파이어아이가 선점한 다음 키워드는 ‘보안 자동화’
상태바
파이어아이가 선점한 다음 키워드는 ‘보안 자동화’
  • 김선애 기자
  • 승인 2016.12.08 14:25
  • 댓글 0
이 기사를 공유합니다

지능형 샌드박스 이용 ‘선제방어’·맨디언트 기반 ‘탐지대응’ 전략 이끌어…‘보안 자동화’로 대응 효율화
▲에릭 호 파이어아이 APJ 총괄 사장은 “모든 방어·대응 프로세스를 자동화해 대응에 대한 우선순위를 정하고, 적절하게 대응하는 것이 시급하다”고 말했다.

파이어아이는 보안업계에서 ‘마케팅으로 성공한 회사’ 중 하나로 꼽힌다.

독자 개발한 가상화 기술을 기반으로 한 지능형 샌드박스 엔진 ‘MVX’를 이용해 알려지지 않은 악성코드를 탐지한다는 개념으로 APT 방어 시장을 개척해왔으며, 지난해부터는 자회사 맨디언트를 통해 ‘침해 탐지 및 대응’ 전략을 주장하면서 보안업계 전략을 선제방어에서 ‘공격 중 탐지 대응’으로 돌려놨다.

파이어아이의 다음 전략은 ‘보안 자동화’이다. 수많은 보안 시스템을 갖추고 있음에도 불구하고 기업/기관이 보안 사고에 연이어 당하는 이유는 개별 보안 시스템이 감지하는 이벤트의 상관관계를 분석하지 못해 보안에 대한 전반적인 가시성을 확보하지 못하고 있다는 사실을 강조하면서, 각각의 이벤트를 연관분석하고 대응 우선순위를 알리는 한편, 자동으로 대응할 수 있는 방법을 찾아내야 한다는 주장이다.

에릭 호(Er ic Hoh) 파이어아이 APJ 총괄 사장은 “기업/기관이 현재 직면하고 있는 문제는 보안 솔루션이 부족하다는 것이 아니라, 많은 보안 솔루션이 발생시키는 이벤트를 파악하지 못한다는 사실”이라며 “모든 방어·대응 프로세스를 자동화해 대응에 대한 우선순위를 정하고, 적절하게 대응하는 것이 시급하다”고 말했다.

보안 이벤트를 효율적으로 관리하기 위한 SIEM이 사용되고 있지만, SIEM에서 발생시키는 이벤트 조차 너무 많아서 적절하게 대응하기 어려운 상황이다. 한정된 보안 인력으로 대량의 이벤트를 처리하는 것은 한계가 있기 때문에 발견된 위협조차 제대로 관리하지 못한다.

파이어아이는 보안 이벤트에 대한 연관관계를 분석하고 확인하는 한편, 대응 프로세스를 자동화해 사람의 개입을 최소화한다. 예를 들어 방화벽·안티바이러스 등의 보안 시스템에서 차단된 공격이라면 이미 대응 체계가 완료됐으므로 대응 우선순위를 낮춘다. 차단하지 않은 의심스러운 이벤트 중 위협 인텔리전스와 비교해 높은 순위의 위협이라면 즉시 대응할 수 있도록 자동화된 체계에 돌입하도록 한다.

에릭 호 사장은 “보안 자동화를 통해 보안 조직이 실제 유효한 공격에만 대응하도록 해 보안조직의 인력 운영을 효율화하며, 조직이 놓치는 위협을 줄여 리스크를 크게 낮출 수 있다”고 설명했다.

한국 타깃 공격, 아태 평균 1.8배

이어 에릭 호 사장은 파이어아이 고객을 대상으로 조사한 결과를 소개하면서 “한국 고객의 43.5%가 1년간 사이버 공격을 받은 것으로 조사됐으며, 아시아태평양 지역 전체 평균 24.3%의 1.8배에 이른다”며 “특히 내년에는 대선이 치러질 예정으로, 정치적인 목적을 가진 사이버 공격이 크게 늘 것으로 본다. 한국의 사이버 보안 위협은 매우 높은 편”이라고 지적했다.

그는 지난해 미국과 중국이 체결한 사이버 보안 협정에 따라, 미-중 두 국가간 발생했던 사이버 공격은 크게 줄어든 반면, 아시아를 대상으로 진행되는 공격이 크게 늘어났다는 사실을 강조했다. 그러면서 한국을 타깃으로 한 공격이 증가할 것이라는 점을 역설하고, 공격을 빠르게 탐지·대응할 수 있는 방안을 마련할 것과, 위협 인텔리전스 활용, 위협에 대한 공동대응이 필요하다고 강조했다.

2017년 IoT·ICS 타깃 공격 증가할 것

한편 파이어아이는 내년 사이버 보안 트렌드를 발표하면서, 아태지역을 타깃으로 한 공격이 증가할 것이며, IoT와 주요 인프라, 산업제어 시스템에 대한 공격도 증가할 것이라고 밝혔다.

