Security Note

이번으로 2회차를 맞이하는 랜섬웨어 레질리언스 컨퍼런스에 다녀왔다.
과학기술정보통신부에서 주최하고 한국인터넷진흥원에서 주관하는 컨퍼런스였으며, 9월 12일 화요일 낮에 진행되었다.

보통 평일 낮시간은 교육이나 다른 활동을 하느라 바쁘기 마련인데, 갑자기 왜 다녀오겠다는 생각을 했을까?

이유는 생각보다 간단했다.

평소 랜섬웨어에 대한 사전 대응책으로는 데이터 백업을, 사후 대응책으로는 랜선 뽑기만을 알고 있었다. 그런데 이것으로 컨퍼런스를 개최한다는 부분에서 내가 모르는 다른 기막힌 대응책이 있는 것일지에 대한 궁금증이 생겼다.

이에 더해 프로그램 목록에서 발견한 랜섬웨어 무력화 부분과 데이터 복구 전략 파트가 호기심을 자극하였고, 결국 사전등록 첫날 바로 등록 신청을 하게 되었다.

후기라면..

호기심으로 참석한 컨퍼런스였기에 사전에 랜섬웨어에 대한 많은 정보를 가지고 있었던 상태가 아니었다.

그러나 이번 컨퍼런스를 통해 랜섬웨어의 동작 방식과 암호화 과정 같은 기본적인 내용부터,
랜섬웨어 공격에 의해 암호화된 파일을 랜섬 지불 없이 자체적으로 복구하기 위한 여러 흥미로운 관점들,
그리고 랜섬웨어에 대응하기 위한 정책까지 한 번에 알아갈 수 있었던 유익한 시간이었다.

또한 컨퍼런스에 참석하기 전에 가졌던 호기심과 같이, 결과적으로는 백업을 이중, 삼중으로 해두고 망분리까지 시키는 등... 이미 알고 있는 기본적인 방법부터 충실히 하는 것이 현재로서는 랜섬웨어로부터 자산을 보호할 수 있는 방법이라는 생각을 하게 되었다. 랜섬웨어에 감염되었을 때 이를 자체적으로 복구하기 위한 기술들은 연구가 활발히 이루어지고 있으나 아직 연구 초기 단계이고 한계를 가지는 부분들도 존재한다. 또한 공격자들은 항상 방어자들의 한발 앞에서 새로운 공격 기법, 암호화 기법 등을 시도하기 때문에 좋은 도구를 만들더라도 이것이 안정화되기까지는 사전 방어에 계속 힘쓰는 것이 중요할 것이라 느꼈다.

이번 컨퍼런스를 통해 랜섬웨어에 대한 관심도가 높아져, 향후에 리버싱 공부를 더 하고... 악성코드 분석을 학습하게 된다면 랜섬웨어도 분석해보고 싶다는 생각을 하게 되었다 :)

+ 덧붙이자면.. 랜섬웨어 공격자들의 행태를 보다 보니 단순히 랜섬웨어 공격만 하고 끝나는 게 아니라, 랜섬웨어 공격 이후 시스템에 백도어를 심어 피해자가 공격에 어떻게 대응하는지 지켜보는 경우도 있었다. 피해자가 만일 돈을 지불하려 하지 않고 복구를 하려고 하는 등의 조짐이 보이면 2차 공격을 하기도 한다는데... 이러한 경우도 있기 때문에 보다 더 은밀하고 안전한 방법으로 랜섬웨어에 대응하기 위한 방안이 필요해 보였다. 이렇게 생각하니 레질리언스에 관한 컨퍼런스를 열어 함께 논의하는 장을 만들만한 것 같다는 생각이 들었다!

이후 내용은 각 강연 마다 들으면서 메모해 둔 내용들이니, 진행된 내용이 궁금하다면 참고해도 좋을 것 같다. 현장에서는 발표자료를 책자형태로 제작하여 배부해 주었는데 이를 별도로 웹 상에도 게시해 줄지는 잘 모르겠다..

