지난 한 해 동안 전 세계에서 발생한 랜섬웨어 피해 금액은 1조200억원에 이른다. 앵글러 랜섬웨어만으로 3400만달러의 피해가 발생했으며, 송금비율은 2.9%나 된다. 매일 4억5000민개의 악성코드가 생성되지만, 백신에 추가되는 패턴은 1일 최대 300개 뿐이다. 신종 악성코드는 단 56분만에 타깃 조직을 감염시킨다. 그러나 기업은 침해사고를 인지하는데 140일에서 200일 가량 걸리고, 2년 후에 인지한 기업도 15%나 된다. 원인을 확인하지 못한 공격은 무려 55%에 이른다.
이대효 지니네트웍스 팀장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘보안 위협에 따른 대응의 변화’라는 주제의 발표를 하며, 지난해 발생한 공격에 관한 통계를 설명하면서 “단일 지점, 단일 솔루션으로는 최신 위협에 대응할 수 없다는 인식이 확산되고 있다. 공격의 탐지·차단이 아니라 지속적이고 포괄적인 대응(Response)으로 전환해야 한다”고 밝혔다.
이러한 변화에 맞춰 엔드포인트 침해 탐지 및 대응(EDR) 등 새로운 시장이 등장했으며, 공격의 연결(Chain)을 인지하고 단일지점에서 대응(Kill Chain)하는 전략이 힘을 얻게 됐다. 그리고 대응 영역을 확대하면서 피해를 최소화 하는 방안이 마련되고 있다.
이대효 팀장은 “기업은 많은 보안 제품을 사용하고 있지만, 공격의 전 과정에 대한 가시성은 여전히 부족한 상황이며, 관리자의 상황 및 관리자 환경에 적합하게 운용하고 대응하는 방안을 마련하는 것이 더욱 중요하다”고 강조했다.
공격 단계별 세부 정보 활용해야
이 팀장은 K라는 관리자의 예를 들어 현재 기업이 겪고 있는 보안 대응 한계에 대해 설명했다. K는 보안관리자이면서, 네트워크, 개인정보, 서버, 전산자원도 관리하며, 침해사고 대응과 외주 개발업체 관리도 맡고 있다. 15종의 보안 제품과 400여대의 PC, 60여대의 라우터, 스위치, 30여대의 서버가 K에게 할당돼 있다.
직원의 PC에 랜섬웨어가 감염됐다는 보고를 받으면 K는 악성코드의 종류와 어떻게 감염됐는지, 유사 업종에서 감염된 사례, 동작방식, 위험도, 관련 취약점, 다른 컴퓨터의 영향, 공격 내용 등을 알고자 한다. 그러나 포인트 보안 솔루션은 이러한 종합적인 정보를 주지 못한다.
K에게 필요한 것은 사이버 위협 인텔리전스(CTI)와 단말의 행위 및 변경사항을 추적하고 기록하는 기술이이다. 침해 시점 이전과 이후의 단위 이벤트를 연결해 지식으로 전환하는 방법이 필요하며, 악성코드와 공격 단계별 세부 정보를 활용해 단말과 네트워크에서 즉시 대응할 수 있는 방법을 마련할 수 있어야 한다. 더불어 다른 제품과 연동해 추가적인 정보를 수집하거나 대응 영역을 확대해야 한다.
위협을 탐지하는 이벤트가 많다고 해서 정확한 것도 아니다. 너무 많은 이벤트가 발생하면 이벤트에 무감각해져 심각한 위협에 대응하지 못한다. 따라서 발생한 이벤트는 위협 순위에 따라 대응할 수 있도록 해야 하면, 엔드포인트와 네트워크 전반에서 공격 정보를 공유해 자동화된 대응을 제공해야 한다.
이 팀장은 “보안 관리자는 보안 사고의 자동화된 대응과 오케스트레이션을 필요로 한다. 업무 양을 줄여주고, 질을 높이는 접근법이 필요하다”고 강조했다.
