XARVIS

AI 기반의 사이버범죄 인텔리전스 플랫폼 XARVIS(자비스)는 다크웹, 텔레그램을 비롯해 사이버 범죄가 빈번하게 발생하는 익명채널 빅데이터를 활용하여 국가안보와 공공치안을 위한 첩보를 제공하는 솔루션입니다.

제품 소개서
XARVIS AI Brief
  • XARVIS AI Brief
  • XARVIS 소개
  • 주요 기능
  • DarkCHAT
  • Use Cases
XARVIS AI Brief
핀란드: 글로벌 통신 기업 내부 데이터 유출
2024.07.09

핀란드에 본사를 둔 글로벌 통신 기업 N사 는 2024년 7월 데이터 유출을 겪었습니다. 이 유출은 888이라는 위협 행위자에 의해 BreachForums에서 발표되었습니다. 이 사건으로 인해 7,622개의 직원 세부 정보가 노출되었으며, 여기에는 개인 및 직업 관련 정보가 포함됩니다. 유출된 데이터는 이름, 직함, 연락처 등 다양한 직원 정보로 구성되어 있습니다.

해당 보고서는 실시간으로 다크웹을 모니터링 하는 자비스가 매일 탐지된 데이터 중 주요 위협 정보를 기반으로 자동 추출하는 AI 보고서입니다. 세부 데이터 확인을 원하신다면 제품 데모를 신청해주세요.

XARVIS

사이버범죄 인텔리전스 플랫폼, XARVIS(자비스)는 다크 웹, 텔레그램 등 익명 채널을 포함한 광범위한 딥/다크 웹 모니터링 및 데이터 수집 솔루션입니다. 통합 웹 모니터링을 통해 수집된 데이터를 제공하며, 특정 사이버 사건 사례 및 관련된 범죄자들에 대한 정보를 수집할 수 있습니다. 또한 정교한 NLP 시스템과 심층 분석을 통해 의미 있는 인텔리전스를 도출할 수 있습니다.

다크웹 모니터링의 중요성
XARVIS 어떻게 사용하나요?
다크웹 검색 [Search Engine]

데이터가 산재되어 있는 다크웹을 검색할 수 있는 XARVIS의 메인 기능으로, 구글(Google)과 유사한 검색 환경을 구축하고 있습니다.

위협 데이터 실시간 수집
실시간으로 수 천개가 넘는 텔레그램 해킹 채널과 해킹 포럼을 모니터링하고 위협 정보를 수집합니다. 수집된 방대한 비정형 데이터에서 유효한 식별자를 분류해 서버에 축적되고, 사용자는 수집된 인텔리전스를 다양하게 활용해 특정 위협자를 추적할 수 있습니다.

글로벌 이슈 모니터링 [Search Engine]
세계적으로 이슈가 되는 주제를 모니터링 합니다. 다크웹 유저들은 다크웹에서 글로벌 이슈에 대한 견해를 드러내고 있으며, 나아가 적대 국가의 주요 정부 기관, 기업의 데이터를 탈취하여 다크웹 해킹 포럼 혹은 텔레그램 채널에서 판매 및 공유하는 움직임을 보입니다. XARVIS는 수 천개가 넘는 텔레그램 해킹 채널과 해킹 포럼에서 글로벌 이슈와 관련 있는 게시물을 실시간으로 추적할 수 있습니다.

서버 접근 권한 판매 모니터링 [Search Engine / Darkweb Trend]
다크웹 해킹 포럼에서는 기관 및 기업 데이터 뿐만 아니라, 내부 서버에 접근할 수 있는 접근 권한 (VPN, RDP, Citrix 등)을 판매하고 있습니다. 해커가 이와 같은 서버 접근 권한을 를 Xarvis에 등록하여 실시간으로 관련 데이터 판매 혹은 공유 여부를 알림 받을 수 있습니다. 악용 시 내부 서버를 무력화 시키거나 더 나아가 랜섬웨어 공격으로 번질 수 있습니다. Xarvis 사용자는 특정 서버 접근 권한과 관련된 Keyword를 Xarvis에 등록하여 실시간으로 관련 데이터 판매 혹은 공유 여부를 알림 받을 수 있습니다.

텔레그램 검색 [Telegram BETA]

사용자는 다양한 텔레그램 채널과 해당 채널에서 수집된 메시지, 이미지, 문서를 탐색할 수 있습니다. XARVIS 플랫폼에 통합된 텔레그램 채널은 일반적으로 해킹, 마약, 악성 코드, 핵티비스트 활동 등으로 분류됩니다.

