ReliaQuest 에이전틱 AI SOC 상관관계 분석으로 중국 연계 IIS 스파이활동 클러스터 OP-512 적발 — AI 기반 위협 탐지의 증명 사례

ReliaQuest는 6월 5일 위협 스포트라이트를 발표하여, 자신의 에이전틱 AI가 분산된 관련 없어 보이는 엔드포인트 및 네트워크 텔레메트리를 상관관계 분석하여 수명이 다한 .NET Framework 4.0을 실행하는 인터넷 연결 Microsoft IIS 서버를 대상으로 하는 중국 연계 스파이활동 클러스터(OP-512)를 식별하고 에스컬레이션했음을 문서화했다. 공격자는 배포별 암호화 고유성, 암호화된 명령 채널, 반사형 로딩, 타임스탐핑, DNS 기반 배포된 URL 자체 보고 기능을 갖춘 3개의 커스텀 웹 셸을 배포했다. 탐지는 서명이 아닌 w3wp.exe DNS 쿼리 및 ASP.NET 임시 컴파일 경로의 행동 신호에 의존했다.

이는 에이전틱 AI가 일반적인 SOC 체류 시간의 인간 분석가가 놓쳤을 다중 신호 이벤트 상관관계를 수행하는 문서화된 프로덕션 인스턴스이다 — 단순한 요약이 아니다. AI 기반 SOC 도구를 평가하는 보안 팀의 경우, 탐지 가치와 거버넌스 요구사항을 모두 보여준다: AI 상관관계는 에스컬레이션 전에 설명 가능한 증거 추적 및 인간 검증과 쌍을 이루어야 한다. 왜냐하면 실제 위협을 표면화하는 동일한 신뢰도가 인간의 검토에서 약한 증거를 억제할 수 있기 때문이다.

SOC 팀과 MDR 구매자는 자신의 AI 상관관계 도구가 설명 가능한 증거 추적을 생성하는지 평가해야 하며, IIS 환경을 처리하는 IR 팀은 OP-512 행동 탐지(w3wp.exe 16진수 인코딩 DNS 쿼리, 비정상적인 .ashx 응답)를 구현해야 하고, 인프라 팀은 EoL .NET Framework 4.0 호스트를 감사하고 폐기해야 한다.