> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[차세대 보안 비전] “보안제품 많아도 지능화된 위협 못막는다”
지니네트웍스 “자동화·오케스트레이션으로 보안 관리자 업무 양 줄이고 질 높여야”
     관련기사
  [차세대 보안 비전 2017] 보안 키워드 ‘통합·자동화·인텔리전스’
  [차세대 보안 비전] “알려지지 않은 위협은 보이지 않는 위협”
  [차세대 보안 비전] “공격면 줄이면서 지능형 방어 구현해야”
  [차세대 보안 비전] 협업·공유 이상 실현해 정교한 위협 방어
  [차세대 보안 비전] 분석·위협 인텔리전스로 위협 해결
  [차세대 보안 비전] “정보 공유로 보안 역량 강화하라”
  [차세대 보안 비전] 기반시설 보안, 망분리로 해결
  [차세대 보안 비전] “예방이 치료보다 낫다”
  [차세대 보안 비전] 네트워크 포렌식으로 탐지·대응 이상 실현
  [차세대 보안 비전] IoT 시대, 강력한 네트워크 접근제어로 대응
  [차세대 보안 비전] “IoT, IPv6·적응형 단말 보안 기능 필수”
  [차세대 보안 비전] 현실적인 보안 전략으로 비즈니스 보호
  [차세대 보안 비전] AI 이용해 정형화 되지 않은 공격 차단
  [차세대 보안 비전] 공유되는 위협정보, 탐지 기준 마련해야
  [차세대 보안 비전] 보안홀 ‘웹’, 머신러닝으로 보안 체질 강화
2017년 03월 09일 16:32:26 김선애 기자 iyamm@datanet.co.kr
   
▲ 이대효 지니네트웍스 팀장은 ‘보안 위협에 따른 대응의 변화’라는 주제의 발표를 하며, “단일 지점, 단일 솔루션으로는 최신 위협에 대응할 수 없다는 인식이 확산되고 있다. 공격의 탐지·차단이 아니라 지속적이고 포괄적인 대응(Response)으로 전환해야 한다”고 밝혔다.

지난 한 해 동안 전 세계에서 발생한 랜섬웨어 피해 금액은 1조200억원에 이른다. 앵글러 랜섬웨어만으로 3400만달러의 피해가 발생했으며, 송금비율은 2.9%나 된다. 매일 4억5000민개의 악성코드가 생성되지만, 백신에 추가되는 패턴은 1일 최대 300개 뿐이다. 신종 악성코드는 단 56분만에 타깃 조직을 감염시킨다. 그러나 기업은 침해사고를 인지하는데 140일에서 200일 가량 걸리고, 2년 후에 인지한 기업도 15%나 된다. 원인을 확인하지 못한 공격은 무려 55%에 이른다.

이대효 지니네트웍스 팀장은 9일 서울 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 열린 ‘차세대 보안비전 2017’에서 ‘보안 위협에 따른 대응의 변화’라는 주제의 발표를 하며, 지난해 발생한 공격에 관한 통계를 설명하면서 “단일 지점, 단일 솔루션으로는 최신 위협에 대응할 수 없다는 인식이 확산되고 있다. 공격의 탐지·차단이 아니라 지속적이고 포괄적인 대응(Response)으로 전환해야 한다”고 밝혔다.

이러한 변화에 맞춰 엔드포인트 침해 탐지 및 대응(EDR) 등 새로운 시장이 등장했으며, 공격의 연결(Chain)을 인지하고 단일지점에서 대응(Kill Chain)하는 전략이 힘을 얻게 됐다. 그리고 대응 영역을 확대하면서 피해를 최소화 하는 방안이 마련되고 있다.

이대효 팀장은 “기업은 많은 보안 제품을 사용하고 있지만, 공격의 전 과정에 대한 가시성은 여전히 부족한 상황이며, 관리자의 상황 및 관리자 환경에 적합하게 운용하고 대응하는 방안을 마련하는 것이 더욱 중요하다”고 강조했다.

공격 단계별 세부 정보 활용해야

이 팀장은 K라는 관리자의 예를 들어 현재 기업이 겪고 있는 보안 대응 한계에 대해 설명했다. K는 보안관리자이면서, 네트워크, 개인정보, 서버, 전산자원도 관리하며, 침해사고 대응과 외주 개발업체 관리도 맡고 있다. 15종의 보안 제품과 400여대의 PC, 60여대의 라우터, 스위치, 30여대의 서버가 K에게 할당돼 있다.

직원의 PC에 랜섬웨어가 감염됐다는 보고를 받으면 K는 악성코드의 종류와 어떻게 감염됐는지, 유사 업종에서 감염된 사례, 동작방식, 위험도, 관련 취약점, 다른 컴퓨터의 영향, 공격 내용 등을 알고자 한다. 그러나 포인트 보안 솔루션은 이러한 종합적인 정보를 주지 못한다.

K에게 필요한 것은 사이버 위협 인텔리전스(CTI)와 단말의 행위 및 변경사항을 추적하고 기록하는 기술이이다. 침해 시점 이전과 이후의 단위 이벤트를 연결해 지식으로 전환하는 방법이 필요하며, 악성코드와 공격 단계별 세부 정보를 활용해 단말과 네트워크에서 즉시 대응할 수 있는 방법을 마련할 수 있어야 한다. 더불어 다른 제품과 연동해 추가적인 정보를 수집하거나 대응 영역을 확대해야 한다.

위협을 탐지하는 이벤트가 많다고 해서 정확한 것도 아니다. 너무 많은 이벤트가 발생하면 이벤트에 무감각해져 심각한 위협에 대응하지 못한다. 따라서 발생한 이벤트는 위협 순위에 따라 대응할 수 있도록 해야 하면, 엔드포인트와 네트워크 전반에서 공격 정보를 공유해 자동화된 대응을 제공해야 한다.

이 팀장은 “보안 관리자는 보안 사고의 자동화된 대응과 오케스트레이션을 필요로 한다. 업무 양을 줄여주고, 질을 높이는 접근법이 필요하다”고 강조했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  차세대 보안 비전 2017, 네트워크타임즈, 데이터넷, 보안 세미나, 사이버 공격, APT, 지니네트웍스
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr