> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[침해 탐지·대응⑧] “SIEM=정기검진…침투테스트=예방주사”
운영중인 시스템 모니터링하며 발생 가능한 공격 예측해 차단해야…실제 공격자의 생각 따라가야
     관련기사
  [침해 탐지·대응①] 심화되는 사이버 공격…전방위 방어체계 필요
  [침해 탐지·대응②] 선제방어·탐지대응 투트랙 전략
  [침해 탐지·대응③] 엔드포인트 침해 탐지로 공격 차단
  [침해 탐지·대응④] 봇물처럼 터져나오는 EDR
  [침해 탐지·대응⑤] 머신러닝 이용 ‘인공지능 관제’ 시스템
  [침해 탐지·대응⑥] 사람처럼 생각하고 판단하는 보안 시스템
  [침해 탐지·대응⑦] SIEM, 보안 지능 높인다
2016년 09월 05일 09:35:03 김선애 기자 iyamm@datanet.co.kr

지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>

로그·패킷·엔드포인트 가시성 확보해 공격 투명하게 탐지

EMC RSA의 보안분석 플랫폼 시큐리티 어낼리틱스(SA)는 모든 네트워크 패킷의 전수조사를 통해 이상행위를 탐지한다. SA에 적용된 ‘ESA’ 기능이 머신러닝 기반으로 보안위협을 탐지하는 기술을 제공하고 있다.

손영진 한국EMC RSA 차장은 “경쟁사의 UBA/NBA는 RSA SA의 구성요소 중 머신러닝 기반 분석 기술 하나를 독립시켜 제품화 한 것으로 단독제품으로 높은 경쟁력이 있다고 보지 않는다”며 “RSA SA는 모든 패킷과 로그, 엔드포인트, 넷플로우까지 전체 가시성을 확보해 위협을 탐지할 수 있다”고 설명했다.

한편 EMC는 침해대응 서비스(IR)와 취약점 진단 서비스, 보안 컨설팅, 보안운영센터, 관제 서비스 등 고급 보안 서비스 사업을 국내에서도 본격화하면서 침해 탐지·대응 역량을 한층 강화하고 있다.

손영진 차장은 “IR, CA 등은 고급 보안 프로세스 컨설팅에 속하는데, 최근 대기업, 금융기관을 중심으로 이 서비스의 문의가 많아지고 있는 것이 사실”이라며 “사이버 공격 방어 전략을 수립하는 기업들은 평소에 취약점을 점검하면서 공격가능성을 낮추고 빠르게 침해사고에 대응하고자 한다”고 말했다.

RSA는 정해진 시나리오 없이 고객의 환경에서 발생할 수 있는 취약점을 분석하고 대응방법을 찾아주는 보안 컨설팅을 제공한다. 국내 침투테스트의 경우 정해진 시나리오대로 진행하기 때문에 새로운 공격 방식을 택하는 지능형 공격에 대응하기 어려우며, 컴플라이언스 만을 위한 침투테스트에 끝나고 많다. RSA는 실제 공격 가능한 방법으로 고객사 취약점을 점검하고 개선방안을 제안해 고객의 IT 체질을 강화할 수 있도록 한다.

   
▲EMC RSA 침해대응 서비스 인력 구성과 역할

침투테스트는 ‘예방주사’와 같은 역할

모의해킹이나 IR은 높은 수준이 전문성을 필요로 하는 서비스로, 실제 공격자 입장에서 취약점을 찾고 공격을 진행해 보거나, 공격과정을 분석하는 방법이 필요하다. 화이트해커 출신이 설립힌 스틸리언은 공격자 입장에서 고객사 시스템을 직접 공격해 보고 취약점 관련 정보를 고객에게 알려준다.

신동휘 스틸리언 이사는 “고객이 요구한 시스템이나 서비스에 대해, 스틸리언의 IP만을 이용해 공격해 보고 시스템의 취약점을 점검해주는 서비스를 진행하고 있으며, 공격자 입장에서 테스트를 진행하기 때문에 실제 공격을 당할 수 있는 상황을 미리 파악하고 대응할 수 있도록 도와준다”고 설명했다.

신 이사는 “공격자들이 항상 다른 공격을 진행하는 것은 아니고, 한 번 성공한 공격기법을 같은 조직이나 비슷한 조직에 다시 사용하기 때문에 공격자 입장의 침투테스트는 ‘예방주사’와 같은 역할을 해 IT 시스템을 강하게 만들 수 있다”고 덧붙였다.

공격자들은 타깃 시스템의 취약점을 찾아 악성코드를 감염시키고 C&C 통신으로 페이로드를 다운시킨 후 공격 목적을 달성할 수 있는 시스템으로 침투한다. 사용하는 악성코드나 취약점은 다르지만, 공격 패턴은 크게 다르지 않다.

특히 모의해킹을 해 보면 같은 문제가 반복적으로 발생한다는 사실을 알 수 있다. 패킷을 변조하고, 관리자 계정으로 접속하며, 사용자 메일 계정을 훔쳐 이메일을 탈취하고 고객 정보를 탈취하는 것이 가능하다. 공격자의 행위를 파악하면 대응을 더욱 강력하게 할 수 있다.

신 이사는 “보안 시스템이 많다고 해서 보안을 강화되는 것은 아니다. 지금까지 모의해킹 서비스를 하면서 공격에 성공한 사례 중 보안 시스템이 부족한 고객은 하나도 없었다”며 “아무리 좋은 보안 시스템을 도입한다 해도 제대로 운영하지 못하면 소용없다. 보안 시스템을 추가하기 전 운영 프로세스를 점검하는 것이 먼저”라고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  SIEM, 침투테스트, 모의해킹, 침해대응, 모니터링, 사이버 공격
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr