[데이터넷] 진화하는 공격에 대응하기 위해 카스퍼스키랩의 CEO인 유진 카스퍼스키는 ‘사이버 보안에서 사이버 면역력’으로 바뀌어야 한다는 주장을 펼친다. 사회공학 기법과 같이 사람의 습관이나 생각을 교묘하게 이용하는 공격은 전통적인 기술로 대응할 수 없으며, ‘사이버 면역력’을 통해 시스템 감염으로 인한 피해를 막아야 한다는 주장이다.
유진 카스퍼스키는 2050년 사이버 환경을 예측하며 작성한 블로그에서 AI를 통해 디지털 직관력을 얻을 수 있으며, 이것이 사이버 면역력을 키우는데 도움이 될 것이라고 주장했다. 디지털 직관력은 사람이 보지 못하는 영역까지 볼 수 있으며, 알 수 없는 문제에 정확하게 대응하는 능력을 갖춰 새로운 시대에 맞는 디지털 보안 표준을 구축할 수 있을 것이라고 내다봤다.
사이버 면역력 강화를 위해 제안되는 방법으로 모의해킹을 들 수 있다. 단순히 알려진 시나리오 기반으로 하는 모의해킹이 아니라 레드팀, 블루팀으로 나누어 실제 공격자와 같이 공격하고 이를 방어하는 실전 훈련을 통해 어떤 보안 홀이 있는지 점검해야 한다.
소프트와이드시큐리티가 국내에 공급하는 어택아이큐(AttackIQ)의 ‘BAS(Breach & Attack Simulation)’ 플랫폼은 MITRE ATT&CK에서 정의한 공격자 시나리오를 통해 보안 솔루션의 효율성, 공격 형태에 따른 전술을 시뮬레이션하고 기업 스스로 문제를 진단·대응할 수 있도록 도와준다.
허효승 소프트와이드 이사는 “전체 공격의 90%는 이미 알려져 있고 방어할 수 있는 기술이 배포된 유형이지만, 이러한 공격에도 많은 피해를 받게 된다. 알려진 공격부터 알려지지 않은 공격까지 대응할 수 있도록 평소에 교육과 훈련을 시행해야 한다. 어택아이큐의 BAS는 공격을 쉽게 시뮬레이션 할 수 있으며, SDK를 이용해 원하는 공격 패턴을 만들 수 있어 실제 공격과 같은 훈련을 진행해 사이버 면역력을 높일 수 있다”고 말했다.
모든 이메일 위협 분석해 대응
사이버 면역력을 키우는 또 다른 방법으로 클라우드에서 이메일을 열어 분석하고 위협을 제거하는 방법이 제안된다. 시만텍의 ‘이메일 시큐리티 닷 클라우드’는 수·발신 이메일을 실시간 링크 추적, 위장 제어 등 다계층 탐지 기술을 이용해 분석한다. 휴리스틱 기술이 적용돼 이어 랜섬웨어, 표적공격에 대응하며, 기존 이메일 보안 솔루션이 탐지 못하는 최신 보안 위협까지 차단한다.
관계사 임원을 사칭해 무역대금·거래대금을 탈취하는 비즈니스 이메일 침해(BEC) 사기에 대응하는 ‘이메일 사기 보호(Email Fraud Protection)’ 서비스도 제공한다. 이메일 발신자를 자동으로 인증해주는 클라우드 서비스로, 도메인 기반 메시지에 대한 인증·보고·준수(DMARC)의 모든 실행 단계를 간소화한다.
시만텍 엔드포인트 프로텍션(SEP)과 SEP 모바일은 사회공학 기법 등 지능적인 위협으로부터 사용자를 보호한다. 글로벌 인텔리전스 네트워크(GIN) 기반 머신러닝 기술을 통합했으며, 제로데이 공격 탐지를 위한 메모리 익스플로잇 공격 차단, 의심스러운 행위를 나타내는 파일 모니터링, 디셉션(deception) 등 진화된 엔드포인트 보호 기술을 단일 에이전트에서 통합 제공해 고도의 지능형 보안 위협을 차단, 대응할 수 있다.