◆아태 지역 타깃 공격 지속적으로 증가 전망= 올해 아태지역 SWIFT 사용 금융 기관을 노린 사이버 공격에 이어, 내년에도 아태지역 금융 시스템들이 집중적으로 사이버 공격의 타깃이 될 것이다. 여전히 구식 ATM 소프트웨어와 윈도우 XP를 사용하고 있는 개발도상국의 ATM들은 보안이 취약하기 때문이다.

뿐만 아니라 아태지역에서 떠오르고 있는 신흥 시장과 기업들은 쉽게 부당 이익을 취하고자 하는 사이버 공격자들에게 좋은 타깃이 될 것이다. 성숙 단계로 이동 중인 비즈니스와 기업들은 침해에 취약한 상태인 경우가 대부분이기 때문이다.

◆2017년 보안 투자 집중 분야= 2017년에는 기업들이 오케스트레이션과 자동화에 상당한 투자를 할 것으로 보인다. 지난 몇 년간 기업들은 무수한 보안 경보 조치를 처리하기 위해 많은 인력을 투입했으며, 함께 연동하기 어려운 서로 다른 보안 기술과 인프라들을 운영하기 위해 상당한 비용을 지출했다. 따라서 2017년 기업들은 통합으로 눈을 돌릴 것이다.

다양한 보안 니즈에 대한 통합적인 시각은 기업의 보안 태세를 획기적으로 향상시켜 주고 기업들이 보유한 모든 보안 제품이 진정한 가치를 발휘할 수 있도록 할 것이다. 파이어아이는 올해 초 인보타스(Invotas)를 인수하며 보안 오케스트레이션을 적극적으로 지원하고 있다.

업계에서 많은 기업들이 겪고 있는 리소스 부족을 고려하면, 2017년 자동화가 주요 트렌드로 떠오를 가능성이 높다. 전문인력 부족난이 지속되면서, 사이버 보안업계에는 자동화 형태로 혁신이 이루어질 것이다. 따라서 최소한의 인력 개입으로 공격에 대응할 수 있는 보안 솔루션의 도입이 확대될 것으로 예상된다.

파이어아이는 보안 절차를 자동화하고 보안 운영 과정에서 인텔리전스를 적용함으로써 고객들이 심각한 리소스 부족 문제를 해결할 수 있도록 지원할 계획이다. 보안 오케스트레이션 역량은 기업들이 보안 경보에서 위협 차단까지 불과 수 분 이내로 가능하게 해 줄 것이다.

◆정부 주도 활동 유형 증가= 아태지역의 위협 활동들은 대부분 중국에서 기인하며, 특히 주요 무역 파트너국, 접경국, 그리고 중국에게 정치 또는 경제적으로 위협으로 되는 국가들을 대상으로 발생한다. 2017년에도 변하지 않는 점은 중국이 핵심적인 정치적 목표를 달성하기 위해 미국을 비롯하여 일본, 호주, 한국과 같은 국가들을 대상으로 사이버 작전을 지속적으로 수행할 것이라는 것이다.

한편, 한국은 중국 이외에도 북한의 사이버 공격의 지속적인 표적이 되고 있다. 북한의 공격자들은 금융 사이버 범죄에 대해 더 많은 것을 학습하고 있으며, 이를 핵무기 보유와 관련된 국제적인 제재 조치로 인한 경제적 손실을 보상하기 위한 이익 창출 도구로 사용할 수 있다.

러시아의 미국 민주당 해킹 사건은 2017년 아태지역에서의 정부 주도 사이버 위협 활동에 영향을 미칠 수 있다. 러시아 기반 공격 조직인 APT28과 APT29는 미국 민주당과 다른 정치 조직을 침해하여 정보를 유출했으며, 이를 통해 러시아 정부는 단순히 네트워크 침해 성공을 넘어서는 성과를 달성했다.

적극적인 정보전을 통해 러시아가 미국과의 알력다툼을 동유렵 침략 혹은 시리아 전투와 같은 물리적인 대치뿐 아니라 사이버 전을 통해 지속할 것이라는 의지를 전 세계에 보여주는 효과적인 방법이었다.

러시아의 성공으로 이제 또 다른 국가가 사이버 전에 뛰어들 것이며 그들의 타깃을 공격하기 위해 비슷한 전략을 사용할 것이라고 예측할 수 있다. 이는 정교한 사이버 역량을 갖춘 국가가 미국에 비교할 때 미약한 사이버 보안과 반스파이 활동 역량을 가진 신흥 경제국을 공격할 때 더욱 위력적일 것이다.

◆2017년 예상 밖의 타깃이 될 분야= 많은 종교기관들은 개인정보와 같은 중요한 데이터를 보유하고 있음에도 불구하고 견고한 사이버 보안을 갖추고 있지 않기 때문에 APT공격자들의 주요 타깃이 될 것이다. 특히, 서방 국가의 종교기관들이 위험에 노출되어 있다. 이들을 노리는 정부 주도의 공격자들이 존재하는 반면, 대부분의 경우 서방 국가에 있는 종교기관들을 사이버 산업 스파이 행위의 대상이 될 것이라 예상치 못하기 때문이다.