위협 행위자 추적 [Graph Analyzer]

다크웹이나 텔레그램에서 활동하는 일부 해커들은 특정 국가나 산업을 집중적으로 공격하는 경향이 있습니다. 사용자는 이들이 게시하는 다크웹/텔레그램 게시물을 XARVIS의 ‘Dark Spider’기능을 사용하여 확인할 수 있고, 더 나아가 해커들이 남긴 흔적 (비트코인 주소, 텔레그램 아이디, 이메일 주소 등)을 추적 및 조합하여 사용자를 특정할 수 있습니다.

위협 도메인 모니터링 [New Threats]

XARVIS는 다크웹 도메인을 실시간으로 수집하고 있으며, 수집 이후 자체 개발한 언어 모델 ‘DarkBERT’를 활용하여 수집한 도메인의 성격 (Hacking, Drug, Arms 등)을 자동으로 분류합니다. 수집한 데이터는 XARVIS에 적재 되고 있으며, 사용자는 도메인의 성격으로 filtering 하여 모니터링이 필요한 도메인을 실시간으로 확인할 수 있습니다.

DarkCHAT

DarkCHAT은 다크 웹 모니터링 솔루션인 XARVIS에 설치된 다크 웹 콘텐츠에 특화된 생성형 AI 모델입니다. 이는 DarkBERT를 기반으로 하며, 이는 다크 웹 콘텐츠에 특화된 세계 최초의 AI 언어 모델입니다. DarkCHAT를 사용하면 다음과 같은 효과를 얻을 수 있습니다.

1. 범죄 탐지 및 예방

다크 웹은 불법 활동이 빈번하게 발생하는 장소이지만, 주로 구조화되지 않은 콘텐츠로 이루어져 있습니다. 다크 웹에 특화된 AI 언어 모델은 이를 보다 쉽게 분석하고 탐지하는 데 도움이 됩니다.

2. 관심 주제에 관련된 위협 인텔리전스 획득

1. 수집된 데이터를 기반으로 새로운 인텔리전스를 도출할 수 있습니다.
2. 단일 명령문으로 원하는 데이터에 쉽게 액세스할 수 있습니다.
3. 원하는 데이터와 관련된 S2W 발행 위협 분석 보고서에 쉽게 액세스할 수 있습니다.
4. 자동으로 사용자 프로파일링을 수행합니다. 이를 통해 위협 행위자가 주로 대상으로 하는 국가 및 산업을 식별할 수 있습니다.
5. 특정 국가 또는 산업과 관련된 위협 정보를 얻을 수 있습니다.
6. 위협 요소가 사용하는 비트코인 주소 및 해당 주소가 속한 소스(거래소)를 얻을 수 있습니다.

XARVIS 활용 사례
Use Case 1
Use Case 2
Use Case 3
Use Case 4
Use Case 5
Use Case 6
Use Case 7
다크웹 검색

XARVIS는 S2W의 AI 팀이 개발한 다크웹 특화 언어 모델인 ‘DarkBERT’를 활용하여 분야별 위협 정보를 분류하여 제공합니다. 해킹 포럼에 업로드된 게시글이 타겟하고 있는 국가 및 산업을 자동으로 분석해 국가별/산업별 모니터링이 수월해지는 기대효과가 있습니다. S2W의 인공지능은 위협 정도의 수위를 계산해 가장 위험한 컨텐츠 순서대로 보여줍니다.

특정 국가 선택 시, 해당 국가의 산업별 피해 비중을 확인할 수 있으며, 국가를 타겟한 Top 5 users와 주변 국가와의 피해 빈도수를 확인할 수 있습니다.

텔레그램 검색 (beta)

사이버 범죄는 다크웹을 넘어 텔레그램 채널 내에서도 만연하게 이루어지는 중입니다. 텔레그램 검색 기능은 S2W가 수집하고 있는 다양한 범죄 관련 텔레그램 채널을 keyword-base로 검색 가능하도록 새롭게 추가된 기능입니다.

XARVIS 플랫폼에 통합된 텔레그램 채널은 일반적으로 해킹, 마약, 악성 코드, 핵티비스트 활동 등으로 분류됩니다.

텔레그램 검색창에 마약 관련 은어를 검색 시 해당 키워드를 포함한 실제 채팅 로그들을 확인하실 수 있습니다. 이를 통해 마약이 불법 거래되는 텔레그램 채널과 판매 유저를 파악 할 수 있습니다. 이를 XARVIS에 있는 비트코인 주소 등 다른 데이터들과 분석 교차해 판매자를 추적할 수 있습니다.

