[차세대 보안 비전] “예방이 치료보다 낫다”
상태바
[차세대 보안 비전] “예방이 치료보다 낫다”
  • 김선애 기자
  • 승인 2017.03.09 16:32
  • 댓글 0
이 기사를 공유합니다

모니터랩, 머신러닝·평판분석 기술 이용해 신종 공격 차단…SSL 가시성 확보해 보안홀 제거
▲ 박호철 모니터랩 팀장은 ‘차세대 보안비전 2017’에서 ‘효과적인 ATP 대응 전략’이라는 주제 발표를 했다.

“예방이 치료보다 낫다.”

박호철 모니터랩 팀장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘효과적인 ATP 대응 전략’이라는 주제의 발표를 통해 이러한 주장을 펼쳤다.

지난해부터 완벽한 선제방어는 불가능하다며 이미 진행된 공격을 탐지하고 대응하는 전략이 적극적으로 진행됐다. 그러나 공격이 있었다는 사실을 인지하기까지 피해를 해결할 방법이 없으며, 흔적을 지우면서 공격을 진행하는 침해사고를 찾아내는데 상당한 어려움을 겪게 된다. 특히 탐지·대응을 위해서는 고도의 전문가가 필요해 비용과 인력 수급의 한계에 부딪힐 수 밖에 없다.

이러한 배경에서 올해 다시 선제방어 전략도 힘을 얻고 있으며, 알려지지 않은 공격 도구 탐지와 취약점 제거, 악성 이메일·웹·파일 분석 등의 기술이 다시 힘을 얻고 있다.

박호철 팀장은 최근 공격의 특징으로 인터넷 익스플로러(IE) 취약점을 이용한 쉘코드 실행과 취약점을 이용한 다양한 악성코드, 표적과 방법을 달리한 랜섬웨어 등을 들었다. 특히 신변종 악성코드는 잘 알려진 웹서비스를 이용해 유포되기도 하고, 이메일 혹은 네트워크 공유 폴더를 이용하기도 한다.

SSL을 이용한 APT 공격은 올해 매우 심각한 위협이 될 것으로 보인다. APT 공격의 약 80%가 암호화 트래픽을 사용하고 있으며, 올해 사이버 공격의 50%는 암호화 트래픽을 이용할 것으로 예상된다.

현재 방어 기술은 이러한 공격 기번의 변화에 유연하게 대응하지 못한다. 신뢰 할수 있는 웹사이트와 프로토콜, 애플리케이션을 이용한 감염을 탐지하지 못하며, 블랙/화이트리스트에 의존하는 보안 정책은 오탐·미탐을 줄이지 못하며 업무 유연성을 방해한다.

머신러닝 이용한 신변종 공격 차단

박 팀장은 최근 공격 트렌드에 대응하기 위한 방법으로 보안 인텔리전스 도입, 평판기반 탐지, 트래픽 전수 검사, 머신러닝, 행위기반 분석, 정보 공유 등의 기술이 필요하다고 강조했다. 그러면서 C&C 통신 탐지, 악성 사이트 접속 탐지, 웹 응답페이지 분석, 머신러닝 기법을 이용한 이상트래픽 탐지를 통한 선제방어가 필요하다고 설명했다.

모니터랩은 악성 URL 탐지 기술 ‘MUD’를 이용해 웹사이트를 이용한 악성코드 유포를 방지한다. 또한 머신러닝 기술을 이용해 새로 발견된 의심파일과 기존 악성코드의 유사도를 비교, 악성 여부를 지능적으로 판단한다. SSL 트래픽을 복호화해 모든 트래픽의 가시성을 확보할 수 있게 한다.

모니터랩의 ‘AIATP’는 웹, 이메일, 파일 프로토콜을 제어하고 SSL 트래픽 암복호화를 통해 지능형 공격을 차단한다. ‘AISVA’는 SSL 복호화 전용장비로, 네트워크 보안 시스템, IDS, 로그 수집 서버 등 보안 솔루션의 가시성을 제공한다. 인/아웃바운드 양방향 SSL 트래픽을 동시에 처리할 수 있다.

박 팀장은 “악성파일의 1바이트만 변경되어도 새로운 악성파일로 간주돼 기존 보안 시스템이 탐지하지 못한다. 또한 암호화 트래픽은 보안 시스템이 분석하지 않아 심각한 보안홀이 된다. 이처럼 신종 공격은 여러가지 보안홀을 이용하기 때문에 공격 탐지가 어렵다”며 “머신러닝·평판기반 분석 기술 등을 이용해 진화하는 공격을 차단해야 한다”고 말했다. 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.