적 장치 상태 확인, 원격 액세스, 위협 방어 및 데이터 보호
• 사용자 중심의 보안 정책 적용 및 관리

AI 활용 보안 체계

• Shadow AI 가시성 확보 및 AI 서비스 접근 통제
• 세부 활동 식별, 서비스 차단, Tenant 제어 기능
• 민감 DLP 프로필 정책 수립 및 사용자 웹 활동 모니터링을 통한 데이터 보안 강화

4. 데이터 보호와 백업 전략

현대적 데이터 보안 과제

• 데이터 침해, 랜섬웨어 공격, 안전한 액세스, 복구 시스템 등 다양한 과제 직면
• Synology의 기업 데이터 보안 및 보호 최적화 방안 소개
• 데이터 인프라스트럭처 관리, 데이터 응용 가치 확장, 백업의 중요성 강조

IAM(Identity and Access Management) 전략

• 단일 ID 및 SSO, 패스워드 없는 인증, 생체 인식 등 다층적 사용자 인증 체계
• C2 Identity 에이전트를 통한 중앙 집중식 장치 관리 및 보호
• 기업 퇴사자들의 조직 데이터 접근 문제 해결을 위한 라이프사이클 관리

효율적인 백업 시스템

• 소스 중복 제거, 크로스사이트 원격 백업, 최적화된 성능의 전용 백업 엔진
• 이메일 백업, 데이터 전송 속도 최적화 등 효율성 강화
• 다중 서버 배포 환경에서 단일 인터페이스를 통한 통합 관리 및 가시성 확보

데이터 불변성과 복구 체계

• 안전한 네트워크 아키텍처 및 권한 부여 시스템
• ActiveProtect 리포지토리 잠금 기간, 오프라인 백업(Air-Gap) 등을 통한 데이터 불변성 보장
• MFA 통합, 세분화된 사용자 권한, 백업 검증, 데이터 자동 복구, 복구 훈련 등 종합적 접근

5. 위협 인텔리전스와 선제적 대응

위협 인텔리전스의 진화

• 실시간 위협을 정확히 분석하고 대응하기 위한 필수 요소로서의 위협 인텔리전스
• 공격자 TTP(Tactics, Techniques & Procedure), IOC(Indicators of Compromise), 위협 행위자 프로파일 등 핵심 정보
• 전략적, 운영적, 전술적 인텔리전스로 구분된 3단계 접근법

위협 인텔리전스 플랫폼 구성

• 다양한 채널을 통한 신뢰도 높은 정보 수집 및 자체 센서 활용
• 공격 형태와 공격 그룹에 대한 프로파일링, 다양한 데이터 활용을 위한 정규화
• AhnLab의 자체 센서 기반 위협 큐레이션 사례(중국 세금 납부 프로그램 내 백도어, 게임사 공급망 공격 등)

실전 적용 사례

• API 활용 및 위협 IP 차단 리스트 적용을 통한 위협 판단 및 차단 자동화
• Yara/Snort/Sigma/STIX 정보를 활용한 룰셋 기반 최신 위협 대응
• 공격 그룹 정보 및 연관 IoC 제공을 통한 국가 기반 공격 그룹 위협 식별
• 취약점과 연관된 정보 확인을 통한 기업 내부 자산 취약점 대응

Threat-Informed Defense(TID)

• 실제 위협 행위자의 TTPs를 반영한 방어 체계 구축
• "누가 우리를 공격하려 하는가?", "그들은 어떤 방법을 사용할 것인가?" 등 핵심 질문 중심 접근
• 방어 체계 효과성 검증 및 지속적 개선 프로세스

6. 네트워크 기반 공격자 TTP 탐지 및 차세대 NDR

SOC 가시성 3요소와 위협 헌팅

• NDR, EDR, SIEM의 세 가지 요소를 통한 SOC 가시성 확보
• 공격자 TTP 탐지가 가장 어려운 과제임을 인식한 위협 헌팅의 중요성
• 위협 헌팅 성숙도 모델(HMM)에 따른 체계적 접근

효과적인 위협 헌팅 데이터

• NetFlows, SIEMs/Logs, Metadata, Packet Captures(PCAPs) 등 다양한 데이터 소스
• Metadata가 20% 비용으로 90% 데이터를 확보할 수 있는 효율성 제공
• NSA의 Six-Phase Playbook과 MITRE의 ATT&CK Lifecycle 기반 위협 헌팅 방법론

NDR의 역할과 중요성

• East-West 트래픽과 North-South 트래픽 모두에 대한 종합적 모니터링
• 의심스러운 트래픽 분석, 알려지지 않은 위협 탐지, 사용 편의성, 신속성 강화
• 기존 보안 도구의 한계(정적 분석, 탐지 사각지대, 느린 분석 속도 등) 극복

씨큐비스타의 PacketCYBER 솔루션

• 실시간 위협 탐지 및 헌팅, 자동화된 대응, 네트워크 위협 완화 기능
• DFI(Deep File Inspection) 및 네트워크 위협 행위 탐지 메커니즘
• 조달청 디지털서비스몰 등록 및 국가사이버안보센터 보안기능 확인서 획득으로 검증된 NDR 솔루션

