통합·자동화로 복잡해지는 공격에 효과적으로 대응
[데이터넷] 사이버 공격에는 악성도구들이 사용된다. 절반 이상의 공격이 알려진 악성도구를 사용하지만, 점차 알려지지 않은 도구와 코드를 사용하는 비중이 높아지면서 전통적인 시그니처 기반 탐지 외에도 행위분석, AI 분석, 무해화, URL 필터링, HIPS 등 다양한 엔진이 악성도구 탐지에 이용된다.
여기에 위협 인텔리전스를 연계해 지능적인 위협에 대응하려는 시도도 자리를 잡아가고 있다. 위협 인텔리전스는 전 세계에서 발생하는 위협 정보와 비교해 빠르게 신종 위협을 차단할 수 있게 한다. 이스트시큐리티가 EPP·EDR, 그리고 위협 인텔리전스를 통합한 위협 대응 기술을 제공하며, 랜섬웨어 사전방역 기능까지 통합시켜 랜섬웨어로 인한 위협을 선제 차단한다.
EPP·EDR 통합 전략은 많은 엔드포인트 기업들이 채택하고 있으며, 점차 XDR로 확장해 네트워크, 클라우드까지 통합한 위협 차단을 제공하고자 한다. 맥아피는 보안 플랫폼 ‘엠비전(MVISION)’에 통합되는 엔드포인트 보안 솔루션을 제공하며, XDR로 확장할 수 있게 한다.
발생할 수 있는 위험을 탐지하고 보안설정을 제안하는 ‘인사이트(Insight)’와 위험행위를 차단하는 ‘엔드포인트’, 위험 탐지와 대응을 제공하는 EDR을 엠비전을 통해 제공한다. 중앙관리 솔루션 ePO로 관리해 관리 업무를 한층 단순화했으며, 엔드포인트에서 일어나는 모든 일을 분석하고 위협 모니터링을 통해 비교함으로써 전 세계에서 발생하는 신조 위협에 대응한다.
‘엠비전 인사이트’는 콜로니얼 파이프라인 공격 전 다크사이드가 미국 내의 표적을 법률서비스, 도매 및 제조, 석유, 가스, 화학 분야로 확산되는 것을 빠르게 감지하고 고객을 보호해 보안 기능을 인정받았다. DAC(Dynamic Application Containment) 기술을 통해서 제한된 기능만 수행할 수 있는 상태로 프로그램을 실행시켜 커널 단 접근 등의 위협 행위가 탐지되면 즉각적으로 차단한다. 일반적인 랜섬웨어에 대해 최대 6시간까지의 롤백기능을 제공한다.
위협 인텔리전스는 최근 보안기업들이 많은 투자를 단행하는 신흥 시장으로, 오랜 기간 보안 분야에서 쌓은 전문성을 기반으로 차별화된 보안위협 대응을 제공할 수 있게 한다. 카스퍼스키의 위협 인텔리전스 포털은 카스퍼스키의 사이버 공격 데이터와 분석정보를 제공하는데, 파일, URL, IP 주소를 확인하는 필수 기능을 사용자에게 무료로 제공한다. 한편 카스퍼스키는 EPP, EDR을 통합한 엔드포인트 보안과 OT 전문 보안 솔루션으로 시장을 공략한다.
안드로이드 보안 취약점 해결 ‘시급’
보안에 취약한 안드로이드 기기를 이용하는 공격도 위험성이 높아지고 있는데, 시큐리온은 안드로이드 기반 기기의 위협을 머신러닝으로 분석해 제거하는 온백신 제품군으로 IoT 보안문제를 해소한다. 또 안드로이드 기기에 대한 실시간 취약점 이용 해킹을 탐지하는 온트러스트를 제공하는데, 이는 페가수스와 같은 스파이웨어, 악성앱을 차단할 수 있다.