[세션A] 랜섬웨어 공격에 대한 국내외 대응 동향

랜섬웨어 공격 동향

• RaaS형 랜섬웨어 생태계
• 크로스 플랫폼 랜섬웨어 다수 발견
• 주로 GoLang, Rust 언어로 개발
• 사회 기반 시설, 일상 생활과 밀접한 서비스(콜택시)를 대상으로 공격 타겟 변화

랜섬웨어 대응 정책

• 국외
  • 악의적으로 사용되는 가상회폐 거래소에 대한 제재
  • 랜섬웨어 공격 그룹 자체 무력화
  • 랜섬웨어 관련 범죄자 검거 및 제재

• 국내
  • 국가중요시설-기업-국민 수요자별 선제적 예방
    : 백업 지원, 대응 역량 체크 서비스 지원 등
  • 정보공유-피해지원-수사 등 사고 대응 지원
  • 진화하는 랜섬웨어에 대한 대응 역량 제고
    : 랜섬웨어 공격 형태 분석, 대응 기술력 확보

랜섬웨어 복구 방안

랜섬웨어의 주된 특징이 암호 기술을 이용한다는 것에서 착안하여, 암호 기술의 암호학적 취약점에 기반한 분석 진행

• Magniber, LooCipher, Immuni, Hive v1~v4에 대한 랜섬웨어 복구 분석 사례 소개
• 이 중 Hive v1 ~ v4의 경우 KISA에서 최초로 복구 도구 개발
• KISA에서 랜섬웨어 국제 협력 프로젝트인 노모어랜섬(NoMoreRansom, NMR)에 약 160여종의 랜섬웨어 복구 도구 배포 중
• KISA에서 복구 도구 개발 여부에 대한 검색 서비스 지원 예정

앞으로의 방향

• 매년 400개 이상의 신/변종 랜섬웨어가 발견되고 있어 분석량이 한계치에 도달함
  -> 기존 랜섬웨어와의 유사도 분석을 통해 복구, 분석 자동화 도구 개발
• 사용자 중심의 피해 복구 지원
• 랜섬웨어 복구 협력 체계 구축 (레질리언스 확보)

[세션A] 산업계 랜섬웨어 침해동향과 레질리언스 전략

디지털 환경의 경영 리스크 분석

• 랜섬웨어 공격 시 문서 유실 문제 뿐만 아니라 문서 유출 문제도 함께 발생
• 중요 문서가 유출될 경우 이로 인한 리스크가 심각함
• 향후의 모든 악성코드가 랜섬웨어 형태로 변화할 것이라 전망

해킹형 랜섬웨어 공격대상 분석

• 주공격 대상: 코스피 & 코스닥 상장사
• 업종별 해킹형 랜섬웨어 공격 대상(2년간): 제조업, 병원, 제약사, 특허, 로펌
• 해커의 최종 목적: 금전 취득, 사이버 테러

2023년 랜섬웨어 공격기법 분석

해킹형 랜섬웨어 공격 프로세스

1. 악성 메일 / 특정 WEB
2. 백도어 감염
3. 내부 공격
4. 데이터 탈취
5. 백업 삭제 (RDP를 경유하고, 보안 SW를 제거하여 서버에 접근)
6. 암호화
7. 데이터 탈취
8. 탈취한 데이터를 다크웹에 게시
9. 탈취된 데이터 구매

해킹형 랜섬웨어 공격기법의 기술적 진화

• RaaS 형태의 플랫폼을 통해 쉽게 랜섬웨어를 구매할 수 있어 일반 해커들도 랜섬웨어 공격을 수행할 수 있다.
• 서비스 플랫폼을 제작하고 운영하기 위해 그룹형태로 조직을 운영한다. (ex. Conti, LockBit)

3단계 랜섬웨어 레질리언스 전략

1단계

1. 보안 백업 체계 구축
2. 랜섬웨어 전용백신 구축
3. 개인사용자 보안수칙 및 주기적 교육

2단계

1. 회사 정보시스템 보안 취약점 점검
2. 해킹 시 회사 피해 범위와 법적 문제 시뮬레이션
   : 정보자산 보유현황 실사
3. 전사 데이터 거버넌스 정책수립 및 시스템 도입
   : 데이터 자산 보유현황 실사

3단계

1. 제로트러스트 보안전략 방어

[세션B] 랜섬웨어 무력화를 통한 신속한 감염파일 복구 기술

랜섬웨어의 파일 감염과 협상 과정

1단계: 파일 암호화

• 대칭키 암호화 기법을 사용하여 파일 암호화

2단계: 파일 키 암호화

• 비대칭키 암호화 기법을 사용하여 파일 암호화에 사용된 키 암호화
• 복호화를 위한 키 획득을 위해 공격자의 개인키 확보 필요

3단계: 협상과 복구

• 랜섬 지불
• 공격자의 개인키 내장된 복호화 툴 확보
• 공격자의 개인키를 이용하여 파일 키 복호화
• 복호화된 파일 키를 이용하여 파일 복구

