“글로벌 인텔리전스 서비스 연계로 위협에 정확히 대응”
상태바
“글로벌 인텔리전스 서비스 연계로 위협에 정확히 대응”
  • 김선애 기자
  • 승인 2017.05.24 10:51
  • 댓글 0
이 기사를 공유합니다

양승호 오픈베이스 연구소장 “타르고스, 샌드박스·네트워크/엔드포인트 보안 위협 정보 공유·대응”

지난주 전 세계를 긴장시켰던 랜섬웨어 ‘워너크라이’는 다른 나라와 달리 우리나라에서는 큰 피해를 일으키지 않고 소강상태로 접어들었다. 여러가지 이유가 있겠지만, 한국인터넷진흥원(KISA)을 중심으로 관련 기관·기업들이 빠르게 정보를 공유하고 대국민 캠페인을 통해 피해를 예방할 수 있도록 했던 것이 큰 역할을 한 것으로 분석된다.

KISA는 국내외 보안기업들과 위협 정보를 공유하는 C-TAS·CAMP를 운영하고 있으며, 이를 통해 국내와 전 세계에서 발생하는 위협 정보를 서로 알리고 대응할 수 있도록 한다. 위협정보 공유는 지능화되는 사이버 공격에 대응하기 위한 필수적인 방법으로 여겨지고 있는데, 그 어떤 기업이나 기관, 국가도 독자적인 능력으로 사이버 위협을 차단할 수 없기 때문에 공동으로 대응하고자 한 것이다.

위협정보는 개별 기업/기업이 샌드박스를 통해 분석한 후 TAXII, STIX, Cybox 등 글로벌 표준을 이용해 전송한다. 샌드박스에서 APT 공격이라고 분석한 내용이나 위협으로 판단하게 된 행위 등은 패턴으로 만들 수 없으며, 이와 같은 표준 프로토콜을 이용하게 된다. 그러나 모든 샌드박스가 이 표준을 지원하는 것은 아니며, 특히 국내 샌드박스는 표준 지원 기술에 한계가 있다. 국내 제품은 주로 YARA를 사용하고 있으며, YARA는 최신 위협 대응에 한계가 있다.

▲양승호 오픈베이스 연구소장은 “보안은 기술만큼 체계도 중요하다. 보안 기술은 언제든 우회할 수 있으므로, 효율적인 보안 체계를 수립해 우회공격을 효과적으로 차단해야 한다. 그 한 방법이 위협정보 공유 플랫폼이며, 많은 보안 기업들이 협업할수록 더 좋은 결과를 낳을 수 있다”고 말했다.

이종 샌드박스 정보공유 지원

국내 샌드박스가 국제 표준을 지원할 때 까지 정보공유를 지원하는 특별한 플랫폼이 관심을 받고 있다. 오픈베이스가 국가사이버안전센터와 함께 개발한 ‘타르고스(TARGOS)’는 이종 샌드박스에서 생성되는 분석결과를 공유하는 한편, 센터에서 분석해 발표하는 최신 공격 탐지 룰을 샌드박스에 적용하며, 다시 피드백을 준다.

양승호 오픈베이스 연구소장은 “위협정보 공유를 위한 표준 프로토콜을 완벽하게 지원하는 샌드박스는 없으며, 국내 제품은 해외 선도업체에 비해 조금 더 늦은 상황”이라며 “위협정보 공유를 통해 최신 위협 대응을 위해서는 지원 프로토콜을 늘려나가면서 더 많은 정보공유 인프라가 만들어져야 한다. 타르고스는 국내 샌드박스의 정보공유를 도와줘 신속한 대응을 지원한다”고 말했다.

타르고스는 여러 종류의 샌드박스를 운영하는 환경에 적합하다. 이종 샌드박스들이 공통적으로 지원하는 정보공유 프로토콜이 있으면 그것으로 사용하면 되지만, 그렇지 않은 경우가 많기 때문에 타르고스와 같은 플랫폼이 필요하다. 현재 여러개의 전력기관이 타르고스를 사용해 최신 위협정보를 공유하고 사이버 범죄에 대응하고 있다.

네트워크·보안·엔드포인트 보안과 연동

IT 유통 기업인 오픈베이스가 타르고스를 개발한 이유는 시장성이 충분히 있다고 판단했기 때문이다. 샌드박스는 알려지지 않은 악성코드를 탐지하는데 최적화된 기술이지만, 공격자가 쉽게 우회할 수 있다. 가상환경을 인식하거나 실행 후 일정 시간 이상 지난 다음에 활동하는 등의 방법으로 샌드박스 분석을 무력화한다.

샌드박스는 지능형 우회공격을 차단하기 위해 새로운 기술과 분석 방법을 추가하면서 고도화된다. 이 주기가 갈수록 짧아지기 때문에 외부 공유를 위한 표준을 준수하기 어려운 경우가 많다. 그래서 국산 샌드박스는 물론이고 외산 솔루션도 표준을 모두 지원하는 것은 찾아보기 어렵다. 또한 새로운 방식으로 설계되는 샌드박스는 표준을 지원하지 않는 것도 있다.

양 소장은 “타르고스는 APT 방어 솔루션의 연동을 위한 플랫폼으로, 향후 새로운 표준 혹은 글로벌 공통 표준을 만들 때 중요한 역할을 할 수 있을 것이라고 기대한다”며 “바이러스토털 등 글로벌 인텔리전스 서비스와 연계돼 위협에 보다 정확하게 대응할 수 있도록 하며, 샌드박스 외 네트워크·보안 솔루션, 엔드포인트 보안 솔루션과 연동해 정보 수집과 탐지·대응까지 제공할 계획”이라고 말했다.

한편 오픈베이스는 오픈소스 기반 빅데이터 분석 엔진 ‘엘라스틱서치’를 기반으로 네트워크와 보안을 아우르는 통합로그분석 솔루션 개발 사업을 진행하고 있다. 내년 출시를 목표로 하고 있는 이 프로젝트는 차세대 SIEM을 표방하고 있으며, 머신러닝을 적용해 보다 지능적인 위협 탐지·대응을 제공할 계획이다.

양 소장은 “보안은 기술만큼 체계도 중요하다. 보안 기술은 언제든 우회할 수 있으므로, 효율적인 보안 체계를 수립해 우회공격을 효과적으로 차단해야 한다. 그 한 방법이 위협정보 공유 플랫폼이며, 많은 보안 기업들이 협업할수록 더 좋은 결과를 낳을 수 있다. 보안 기업들이 협업 생태계에 더 적극적으로 참여해 방어 능력을 더욱 고도화하기를 바란다”고 말했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.