“파이어아이는 알려지지 않은 악성코드를 탐지해 지능형 사이버 공격 방어 기법의 새로운 장을 열었다. 맨디언트 서비스는 보안 컨설팅 시장에서 새로운 가이드라인을 제시하면서 또 다른 새로운 시장을 만들어나가고 있다.”
전수홍 파이어아이코리아 지사장은 이같이 말하며 “사이버 공격이 진화하면서 기업/기관은 가격이 아니라 실제 방어 효과에 관심을 두게 됐다. 파이어아이의 솔루션과 서비스가 고가임에도 불구하고 점점 더 많은 기업/기관이 찾고 있는 것은 지능형 보안위협에 대응할 수 있는 방법이라는 사실을 인정하고 있기 때문”이라고 강조했다.
파이어아이는 행위기반 분석기술을 이용해 알려지지 않은 악성코드를 탐지하는데 특화된 기술을 공급해왔다. 2014년 침해대응 전문기업 맨디언트를 인수하면서 침해 탐지·대응 시장으로 영역을 넓혔으며, 지난해 안랩의 침해대응 전문가 윤삼수 전무를 영입하면서 맨디언트 서비스를 국내에서도 본격적으로 진행하고 있다. 윤 전무는 우리나라에서 유일한 맨디언트 컨설팅 전문가로 꼽히는데, 아시아 태평양 지역에서 맨디언트 전문가는 25명 가량이다.
전수홍 지사장은 “이제 사이버 범죄자들은 금전적인 목적을 위해 공격을 진행하며, 정밀한 표적공격 뿐 아니라 불특정 다수 혹은 특정한 다수를 대상으로 공격을 진행해 수익을 더욱 높이고 있다”며 “기업/기관은 보안에 투자한 성과를 올리기를 원하고 있으며, 선제방어 뿐 아니라 진행중인 공격까지 차단해 심각한 보안 사고를 막고자 한다. 맨디언트 서비스는 이러한 고객에게 맞춤형 솔루션을 제공할 것”이라고 말했다.
고가 침해대응 서비스라도 경쟁력 있어
맨디언트 서비스는 침해사고가 발생했을 때 대응하는 IR 서비스와 평소 시스템과 네트워크의 침해흔적을 찾아 조사하는 CA 서비스로 구성된다. 두 가지 서비스 모두 높은 수준의 전문성을 요구하고 있으며, 전문가가 직접 진행하는 고급 보안 서비스에 속한다.
국내에서는 국내에서 발생한 침해사고를 조사해 온 우리나라 전문가와 전문 기업이 강세를 보이고 있지만, 최근 우리나라에서 대형 정보유출 사고가 빈번하게 발생하면서 글로벌 기업들도 이 시장에 많은 관심을 보이고 있다.
파이어아이는 국내에서 발생한 여러 건의 대형 보안사고에 투입돼 사고 원인과 과정, 결과 등을 조사하는데 도움을 주었으며, 올해부터 본격적으로 이 사업을 추진해 기업/기관이 보다 지능적으로 침해사고에 대응할 수 있도록 지원한다.
국내 맨디언트 사업을 책임지고 있는 윤삼수 전무는 “아시아태평양 지역 기업 평균, 침해사고 발생 후 발견되기 까지 520일이 소요되고 있으며, 대부분의 사고는 기업 내부에서 인지하지 못하고 외부 기관에서 알려주거나 공격자가 협박해서 알게 된다”며 “실제 공격이 일어나기 전 진행되는 공격을 탐지하고 차단하는 것이 필요한 이유”라고 말했다.
“전체 보안 공격 차단하고 치료해야”
사이버 공격은 가장 먼저, 사회공학적 기법 등을 이용해 사용자를 속이고 침입한 후, C&C 통신을 통해 공격용 악성코드를 내려받고 공격 거점을 확보한다. 이 단계까지는 악성코드를 이용하며, 백신·IPS 등 시그니처 기반 보안 솔루션에 탐지되지 않도록 우회한 기법을 사용한다. 시스템 내부로 유입된 공격자는 내부 직원의 로그인 정보를 훔치면서 정상적인 명령어를 사용하며, 정상적인 권한에 의해 정보를 빼내기 때문에 공격을 막기가 어렵다.
초기 침입부터 공격이 시작된 시점까지 몇 개월 혹은 몇 년 까지 걸리는 경우가 있기 때문에 공격이 시작된 후 공격에 사용된 악성코드를 찾았을 때 이미 삭제된 경우가 많다. 내부 공격 거점을 확보한 공격자는 SIEM 등 모니터링 시스템에 탐지되지 않도록 장기간 조용히 공격을 진행하기 때문에 기존의 공격 시스템으로 막기 어렵다.
윤 전무는 “공격 거점을 확보하고 정보를 유출할 때 까지 상당한 시간이 걸린다. 내부 시스템에 대한 정밀한 분석으로 공격을 미리 예방하고 이미 진행한 정보를 차단해야 한다”며 “침해사고가 발생했을 때 전체를 파악하지 못하고 일부만 치료하고 넘어가면 계속 재침투한다. 전체 공격 매커니즘을 파악하고 한번에 끝어야 한다”고 강조했다.
그는 “맨디언트는 보안 리스크를 찾아보고 감염여부를 확인하며, 정보유출 여부를 분석하고, 미래 공격을 예상해 역량을 강화할 수 있는 방법을 찾아본다. 이러한 단계를 통해 진화하는 공격을 차단할 수 있다”고 말했다.
사이버 공격은 가장 먼저, 사회공학적 기법 등을 이용해 사용자를 속이고 침입한 후, C&C 통신을 통해 공격용 악성코드를 내려받고 공격 거점을 확보한다. 이 단계까지는 악성코드를 이용하며, 백신·IPS 등 시그니처 기반 보안 솔루션에 탐지되지 않도록 우회한 기법을 사용한다. 시스템 내부로 유입된 공격자는 내부 직원의 로그인 정보를 훔치면서 정상적인 명령어를 사용하며, 정상적인 권한에 의해 정보를 빼내기 때문에 공격을 막기가 어렵다.
초기 침입부터 공격이 시작된 시점까지 몇 개월 혹은 몇 년 까지 걸리는 경우가 있기 때문에 공격이 시작된 후 공격에 사용된 악성코드를 찾았을 때 이미 삭제된 경우가 많다. 내부 공격 거점을 확보한 공격자는 SIEM 등 모니터링 시스템에 탐지되지 않도록 장기간 조용히 공격을 진행하기 때문에 기존의 공격 시스템으로 막기 어렵다.
윤 전무는 “공격 거점을 확보하고 정보를 유출할 때 까지 상당한 시간이 걸린다. 내부 시스템에 대한 정밀한 분석으로 공격을 미리 예방하고 이미 진행한 정보를 차단해야 한다”며 “침해사고가 발생했을 때 전체를 파악하지 못하고 일부만 치료하고 넘어가면 계속 재침투한다. 전체 공격 매커니즘을 파악하고 한번에 끝어야 한다”고 강조했다.
그는 “맨디언트는 보안 리스크를 찾아보고 감염여부를 확인하며, 정보유출 여부를 분석하고, 미래 공격을 예상해 역량을 강화할 수 있는 방법을 찾아본다. 이러한 단계를 통해 진화하는 공격을 차단할 수 있다”고 말했다.