복제 키를 이용한 감염파일 복구 기술

Key Idea: 랜섬웨어의 파일 암호화 시 사용되는 파일 키를 가로채자

단계

1. 시스템에 Nubeva Key Sensor 설치
   : 시스템에서 발생하는 신뢰할 수 없는 암호화 작업을 실시간으로 탐지
   - NUBEVA SKI (대칭키 복사 기술) 사용
2. 파일 키를 식별하고 가로채기
   : 메모리 상에서 파일 암호화 시 사용되는 키 식별 및 가로챔
3. 랜섬 비용 지불 없이 감염 파일 복구

-> 아직 기술적, 상황적 제약 상황이 있어 특허만 있는 상태라고 한다.

[세션B] 랜섬웨어와 딥/다크웹의 연관성 분석 및 추적

IAB(Initial Access Broker): RaaS 형태의 랜섬웨어 생태계에서 랜섬웨어 구매자 겸 미래의 공격자인 Affiliates가 공격의 첫발을 내딛을 수 있게 해주는 인물

접근 권한 획득 방법

• 다크웹에서 구매
• Stealer campaign
• 취약점 이용(ex. Conti, Groove 유출 사이트)
• Phishing campaign
• 내부자 위협

RaaS(Ransomware-as-a-Service)

정의와 개념

• 랜섬웨어를 개발하고 배포하기 위한 서비스 모델
• 랜섬웨어 개발에 필요한 도구와 인프라 제공
• 웹 플랫폼 형태로 제공되어, 쉽게 랜섬웨어 구매 및 사용 가능

제공 기능

• RaaS 플랫폼
  • 랜섬웨어 개발 및 배포에 필요한 모든 도구와 기능 제공
  • 배포 시 스팸 메일, 악성 링크, exploit kit 등 다양한 공격벡터 사용
  • 결제 처리 및 금전 거래 관리, 해독 키 관리, 복호화 서비스 등의 기능 제공

• 구독자
  • 랜섬웨어의 설정, 암호화 방법, 대상 시스템 및 암호 해독 키 관리 등 설정 가능

[세션B] 블록체인(가상자산)을 통해 바라본 랜섬웨어 생태계와 온체인 분석의 중요성

블록체인 데이터를 통한 랜섬웨어 동향

• Big game hunting 형태로 변화, 랜섬웨어 지불액 증가
• 랜섬웨어 종류의 증가, 수명 감소

블록체인 인텔리전스와 식별

• 가상자산 주소 자체에는 대상을 특정할 수 있는 어떠한 정보도 없다.
• 오로지 일련의 트랜잭션 단계를 이용하여 식별해야 한다.
• 이러한 이유로 온체인과 오프체인 정보를 조합하여 온-오프체인 간의 공통 pivot을 추려내 활용해야 한다.
  (온체인 중간에 위치한 정보로는 공격자 식별이 어렵다. 이를 현금화 하는 과정에서 사용된 계정 정보 등을 이용하여 대상을 특정할 수 있다.)

블록체인과 사이버 킬체인

• 암호화폐 중심의 사이버 범죄가 증가함에 따라 공격자들은 가상 자산을 이용하여 킬체인의 각 단계를 수행한다.
• 온체인에서의 사이버 범죄 TTPs
• 온체인에서 식별 가능한 랜섬웨어 리브랜딩
• Initial Access Broker를 식별 가능하게 하는 트랜잭션 형태

[세션C] 매그니베르 랜섬웨어 분석 사례 및 동향

• 매그니베르 랜섬웨어의 변종 발생 과정 (매그니베르 역사..?)

