> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[차세대 보안 비전] “예방이 치료보다 낫다”
모니터랩, 머신러닝·평판분석 기술 이용해 신종 공격 차단…SSL 가시성 확보해 보안홀 제거
     관련기사
  [차세대 보안 비전] “예방이 치료보다 낫다”
  [차세대 보안 비전] 네트워크 포렌식으로 탐지·대응 이상 실현
  [차세대 보안 비전] IoT 시대, 강력한 네트워크 접근제어로 대응
  [차세대 보안 비전] “보안 제품 너무 많아 위협 높아진다”
  [차세대 보안 비전] “IoT, IPv6·적응형 단말 보안 기능 필수”
  [차세대 보안 비전] 현실적인 보안 전략으로 비즈니스 보호
  [차세대 보안 비전] AI 이용해 정형화 되지 않은 공격 차단
  [차세대 보안 비전] 공유되는 위협정보, 탐지 기준 마련해야
  [차세대 보안 비전] 보안홀 ‘웹’, 머신러닝으로 보안 체질 강화
  [차세대 보안 비전 2017] 보안 키워드 ‘통합·자동화·인텔리전스’
  [차세대 보안 비전] “알려지지 않은 위협은 보이지 않는 위협”
  [차세대 보안 비전] “공격면 줄이면서 지능형 방어 구현해야”
  [차세대 보안 비전] 협업·공유 이상 실현해 정교한 위협 방어
  [차세대 보안 비전] 분석·위협 인텔리전스로 위협 해결
  [차세대 보안 비전] “정보 공유로 보안 역량 강화하라”
  [차세대 보안 비전] 기반시설 보안, 망분리로 해결
2017년 03월 09일 16:32:26 김선애 기자 iyamm@datanet.co.kr
   
▲ 박호철 모니터랩 팀장은 ‘차세대 보안비전 2017’에서 ‘효과적인 ATP 대응 전략’이라는 주제 발표를 했다.

“예방이 치료보다 낫다.”

박호철 모니터랩 팀장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘효과적인 ATP 대응 전략’이라는 주제의 발표를 통해 이러한 주장을 펼쳤다.

지난해부터 완벽한 선제방어는 불가능하다며 이미 진행된 공격을 탐지하고 대응하는 전략이 적극적으로 진행됐다. 그러나 공격이 있었다는 사실을 인지하기까지 피해를 해결할 방법이 없으며, 흔적을 지우면서 공격을 진행하는 침해사고를 찾아내는데 상당한 어려움을 겪게 된다. 특히 탐지·대응을 위해서는 고도의 전문가가 필요해 비용과 인력 수급의 한계에 부딪힐 수 밖에 없다.

이러한 배경에서 올해 다시 선제방어 전략도 힘을 얻고 있으며, 알려지지 않은 공격 도구 탐지와 취약점 제거, 악성 이메일·웹·파일 분석 등의 기술이 다시 힘을 얻고 있다.

박호철 팀장은 최근 공격의 특징으로 인터넷 익스플로러(IE) 취약점을 이용한 쉘코드 실행과 취약점을 이용한 다양한 악성코드, 표적과 방법을 달리한 랜섬웨어 등을 들었다. 특히 신변종 악성코드는 잘 알려진 웹서비스를 이용해 유포되기도 하고, 이메일 혹은 네트워크 공유 폴더를 이용하기도 한다.

SSL을 이용한 APT 공격은 올해 매우 심각한 위협이 될 것으로 보인다. APT 공격의 약 80%가 암호화 트래픽을 사용하고 있으며, 올해 사이버 공격의 50%는 암호화 트래픽을 이용할 것으로 예상된다.

현재 방어 기술은 이러한 공격 기번의 변화에 유연하게 대응하지 못한다. 신뢰 할수 있는 웹사이트와 프로토콜, 애플리케이션을 이용한 감염을 탐지하지 못하며, 블랙/화이트리스트에 의존하는 보안 정책은 오탐·미탐을 줄이지 못하며 업무 유연성을 방해한다.

머신러닝 이용한 신변종 공격 차단

박 팀장은 최근 공격 트렌드에 대응하기 위한 방법으로 보안 인텔리전스 도입, 평판기반 탐지, 트래픽 전수 검사, 머신러닝, 행위기반 분석, 정보 공유 등의 기술이 필요하다고 강조했다. 그러면서 C&C 통신 탐지, 악성 사이트 접속 탐지, 웹 응답페이지 분석, 머신러닝 기법을 이용한 이상트래픽 탐지를 통한 선제방어가 필요하다고 설명했다.

모니터랩은 악성 URL 탐지 기술 ‘MUD’를 이용해 웹사이트를 이용한 악성코드 유포를 방지한다. 또한 머신러닝 기술을 이용해 새로 발견된 의심파일과 기존 악성코드의 유사도를 비교, 악성 여부를 지능적으로 판단한다. SSL 트래픽을 복호화해 모든 트래픽의 가시성을 확보할 수 있게 한다.

모니터랩의 ‘AIATP’는 웹, 이메일, 파일 프로토콜을 제어하고 SSL 트래픽 암복호화를 통해 지능형 공격을 차단한다. ‘AISVA’는 SSL 복호화 전용장비로, 네트워크 보안 시스템, IDS, 로그 수집 서버 등 보안 솔루션의 가시성을 제공한다. 인/아웃바운드 양방향 SSL 트래픽을 동시에 처리할 수 있다.

박 팀장은 “악성파일의 1바이트만 변경되어도 새로운 악성파일로 간주돼 기존 보안 시스템이 탐지하지 못한다. 또한 암호화 트래픽은 보안 시스템이 분석하지 않아 심각한 보안홀이 된다. 이처럼 신종 공격은 여러가지 보안홀을 이용하기 때문에 공격 탐지가 어렵다”며 “머신러닝·평판기반 분석 기술 등을 이용해 진화하는 공격을 차단해야 한다”고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  차세대 보안 비전 2017, 네트워크타임즈, 데이터넷, 보안 세미나, 사이버 공격, APT, 모니터랩
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr