지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
로그·패킷·엔드포인트 가시성 확보해 공격 투명하게 탐지
EMC RSA의 보안분석 플랫폼 시큐리티 어낼리틱스(SA)는 모든 네트워크 패킷의 전수조사를 통해 이상행위를 탐지한다. SA에 적용된 ‘ESA’ 기능이 머신러닝 기반으로 보안위협을 탐지하는 기술을 제공하고 있다.
손영진 한국EMC RSA 차장은 “경쟁사의 UBA/NBA는 RSA SA의 구성요소 중 머신러닝 기반 분석 기술 하나를 독립시켜 제품화 한 것으로 단독제품으로 높은 경쟁력이 있다고 보지 않는다”며 “RSA SA는 모든 패킷과 로그, 엔드포인트, 넷플로우까지 전체 가시성을 확보해 위협을 탐지할 수 있다”고 설명했다.
한편 EMC는 침해대응 서비스(IR)와 취약점 진단 서비스, 보안 컨설팅, 보안운영센터, 관제 서비스 등 고급 보안 서비스 사업을 국내에서도 본격화하면서 침해 탐지·대응 역량을 한층 강화하고 있다.
손영진 차장은 “IR, CA 등은 고급 보안 프로세스 컨설팅에 속하는데, 최근 대기업, 금융기관을 중심으로 이 서비스의 문의가 많아지고 있는 것이 사실”이라며 “사이버 공격 방어 전략을 수립하는 기업들은 평소에 취약점을 점검하면서 공격가능성을 낮추고 빠르게 침해사고에 대응하고자 한다”고 말했다.
RSA는 정해진 시나리오 없이 고객의 환경에서 발생할 수 있는 취약점을 분석하고 대응방법을 찾아주는 보안 컨설팅을 제공한다. 국내 침투테스트의 경우 정해진 시나리오대로 진행하기 때문에 새로운 공격 방식을 택하는 지능형 공격에 대응하기 어려우며, 컴플라이언스 만을 위한 침투테스트에 끝나고 많다. RSA는 실제 공격 가능한 방법으로 고객사 취약점을 점검하고 개선방안을 제안해 고객의 IT 체질을 강화할 수 있도록 한다.
침투테스트는 ‘예방주사’와 같은 역할
모의해킹이나 IR은 높은 수준이 전문성을 필요로 하는 서비스로, 실제 공격자 입장에서 취약점을 찾고 공격을 진행해 보거나, 공격과정을 분석하는 방법이 필요하다. 화이트해커 출신이 설립힌 스틸리언은 공격자 입장에서 고객사 시스템을 직접 공격해 보고 취약점 관련 정보를 고객에게 알려준다.
신동휘 스틸리언 이사는 “고객이 요구한 시스템이나 서비스에 대해, 스틸리언의 IP만을 이용해 공격해 보고 시스템의 취약점을 점검해주는 서비스를 진행하고 있으며, 공격자 입장에서 테스트를 진행하기 때문에 실제 공격을 당할 수 있는 상황을 미리 파악하고 대응할 수 있도록 도와준다”고 설명했다.
신 이사는 “공격자들이 항상 다른 공격을 진행하는 것은 아니고, 한 번 성공한 공격기법을 같은 조직이나 비슷한 조직에 다시 사용하기 때문에 공격자 입장의 침투테스트는 ‘예방주사’와 같은 역할을 해 IT 시스템을 강하게 만들 수 있다”고 덧붙였다.
공격자들은 타깃 시스템의 취약점을 찾아 악성코드를 감염시키고 C&C 통신으로 페이로드를 다운시킨 후 공격 목적을 달성할 수 있는 시스템으로 침투한다. 사용하는 악성코드나 취약점은 다르지만, 공격 패턴은 크게 다르지 않다.
특히 모의해킹을 해 보면 같은 문제가 반복적으로 발생한다는 사실을 알 수 있다. 패킷을 변조하고, 관리자 계정으로 접속하며, 사용자 메일 계정을 훔쳐 이메일을 탈취하고 고객 정보를 탈취하는 것이 가능하다. 공격자의 행위를 파악하면 대응을 더욱 강력하게 할 수 있다.
신 이사는 “보안 시스템이 많다고 해서 보안을 강화되는 것은 아니다. 지금까지 모의해킹 서비스를 하면서 공격에 성공한 사례 중 보안 시스템이 부족한 고객은 하나도 없었다”며 “아무리 좋은 보안 시스템을 도입한다 해도 제대로 운영하지 못하면 소용없다. 보안 시스템을 추가하기 전 운영 프로세스를 점검하는 것이 먼저”라고 말했다.