• 매그니베르 랜섬웨어에서 백신 우회를 위해 사용하는 기술
  • NTFS 파일 시스템 내 데이터 스트림을 추가하는 방식으로 악성 파일 은폐
  • 파일리스 기법: 정상 프로세스 실행 및 기존 실행되고 있는 프로세스에 악성 DLL 삽입
    -> 취약점 자체에 대한 행위 기반 탐지로 효과적인 탐지 가능
  • 지속성 탐지 우회: 악성 행위 랜덤화 (행위 기반 탐지 우회)

[세션C] 손실에서 회복까지: 랜섬웨어 공격 이후 데이터 복구 전략

랜섬웨어 감염 후 데이터 특징

• 전체 암호화 수행
  • 암호화된 파일의 엔트로피 측정 시 원본 파일과 불일치하는 경우가 많아 비교 및 분류 가능
• 간헐적 암호화 수행
  • 암호화된 파일의 엔트로피 측정 시 원본 파일과 엔트로피가 유사
  • 전체 암호화를 진행한 것보다 데이터 암호화 속도가 빠름
  • 최근 랜섬웨어에서 자주 사용되는 암호화 방법 (ex. Black Basta, Hive)
  • 파일 내에서 암호화 영역과 비암호화 영역이 번갈아가며 존재한다. 비암호화 영역의 크기는 해당 파일의 전체 크기와 관계된다.

암호학적 데이터 복호화 방안

• 개인키 획득
• 고정된 암호키 사용
• 메모리 내 잔여 데이터 이용
• 잘못된 알고리즘 사용
• 취약한 암호 알고리즘 사용

시스템적 데이터 복구 방안

• 백업 기반 데이터 복구
  • 백업이 되어 있던 부분의 데이터만 복구 가능
  • 백업을 했다고 하더라도 공격자에 의해 볼륨 복사본 VSC가 파괴된 경우 복구 불가능

• 파일 시스템 기반 데이터 복구
  • 원본 파일을 덮어씌우는 식으로 암호화하는 방식 -> 복구 불가능
  • 원본 파일을 유지한 채 이를 읽어 암호화한 새로운 파일을 생성하고 원본 파일을 삭제하는 경우 -> 경우에 따라 복구 가능
    : TRIM 또는 삭제 영역의 디스크가 사용되어 다른 데이터로 덮어씌워진 경우 복구 불가
  • 원본 파일을 읽고 암호화한 상태로 덮어씌운 후 원본 파일 삭제 -> 복구 불가능

• 파일 구조 기반 데이터 복구
  • 간헐적 암호화 방식에서 일부 데이터는 암호화되지 않은 상태로 존재함. 이 부분만 추출하여 최대한.. 원본 파일 복구 시도
    : CyberArk 업체의 White Phoenix 도구
  • 복구 가능 범위: word, excel, ppt, zip, pdf
    -> 하나의 파일 내에 여러 파일 데이터가 담긴 형태
    • 온전히 복구되는 것은 아닐테고, 간헐적 암호화 방식 중 비암호화 영역에 운좋게 위치한 데이터에 한해 복구 가능하다.

정보 보안 분야를 공부하고 있는 학생으로서 뉴스나 공격 동향 등을 꾸준하게 보는 것은 정말 중요한 것 같다.

그렇기 때문에 이러한 생각을 실행에 옮기고자 오픈채팅방도 들어가고 Feedly와 같은 서비스도 활용해보고 하였다. 그러나 이러한 방법들은 모두 처음에만 잠깐 확인하고 이후에는 알림만 쌓여가게 되었다..

이러한 상황임에도 어떻게든 꾸준하게 확인하고자 직접 구독할 자료를 선택하여 이를 한 곳에 수집할 수 있는 시스템을 구축해 보았다.

시스템 구축에는 Slack이라는 메신저 서비스를 사용하였다. Slack은 직장인이라면 대부분 사용해본 적이 있는 메신저일 것이다. 이 서비스는 워크스페이스 내에 RSS 피드 설정이 가능하여 쉽게 원하는 서비스를 구독할 수 있다. 또한 트위터 연동 시 사용하고자 하는 IFTTT에서도  Output channel로 Slack을 지원하여 더욱 쉽게 연동할 수 있다.

RSS 구독 등록

기본적으로 슬랙에 RSS 주소를 이용하여 피드 구독하는 방법은 다음과 같다.

구독 글을 수집할 채널에 접속 후 입력란에 다음과 같은 형식으로 feed 명령어를 입력한다.

/feed <RSS link>

이렇게 하면 이후부터 업로드되는 피드들이 자동으로 슬랙의 해당 채널에도 게시된다.

Github branch commit 구독 등록

이번엔 구독하고자 하는 github repository가 있을 때 특정 브랜치를 등록하는 방법이다.