7. RSAC 2025 컨퍼런스의 핵심 시사점

AI의 보안 분야 핵심 인프라화

• AI가 이론이 아닌 사이버 보안의 핵심 인프라로 자리매김
• 위협 탐지와 대응, 보안 운영 방식의 근본적 변화 추세
• 실험 단계를 넘어 실제 적용 단계로의 전환에 따른 "긴박함"과 "낙관" 공존

체험형 보안 교육의 강화

• 전시장 내 Dataverse Defender, Data Explorer 등 체험형 부스 운영
• 게임화 및 스토리텔링 방식으로 보안 개념 전달하는 교육적 접근
• 복잡한 보안 개념의 직관적 이해를 돕는 상호작용 경험 제공

보안 패러다임의 진화

• "상태 기반"에서 "비상태 기반" 보안으로의 전환
• 개별 패킷이나 단일 이벤트 중심에서 전체 시스템 행위 패턴 분석으로 이동
• "차단"보다 "이해"에 중점을 둔 접근법 강조

"인간+기계" 협업 모델

• AI는 만능이 아니며, 보안팀의 역량을 강화하는 보조 도구로 인식
• 인간의 전략적 사고와 기계의 자동화 역량을 결합한 최적의 보안 체계 구축
• 인간과 기계의 협력을 통한 사이버 보안의 미래 완성

8. 국내 사이버 위협 현황 및 사례 분석

KISA의 최근 국내 사이버 공격 동향

• 랜섬웨어, APT, DDoS 등 주요 사이버 공격 유형 분석
• 국내 기업 및 기관을 대상으로 하는 공격자들의 TTPs 분석
• 정부 및 유관 기관의 침해 사고 대응 체계 및 협력 방안

친러 해킹 그룹의 국내 기업 공격 사례

• SectorJ149(aka UAC-0050, DaVinci Group)의 한국 제조업, 에너지, 반도체 산업 대상 공격
• 러시아-우크라이나 전쟁 장기화로 인한 사이버 공간의 국제적 갈등 전장화
• 2024년 11월 발생한 공격의 상세 분석 및 교훈

고도화된 공격 전술 및 기법

• 자재 및 장비 견적 요청으로 위장한 스피어 피싱 이메일 활용
• 난독화된 VBS 악성코드, 악성 PowerShell 명령, 스테가노그래피 기법 활용
• 파일리스 방식, 프로세스 할로잉 기법 등 고도화된 방어 회피 기술 사용

사이버 범죄의 진화

• 금전적 이익 목적에서 국가적 이익 목적으로의 변화 가능성
• "어제의 사이버 갱이 오늘의 국가적 사이버 전력(戰力)으로 변모" 위험성
• 사이버 위협 인텔리전스(CTI) 기반 선제적 방어 전략의 중요성 강조

종합적 시사점 및 향후 방향

1. 통합적 보안 아키텍처의 필요성

• SASE와 같은 통합 솔루션을 통한 보안 기능의 클라우드 기반 통합
• Shadow IT, Shadow AI와 같은 통제되지 않는 환경에 대한 가시성 확보
• 분산된 보안 솔루션들의 통합 관리를 통한 복잡성 감소

2. 위협 인텔리전스 기반 선제적 방어

• 공격자 TTPs, IOC, 위협 행위자 프로파일 분석을 통한 사전 대응
• 국가 배후 공격자들의 협력 사례 분석 및 대응 전략 수립
• 10월 우크라이나 대상 해킹 활동 정보가 11월 한국 대상 공격 방어에 활용될 수 있었던 사례

3. 차세대 보안 기술 도입 가속화

• 기존 보안 솔루션의 한계(정적 분석, 탐지 사각지대 등)를 극복하는 새로운 기술
• AI와 머신러닝을 활용한 지능형 위협 탐지 및 대응 체계
• "상태 기반"에서 "비상태 기반" 보안으로의 전환을 지원하는 기술 도입

4. 데이터 보호 및 복구 체계 강화

• 랜섬웨어 등의 공격에 대비한 IAM 기반의 안전한 액세스 관리
• 백업 데이터의 불변성 확보 및 오프라인 백업(Air-Gap) 전략 구현
• 정기적인 복구 훈련을 통한 사이버 복원력(Cyber Resilience) 강화

5. 인간과 AI의 최적 협력 모델 구축

• AI가 단순 반복 업무를 처리하고 인력은 전략적 사고에 집중하는 균형적 접근
• AI의 한계를 인식하고 인간 전문가의 판단과 경험을 결합한 의사결정
• 지속적인 보안 인력의 AI 리터러시 및 전문성 강화 교육

6. 정보 공유와 협력 생태계 구축

• 공격자들의 협력에 대응하기 위한 보안 커뮤니티 간 정보 공유
• K-CTI와 같은 컨퍼런스를 통한 국내외 보안 전문가 네트워킹 강화
• 국제적인 위협 인텔리전스 공유 시스템 구축 및 활용

 

K-CTI 2025 컨퍼런스는 급변하는 사이버 보안 환경에서 최신 위협과 대응 전략을 공유하는 중요한 장으로서, 기술적 솔루션 도입뿐 아니라 조직 문화 변화, 인력 역량 강화, 정보 공유 등 종합적인 접근의 중요성을 강조합니다. 참가자들은 이번 컨퍼런스를 통해 현대 사이버 보안의 복잡한 과제들을 해결하기 위한 다양한 접근법을 배우고, 한국의 사이버 보안 역량 강화에 기여할 수 있을 것입니다.