온트러스트는 ‘공격흔적 조사기술’을 통해 펌웨어나 OS의 데이터 이상 징후를 실시간으로 감지하고 공격이 의심되면 신속하게 대응할 수 있도록 한다. 공격의 종류와 관계없이 보호 중인 스마트폰의 상태 데이터에 기반해 이상 징후를 파악하기 때문에 기존에 알려지지 않은 제로데이 공격도 탐지할 수 있다. 또 악성행위가 실행되기 전에 그 징후를 찾아내 사전 대응이 가능하다.
이성권 시큐리온 대표는 “국가 안보, 기업 기밀을 다루는 스마트폰의 보안을 제조사나 공식 마켓에서 기본으로 제공하는 보안 서비스에만 맡겨 두는 것은 위험하다. 제로터치와 같이 이용자가 눈치챌 수 없는 공격이 늘어나는 만큼, VIP 스마트폰에 대해서는 정기적인 해킹 검사 시스템을 도입해야 한다”고 밝혔다.
통합·자동화로 보안 부담 줄여야
공격이 다양하고 복잡해지면서 보안 조직이 관리해야 하는 위협도 복잡해진다. 제한된 예산과 인력으로 수많은 보안 솔루션을 관리하고 쏟아지는 수많은 보안 이벤트를 분석하는 일은 보안조직에게 지능형 보안위협보다 더 심각한 어려움으로 다가온다.
국내 NDR 기술 기업 씨큐비스타는 엔드포인트 보안 기업 트리아징엑스의 엔드포인트 위협 헌팅 솔루션 ‘티엑스헌터’를 국내에 공급하는 한편 자사 NDR과 결합해 보안 복잡성을 해소한다. 티엑스헌터를 씨큐비스타 NDR 패킷사이버와 결합해 엔드포인트부터 네트워크까지 위협을 지능적으로 탐지한다.
엔드포인트, 네트워크, 클라우드 전반의 위협을 탐지하고 자동 대응하는 XDR과 SOAR가 주목되는데, 복잡한 보안 솔루션을 통합관리하고 이벤트의 자동 연계분석으로 그동안 보지 못했던 위협 가시성을 확보할 수 있게 한다.
XDR은 모든 보안 탐지 기술을 통합한 솔루션으로 EDR, NDR, 클라우드 위협 탐지와 대응을 통합한다. 개방형 생태계를 지원해 기타 써드파티 솔루션과의 통합·연계를 지원함으로써 보안조직이 인지하지 못한 심각한 위협을 찾아내고 자동 대응한다.
SOAR는 보안운영센터(SOC) 업무를 자동화하는 솔루션으로, 보안 시스템이 탐지한 이벤트를 분석하는 장비에 보내고, 분석 결과를 대응 장비로 보내 적절한 대응을 하도록 한다. 모든 보안 솔루션을 연계하고 탐지 결과에 자동 대응하기 위한 보안관제 프로세스의 표준화와 플레이북이 미리 갖춰져야 SOAR 프로젝트를 완성할 수 있다.
XDR과 SOAR는 국내외 많은 기업들이 플랫폼 기반 솔루션을 내놓으면서 시장 공략에 나섰다. 각각 자사 솔루션을 통합하고, 이종 벤더 솔루션을 연계하는 수준으로 통합과 자동화를 이뤘다고 주장하는데, 실제 보안 현장에서는 보안조직이 원하는 수준의 통합과 자동화는 완성되지 않은 것으로 평가된다.
XDR과 SOAR를 제대로 운영하기 위해서는 좋은 솔루션을 구입하는 것만큼 보안조직이 이를 운영할 수 있는 역량을 갖추고 시스템을 정비하는 것도 필요하다. 진화하는 보안 위협에 효과적으로 대응할 수 있는 체계와 전문성을 갖추고 이를 지원하는 솔루션을 도입해 ‘위드 코로나 시대’를 위한 시큐리티 트랜스포메이션을 이뤄가야 한다.