* 본 기능은 Beta 버전으로 공개 일정은 미정. 추후 공개 시 기능의 추가 및 삭제가 있을 수 있으며, Beta 버전 배포는 ’24년 중으로 이루어질 예정

* 본 기능은 Beta 버전으로 공개 일정은 미정. 추후 공개 시 기능의 추가 및 삭제가 있을 수 있으며, Beta 버전 배포는 ’24년 중으로 이루어질 예정

위협 행위자 추적 #1

XARVIS의 교차 분석 툴을 이용해 위협 행위자를 추적할 수 있습니다. XARVIS는 위협 행위자 관련 식별자를 실시간으로 수집하며 사용자는 이렇게 수집된 여러 데이터를 교차 분석에 활용할 수 있습니다.

2022년, 글로벌 해킹 포럼인 ‘Breached’에서 인도네시아를 지속적으로 타겟하던 유저 ‘Lost_Key’의 활동이 포착 되었습니다.
XARVIS는 해당 유저의 암호화폐 주소 및 텔레그램 주소를 수집하였고, 수집된 암호화폐 주소는 세계적인 암호화폐 거래소 ‘Binance’ 소유임을 확인했습니다.

이렇게 XARVIS의 교차 분석 툴을 활용해 수사 기관들은 위협 행위자의 신원을 식별할 수 있습니다.

위협 행위자 추적 #2

XARVIS의 위협 행위자 분석 툴은 다크웹과 텔레그램에는 다수의 아이디를 활용해 활동하는 유저를 추적할 수 있습니다.

XARVIS는 2022년 싱가포르를 지속적으로 타겟하던 유저 ‘okito’의 활동 로그를 포착했습니다. 해당 유저는 글로벌 해킹 포럼 ‘Breached’에서 활동하던 유저로, 수십 여개의 포스팅에 본인의 텔레그램 주소를 남겨두었습니다.

텔레그램 주소 추적 결과, 동일한 텔레그램 주소가 ‘ttyper’이 작성한 포스팅에 게시 되어 있는 것을 발견했고, ‘ttyper’은 해킹 포럼에서 접근 금지된 흔적을 발견했습니다.

이와 같이 해킹 포럼에서 다수의 아이디를 돌려가며 사용하는 유저를 지속적으로 추적할 수 있습니다.

신규 위협 도메인 파악

XARVIS는 일 평균 약 150개의 신규 다크웹 도메인을 수집하고 있습니다. S2W의 AI 팀이 개발한 언어 모델인 ‘DarkBERT’를 활용하여, 수집된 도메인을 ‘마약’, ‘금융’, ‘해킹’, ‘무기 판매’ 등으로 자동 분류하고 있습니다.

이를 통해 특정 업권에 있는 기관은 해당 기능을 통해 주기적으로 위협 사이트를 모니터링 할 수 있습니다. 예를 들어, 마약 수사국은 신규로 생성되는 마약 거래 사이트 등에 정보를 얻고, 그 속에서 수집되는 데이터를 활용할 수 있습니다.

글로벌 이슈 모니터링

XARVIS에서는 다크웹에서 이슈가 되고 있는 글로벌 이슈들을 모니터링 할 수 있습니다.

러시아-우크라이나 전쟁 발발 이후 다크웹에서는 해당 전쟁에 대한 의견이 분분했으며, 두 국가의 주요 정부기관 및 기업, 시민들의 개인 정보를 유통하는 게시글들이 자주 포착되었습니다.

동일한 맥락으로, 이스라엘-팔레스타인 전쟁 발발 이후에도 러-우 전쟁과 유사한 동향이 발견되었습니다.

이와 같이 XARVIS는 특정 주제를 집중적으로 모니터링 할 수 있고, 관련된 불법 거래 및 유해 컨텐츠 확인할 수 있습니다.

서버 접근 권한 판매 모니터링

XARVIS에서는 특정 키워드를 입력하여 특정 국가 기업의 내부 네트워크 접근 권한 판매 및 수요 정황을 모니터링 할 수 있습니다.

한가지 예시로, 대한민국 특정 기관의 내부 서버에 접근 가능한 계정 정보 판매글이 다크웹에 올라오면 해당 글을 탐지하고 알림을 보냅니다. 이렇게 유출된 계정은 해커에게 악용되어 내부 서버를 무력화나 랜섬웨어 공격으로 번질 수 있습니다.

이러한 상황에 빠르게 대처하고 피해 확산을 막기 위해 주기적인 계정 유출 모니터링과 탐지는 필수입니다.