지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
“공격자도 보안 시스템 우회하기 쉽지 않다”
BYOD, 클라우드로 확산되면서 접속 포인트가 많아져 공격자가 이용할 수 있는 우회경로가 많아졌다. 정상 업무 이메일로 위장한 스피어피싱으로 사용자 단말에 악성코드를 감염시키거나, 스마트폰 취약점을 이용해 악성코드를 숨겼다가 스마트폰으로 내부 업무 시스템이나 클라우드로 침투할 수 있다.
시스템에 침투한 악성코드는 C&C 통신을 하면서 추가 공격 도구를 내려 받고, 정상 사용자처럼 내부 서버에 접근하면서 정보를 빼간다. 기업 내부 시스템은 네트워크 경계만큼 보안 정책이 까다롭게 돼있지 않기 때문에 이상행위를 탐지하기 쉽지 않다.
이러한 지능적인 우회공격을 막기 위해 보안 기술도 나날이 발전하고 있다. 즉 공격자 입장에서도 공격이 언제나 쉬운 것만은 아니라는 뜻이다. 샌드박스를 인지하는 우회공격을 차단하기 위해 APT 방어 솔루션은 물리적 장비에서 분석하고, 평판분석 기술로 신뢰할 수 없는 파일은 실행을 차단하며, 글로벌 위협 인텔리전스로 전 세계에서 발견한 공격 위협 정보를 공유해 새로운 공격 시도를 차단한다.
APT 공격이 성공하기 위해서는 타깃 조직의 취약점을 찾아야 하고, 취약점을 이용해 침투한 후 목표 시스템으로 이동, 시스템 접근 권한을 탈취해 접속해야 한다. 타깃 정보를 찾아낸 후 모니터링 시스템에 걸리지 않도록, 정보를 적은 양으로 쪼개 비정기적으로 외부로 보낸다. 이를 장기간에 걸쳐 공격을 지속하면서 보안 시스템의 변화하는 정책에 걸리지 않도록 은밀하게 진행해야 한다.
장경운 스플렁크코리아 이사는 “랜섬웨어는 공격 즉시 파일을 암호화하고 돈을 받는 공격으로 공격자를 숨길 필요가 없지만, APT 공격은 오랜 기간 시스템에 머무르면서 정보를 빼내야 하기 때문에 조용하고 장기적으로 공격을 진행한다. 여러 단계에 걸친 보안 시스템을 우회해 침입하는 것도 어렵고, 데이터를 성공적으로 유출하는 것도 쉽지 않은 일이며, 시스템에 침입하고 데이터를 탈취하는데까지 걸리는 시간도 오래 걸린다”며 “따라서 경계보안 솔루션이 찾지 못하고 시스템에 침입한 공격자가 성공적으로 데이터를 빼가기 전에 탐지하고 차단하는 정책이 필요하다”고 말했다.
채현주 오픈베이스 보안기술팀장은 “2003년 인터넷 대란 당시 오탐 많고 실제 공격을 탐지하지 못하는 IDS는 수명을 다했다고 진단했는데, 이제 다시 ‘탐지’가 보안업계의 화두가 됐다”며 “선제방어와 함께 이미 진행된 공격을 탐지하고 대응하는 전략이 필수”라고 강조했다.
보안위협 탐지·대응은 파이어아이가 침해대응 서비스 전문기업 맨디언트를 인수한 후 선제방어 전략과 탐지·대응 전략을 병행해야 한다고 강조하면서 탄력을 받고 있다.
파이어아이는 알려지지 않은 악성코드 탐지에 특화된 제품군을 공급하고 있으며, ‘APT 방어 솔루션’ 시장을 새롭게 만드는데 성공했다. 그러나 파이어아이도 우회하는 공격기술이 등장하면서 완벽한 선제방어는 불가능하다는 사실을 인정할 수밖에 없었으며, 이미 진행되고 있는 공격을 탐지하고 확산을 차단하는 전략이 필요하다고 다시 주장하고 있다.
탐지·대응, 인력·프로세스·기술 3요소 조화 이뤄야
침해 탐지·대응은 솔루션만으로 해결할 수 있는 것은 아니며, 전문인력의 서비스와 관제 서비스를 함께 사용해 정교하게 진행되는 공격을 막아야 한다.
이글루시큐리티 남현우 이사는 “침해 탐지·대응을 위해서는 인력, 프로세스, 기술의 3요소가 필요하다”고 강조했다.
남 이사의 설명에 따르면 보안 장비의 이벤트 중 실제 공격과 위험수준에 따른 대응 순서를 판단, 적절한 대응을 하기 위해서는 전문인력이 필요하다. 초급 보안 인력도 숙련된 보안 인력만큼 높은 수준의 대응을 제공할 수 있도록 표준화된 대응 프로세스를 마련해야 한다. 정보 수집부터 분석, 사고 대응, 보고, 후속 조치까지 실전 공격과 위기 상황에 원만하게 대응할 수 있는 최적화된 프로세스를 마련할 필요가 있다.
여러 시스템에서 의심정보를 수집해 연계분석하고, 공격 징후를 찾아내는 기술도 필수다. 다수의 시스템에서 정상 행위로 판단된 행위도 행위가 일어난 과정을 살펴보면 분명하게 공격 정황을 발견할 수 있다. 빅데이터 분석기술로 로그와 패킷에 대한 연계분석이 없으면 숙련된 전문가도 정교하게 설계된 공격을 찾는데 어려움을 겪을 수 밖에 없다.
남 이사는 “네트워크보안, 엔드포인트 보안, 멀웨어 및 페이로드 분석, 네트워크 포렌식, IT자산관리 등의 데이터를 하나의 솔루션에서 탐지 및 분석이 가능하도록 하는 빅데이터 프레임워크 기술이 보안분야에서 적극적으로 활용되면서 탐지·대응 전략이 현실적으로 가능해졌다”고 설명했다.