격리·무해화로 위협 원천 제거
‘격리(Isolation)’ 기술을 통해 위협이 접근하지 못하게 하는 방안도 제안된다. 시만텍은 이메일과 웹의 위협을 격리하는 ‘이메일 위협 격리(ETI)’와 ‘웹 격리(WI)’ 솔루션을 소개한다. ETI는 원격 실행 환경에서 의심스러운 이메일 링크와 웹 다운로드를 격리해 위협을 차단한다. 의심스러운 웹 사이트는 읽기 전용 모드로 렌더링하고 사용자가 중요 데이터를 제출할 수 없도록 하여 인증 정보 유출을 방지한다.
WI는 트랜스페어런트 클라이언트리스 렌더링(TCR) 기술을 이용해 웹의 악의적인 콘텐츠를 격리 플랫폼에 두고 사용자에게는 안전한 콘텐츠만을 제공한다. 더불어 웹필터 기능을 활용해 악성코드 다운로드와 웹 공격을 막고 컴플라이언스 준수를 실현할 수 있다. 시만텍 웹필터는 87개의 다중 카테고리 기반의 URL 필터링과 악성코드, 피싱 사이트의 요청을 차단한다. 전 세계 다양한 사용자를 기반으로 실시간 분석을 거쳐 시만텍 GIN을 통해 지속적으로 업데이트된다.
전송 속도 개선한 렌더링 기술로 승부
격리 기술은 가트너가 2018년 공격을 회피할 수 있는 기술 혁신으로 선정하면서 주목받아왔다. 웹과 이메일에 대한 격리 기술이 소개되고 있으며, 원격에서 렌더링 기술로 웹이나 이메일의 액티브 콘텐츠를 제거해 안전한 콘텐츠만 사용자 환경으로 전송하는 방식을 택한다. 시만텍이 2017년 인수한 파이어글래스와 최근 국내 지사를 설립한 멘로가 이 시장에서 경쟁하고 있다.
멘로는 전송 속도를 획기적으로 개선한 ACR(Adaptive Clientless Rendering)이 경쟁사 대비 차별화된 장점이라고 소개한다. ACR은 네트워크 기반 렌더링 기술로 성능과 엔드포인트 충돌을 해결한다. 에이전트 없이 인터넷의 모든 콘텐츠를 일회용 가상 컨테이너에서 실행해 악용 가능한 액티브 콘텐츠를 제거한다. 모든 브라우저와 장치, OS에서 동작한다.
멘로의 ‘MSIP(Menlo Security Isolation Platform)’는 웹과 이메일 격리 솔루션으로 구성되며, 격리된 콘텐츠에 대한 접근이 필요할 때 보호모드에서 읽기만 가능하게 하거나, 안전한 PDF로 전환해 보여줄 수 있으며, 보안 분석 후 원본을 제공해주는 방법도 있다. 클라우드 기반 SaaS 혹은 구축형으로 공급될 수 있으며, 국내에도 클라우드 리전을 개설해 국내 클라우드 규제를 만족시킨다.
김성래 멘로코리아 지사장은 “멘로의 기술은 모든 환경에서 제약 없이 웹과 이메일의 위협을 제거할 수 있으며, 특히 우리나라 망분리 환경에서도 구축 가능하며, 업무망에서 클라우드로 직접 연결해야 하는 환경에서 악성 웹이나 이메일을 제거하고 안전하게 업무할 수 있도록 도와줄 수 있다”고 말했다.
그는 “웹 격리를 논리적 망분리로 볼 수 있다는 유권해석까지 완료한 상태이며, SLA를 통해 웹을 통한 위협 방어를 100% 보장한다. MSIP의 높은 성능과 안정성에 엔터프라이즈·금융권에서 높은 관심을 보이고 있으며, 특히 클라우드 전환 속도를 높이고 있는 기업들이 크게 주목하고 있다”고 덧붙였다.
한편 멘로 제품을 국내에 공급하는 소프트와이드시큐리티는 콘텐츠 무해화(CDR) 솔루션 보티로와 멘로 플랫폼을 연동해 웹과 이메일을 통한 위협 방어 역량을 한 차원 높인다는 계획을 밝히기도 한다.
허효승 소프트와이드시큐리티 이사는 “멘로의 웹·이메일 격리 기술과 보티로의 CDR 기술을 연동해 악성코드가 동작할 수 있는 요소를 모두 제거한 상태로 시스템 내부에서 작동하도록 해 지능적인 위협에 대응할 수 있다”고 설명했다.