RSS 등록할 때와 마찬가지로 feed 명령어를 사용한다. 이중 RSS link 위치에 다음과 같은 형태로 url을 작성하여 입력하면 된다.

/feed https://github.com/{username}/{repository}/commits/{branch name}.atom

나 경우 다음과 같이 github repository의 master branch commit 업데이트 이력을 구독해두었다.

Twitter 구독 등록

Twitter의 트윗 내역을 정기적으로 받아보려면 별도의 플랫폼을 사용해야 한다. Twitter에는 직접적으로 제공해주는 RSS url이 없기 때문이다. 이를 위해 여기서는 IFTTT를 사용하였다.

IFTTT는 다양한 앱 서비스들을 자동화하여 사용할 수 있게 해주는 서비스이다.

회원 가입 후 우측 상단의 Create를 누르면 다음과 같은 페이지를 볼 수 있다.

여기서 보이는 것처럼 기본적으로 이 서비스의 동작은,
=> 특정 애플리케이션이 특정 조건을 만족할 경우, 어떤 애플리케이션의 이러한 동작을 수행시키겠다.
로 이루어진다.

이를 우리가 해야할 일에 대입하면,
=> "Twitter"에 "새 트윗이 생길" 경우, "Slack"에 "이 트윗의 내용과 링크를 게시"해줘
가 된다.

이를 위해 먼저 If This를 누른다.

많은 애플리케이션 중 Twitter를 선택한다.

그럼 이 Twitter가 어떤 조건을 만족할 경우에 대한 이벤트 설정을 할 것인지 고를 수 있는 메뉴를 선택한다. 원하는 조건에 따라 선택하면 되겠지만, 여기서 나는 특정 인물의 트윗을 구독하고자 하는 것이기 때문에 이 중 "New tweet by a specific user"를 선택한다. twitter의 경우 최근 트위터 정책이 변경됨에 따라 이를 스크랩하는 것이 유료버전으로 바뀐 것 같다. 물론 나는 이를 위해 프로 구독을 했다..ㅠ

New tweet by a specific user를 선택하게 되면 자신의 트위터 계정 입력 후 스크랩 하고자 하는 사용자의 username을 입력하도록 한다. 

이렇게 조건 설정을 한 후 조건 충족 시 수행할 행동을 정하기 위해 Then That을 누른다. 

Slack을 선택하고,

채널에 게시(Post to channel)를 선택한다.

그 후 아래와 같은 화면을 볼 수 있는데, 여기서 Slack 계정을 선택하고, 게시하고자 하는 채널을 선택하면 된다. 일반적인 슬랙 채널에 자동 게시를 원하면 Public Channels를 선택한 후 게시할 채널을 선택한다. 선택하였으면 이후는 게시되길 원하는 형식에 따라 알아서 수정 후 생성까지 마치면 된다.

여기까지 한 후 Finish를 하면 자동화를 마친 것이다. 곧 소식이 있을 때 알아서 Slack에 게시가 될 것이다.

다만 IFTTT Pro 버전은 자동화 파이프를 20개까지만 만들 수 있어서, 이 제한을 풀려면 Pro+를 구독해야하는데 연 8만원 가량 되길래 아직은 Pro로 버티는 중이다ㅋㅋ.. 나중에 더 필요하게 되면 업그레이드 하던지 하려고 한다.

이러한 방법을 사용하여 카테고리별로 소식과 자료들을 수집하고 확인하는 중이다. 확실히 slack은 알림이 매번 와서 잊지 않고 확인하게 만드는게 좋은 것 같다. 수집한 데이터를 계속 보관하고 싶다면 slack도 유료버전으로 업그레이드 해야 한다. 그러나 나는 만들다 보니 함께 공부하는 동아리 친구들과 공유하고 싶다는 생각이 들어 워크 스페이스에 친구들을 초대하였고, 그러고 나니 워크 스페이스를 사용하는 사람수가 많아졌다ㅋㅋㅋ 이렇게 되면 사람수에 비례하여 월정액이 커지기 때문에 이를 감당할 자신이 없어 현재까지는 90일 제한으로 사용하고 있다. 그렇기에 일단 플랜 업그레이드 하는 것은 추후에 논의해봐야할 것 같고, 당분간은 뉴스 챙기는 것에 의의를 두고자 한다!