◆사물인터넷과 사이버 물리시스템을 이용한 공격= 2017년에는 발전소 등의 핵심 인프라와 가전제품 등의 소비자 기기에 포함된 사이버 물리시스템을 겨냥하는 국가 주도 공격이 더 늘어날 것으로 예상된다. 정부 기능을 마비시키고, 공포를 조장하며, 물리적인 시스템을 인질로 잡아, 이를 정치적 협상 카드로 이용하는 것이다.

이 같은 공격 수단으로서 랜섬웨어와 '서비스로서의 소프트웨어(SaaS)' 프랜차이즈 비즈니스 모델의 조합은 수익성이 높은 옵션이 될 것이다. 이는 또한 선비용을 감소시키고 많은 비용이 드는 인프라 설치를 피할 수 있어 범죄자들의 진입 장벽을 낮춰줄 것이다.

한편 사물인터넷의 증가로 인해 제대로 모니터링 또는 보안이 되지 않는 많은 기기가 등장했으며 이들은 사이버 공격 쉽게 악용될 수 있다. 이러한 사물인터넷 장치들에 대한 악용사례는 분산형 서비스 거부(DDoS) 공격 감행, 홉지점 명령 및 제어로의 사용, 네트워크 인증정보 탈취 또는 원격 엑세스 트로이 목마(RAT) 악성코드 배포 등으로 다양하다.

◆산업 제어 시스템에 대한 공격= 파이어아이의 최근 보고서에 따르면, 2017년에도 사이버 공격자들은 지속적으로 이러한 핵심 시스템들에 타깃 할 것이라고 전망했다. 대부분의 국가들은 정부의 기반 서비스, 공공 에너지 및 상업 시스템 등을 산업제어시스템(ICS)에 상당 부분 의존한다. 그러나 이러한 시스템들은 제대로 보호되고 있지 않거나 보안 패치가 되지 않은 경우가 대부분이다.

실제로 파이어아이 조사에 따르면 30% 이상의 식별된 ICS 취약점에 대한 보안 패치가 존재하지 않았다. 특히, 자원과 산업 분야에 크게 의존하는 국가들은 특히 추가적인 위험이 존재한다. ICS는 해당 분야의 운영에 핵심적인 역할을 수행하고 있기 때문입니다. 2015년 말 우크라이나의 발전소에서 발생한 사이버 공격은 ICS 공격으로 어떠한 피해가 발생할 수 있는지를 보여주는 일례일 뿐이다.

◆악용될 악성코드 및 기업들의 대응= 랜섬웨어는 상대적으로 비용이 적게 들고 수익성이 높아 지속적으로 공격에 이용되고 있다. 2017년에도 랜섬웨어 공격은 지속될 것으로 예상되지만, 사법 당국이 랜섬웨어 인프라를 폐쇄하고 범죄자들을 추적하면서 일부 공격 조직들은 타격을 입었다. 또한, 기업들이 점점 랜섬웨어의 위협에 대해 인지하기 시작하면서 이를 대비하기 위해 데이터를 백업을 하고 보안 테스트를 시행하고 있다.

그러나 아직까지 랜섬웨어 피해 사례는 계속해서 늘어나고 있으며, 실제로 올해 하반기 록키(Locky)와 다른 랜섬웨어에 감염되었으나 백업을 통해 복구를 한 기업들도 많이 존재한다.

2017년에도 사이버 범죄자들은 스크립 기반의 악성코드을 계속해서 악용할 것으로 예상된다. 스크립 기반의 악성코드는 대개 보안 벤더들이 탐지하기가 쉽지 않습니다. 또한 이 위협은 이메일 공격과 측면 이동에 있어 점점 더 보편화되어 가고 있다.

매크로 기반의 악성코드는 특히 탐지를 회피하는 수단으로, 보안팀이 예상치 못한 포맷으로 계속해서 전환할 것이다. 2016년 말, 마이크로소프트의 퍼블리셔 문서(PUB)가 악성 매크로를 전송하는데 사용되고 있음이 발견됐다. 마이크로소프트의 파워포인트로 생성된 PPTM 파일 등 아직은 광범위하게 악용되고 있지 않은 다른 포맷들은 위협 행위자들의 다음 표적이 될 수 있다. 공격자들은 계속해서 악성코드를 보다 은밀하고 효과적으로 만들어 나갈 것으로 예상된다.

에릭 호 사장은 “기업들은 특수부대와 경비원의 싸움으로 비유될 정도로 비대칭적인 전력으로 사이버 공격에 대응하고 있다. 따라서 공격이 발생할 지 여부보다는 언제 공격이 발생할 것인지에 대한 대비를 하고, 사고 대응 및 억제를 위한 보안 태세를 갖춰야 한다”며 “보안 태세를 갖추는 한가지 방법은 전형적인 침입 시나리오들을 시뮬레이션하는 사고 대응 훈련을 통해, 임원, 법률 담당자 및 기타 직원을 포함한 모든 임직원들이 사고 대응 절차와 개념에 익숙해질 수 있도록 하는 것이다”라고 말했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.