카스퍼스키가 AI 기반 DLL 하이재킹 탐지 기능을 새롭게 탑재한 보안 정보 및 이벤트 관리(SIEM) 솔루션 ‘카스퍼스키 SIEM’을 발표했다. 이번 업그레이드는 DLL 하이재킹 대응과 행위 기반 분석 강화, 디지털 풋프린트 인텔리전스(DFI)·관리형 탐지 및 대응(MDR)과의 통합, 보고 및 시각화 기능 개선, 고가용성과 확장성 제공을 통해 사이버 위협 탐지·대응 역량을 대폭 강화한 것이 특징이다.

 

DLL 하이재킹은 프로그램 실행 시 필요한 동적 연결 라이브러리(DLL) 파일을 공격자가 위조하거나 교체해 정상 프로그램이 이를 잘못 불러오도록 유도하는 기법이다. 카스퍼스키 SIEM은 AI 서브시스템으로 로드되는 라이브러리를 실시간 분석해 의심 징후를 탐지하고 자동으로 이벤트를 주석 처리해 보안팀이 신속히 사고 대응을 시작할 수 있도록 지원한다. 단순히 규칙을 수집기에 연결하는 방식만으로도 이 기능을 활용할 수 있어 운영 효율성도 높였다.

 

새 버전은 카스퍼스키 DFI와 MDR과의 긴밀한 통합을 지원한다. 이를 통해 계정·비밀번호 유출 등 디지털 풋프린트 데이터가 신속히 탐지되며 자동 경고가 생성돼 즉각적인 대응이 가능하다. MDR 콘솔에서 발생한 인시던트는 SIEM 시스템으로 자동 연계돼 위협 관리와 분석을 보다 신속하고 체계적으로 수행할 수 있다.

 

 

행위 기반 분석 기능도 한층 강화됐다. 전용 UEBA(사용자 및 엔터티 행동 분석) 규칙 세트를 추가해 윈도우 기반 워크스테이션과 서버의 인증 절차, 네트워크 활동, 프로세스 실행에서 나타나는 이상 징후를 정밀하게 포착할 수 있다. 이를 통해 APT, 표적 공격, 내부자 위협을 조기에 식별할 수 있다.

 

보고와 시각화 기능은 대시보드와 템플릿을 환경 간 공유할 수 있도록 개선됐으며, 새로운 데이터 시각화 위젯이 추가돼 인사이트의 명확성과 활용성을 높였다. 사전 구성된 쿼리와 드릴다운 기능을 통해 보안 담당자는 더 정교한 분석을 수행할 수 있다. 또한 분산형 Raft 기반 아키텍처를 도입해 과부하 상황에서도 지속적 운영이 가능하고, 수평 확장으로 대규모 환경에도 안정적으로 대응할 수 있도록 설계됐다.

 

카스퍼스키 일리야 마르켈로프 통합 플랫폼 총괄은 “카스퍼스키는 복잡한 위협에 대응하기 위해 SIEM 플랫폼의 탐지 기능을 지속적으로 고도화하고 있다”며 “AI 기반 자동화와 대규모 데이터 분석을 통해 보안팀이 복잡한 사고 대응에 집중할 수 있도록 지원한다”고 밝혔다.

 

카스퍼스키코리아 이효은 지사장은 “한국은 APT 그룹의 표적 공격과 공급망 취약성 등 다양한 위협에 직면해 있다”며 “이번 업그레이드된 카스퍼스키 SIEM은 DLL 하이재킹 탐지와 DFI·MDR 통합을 통해 비정상 행위를 정밀하게 식별하고, 한국 기업들이 자동화된 보안 역량으로 더욱 견고한 방어 체계를 구축할 수 있도록 돕겠다”고 말했다.

 

헬로티 구서경 기자 |