침해사고 분석 관련 공부를 하면서 처음 접하게된 개념인 MITRE ATT&CK은 솔직히 처음부터 중요하게 느껴졌던 개념은 아니었다. 그저 하나의 형식으로 사용된다라고, 머리로만 이해되었을 뿐이었다. 그러나 이러한 생각은 침해사고 분석 보고서들을 읽어보기 시작하면서 달라졌다.

공격자들은 침해 사고를 일으킨다. 그리고 한번 일어난 침해사고는 거기에서 그치지 않고 비슷한 체계나 취약점을 가진 다른 대상에게 또 다시 일어나곤 한다. 혹은 처음부터 불특정 다수를 대상으로 유포되는 바이러스에 의해 동시다발적으로 침해 사고가 일어나기도 한다. 따라서 방어하고자 하는 자들은 침해사고 발생 시 이를 분석하고 공유하여 공격에 대응할 수 있도록 서로 협력한다. 이러한 과정을 효율적으로 처리하기 위해 ATT&CK Framework를 사용한다.

ATT&CK은 Adversarial Tactics, Techniques and Common Knowledge의 앞 글자로 이루어진 단어이다. 여기에서 사용하는 가장 중요한 개념은 TTP이다. TTP의 각 글자는 Tactics, Techniques, Procedures를 의미한다. 이는 공격자나 악성코드의 행위를 설명하기 위해 표현하는 방식이다. TTP와 함께 사용되는 개념인 IOC는 침해 사고 발생 시 시스템 내 공격을 분석하는데 도움을 주는 증거 데이터들을 가리킨다. 이들은 TTP와는 다르게 단편적인 정보를 가지고 있으며 시그니처 기반 분석 시 사용되는 정보이다. IOC의 예시로는 IP 주소, 비정상적인 네트워크 트래픽 패턴, 악성 프로그램, 무단 액세스 기록 등이 있다. 

각각에 대해 조금 더 정리하자면,

Tactics는 "why"를 담당한다. 공격의 목적이자, 공격 수행 단계에 대해 묘사하는 부분이다. MITRE ATT&CK framework의 Enterprise를 기준으로 현재 14개의 tactics가 정의되어 있으며 각각의 tactic은 고유한 ID를 가진다.

Techniques는 "how"를 담당한다. 각 Tactics 별로 해당 단계에서 발생할 수 있는 공격 techniques 유형에 대해 정의되어 있다. 아래는 Initial Access 단계에 정의되어 있는 techniques 목록이며 9개의 techniques가 정의되어있는 것을 볼 수 있다. Tactics와 마찬가지로 각 technique도 고유한 ID를 가진다.

Procedures는 tactics와 techniques 이외에 기술할 추가적인 행위 정보를 가진다. 따라서 이에 대해서는 ATT&CK framework에서 정의해두고 있지 않다. 그렇기 때문에 분석 보고서 작성 시 ATT&CK framework 외에 procedure에 대한 내용도 함께 기술하여 분석 결과를 정확하게 전달하곤 한다.

MITRE ATT&CK 홈페이지에서는 이러한 framework에 기반하여 정의된 TTP를 시각화할 수 있는 툴을 제공한다. 이를 이용하면 시각화된 결과를 볼 수 있을 뿐 아니라, 특정 TTP 항목을 선택하였을 때 다른 tactics 파트에서 이와 관련지어 나타날 수 있는 공격에 대해 표시된다. 이를 이용하여 공격자의 다음 행동에 대해 예측할 수 있으며, 분석 과정에서는 놓치고 지나갈 수 있는 부분에 대해 다시 한번 체크하도록 한다.

실제 침해사고 분석 보고서 또는 악성코드 분석 보고서에서도 이를 적용하여 보고서를 작성하고 있다.

금융보안원의 Masscan 랜섬웨어 위협 분석 보고서의 경우 TTP를 기준으로 공격자가 사용한 전략과 전술을 정리해 제공하고 있으며, 하루 전 공개된 KISA의 블랙캣 랜섬웨어 침해사고 기술보고서에서도 TTP에 따른 MITRE ATT&CK Framework를 사용하여 공격자들의 전략을 공유하고 사전에 예방할 수 있도록 하고 있다.

참고자료

- https://www.aquasec.com/cloud-native-academy/vulnerability-management/indicators-of-compromise/