새로운 공격시대, 새로운 대응모델 진화
고도화된 공격에 대응해 능동적 방어체계와 회복력 있는 방어 체계를 어떻게 갖출 것인가? 이에 대해 필자는 다음과 같은 다섯 가지 원칙과 방향을 제시하고자 한다.
첫째 다층방어(Defense-in-Depth)가 기본이다. 모든 공격을 방어하고 탐지할 ‘만능 솔루션’이라는 것은 사이버 보안세계에서 존재하지 않는다. 결국 다양한 솔루션을 계층적으로 활용하는 것이 기본이다. APT를 대응한다고 기존 솔루션이 불필요한 것이 아니다. 여전히 기존 솔루션을 포함해서 다양한 계층에서 공격을 방어해야 한다.
둘째 패턴기반과는 다른 접근법을 사용하는 기술을 적용한다. APT 공격은 패턴기반의 방어가 쉽지 않으므로 상황인지(context awareness), 화이트리스트, 샌드박스, 가상화 등신기술을 적용해야 한다. 이러한 신기술은 두 가지 형태로 적용되고 있다. 첫째는 기존 솔루션에 진화된 기능으로 적용되고 있다. 즉 기존 방화벽, IPS, 차세대방화벽, 웹방화벽 등의 기존 보안솔루션에 이러한 새로운 기술이 적용된다는 의미이다. 둘째는 이러한 기술을 적용한 별도의 전문화된 솔루션으로 제시되고 있다.
셋째 통합이 중요하다. 다수의 기업들이 수 많은 보안솔루션들을 도입하지만 그야말로 각개로 운영되는 경우가 많다. 이런 형태의 운영은 별 효과를 발휘하지 못하는 경우가 많고, 솔루션간 연결고리에서 취약성이 발견될 가능성이 높다. 다양한 솔루션들이 있다는 자체가 다층방어가 되는 것이 아니다. 이러한 솔루션들이 얽혀지고 상관분석되고 의미를 제시할 수 있어야 진정한 다층방어가 이뤄지는 것이다.
넷째는 치밀한 운영과 관리다. 어떤 기업은 엄청난 기술을 내재한 솔루션을 도입했어도 쉽게 침해당하지만 어떤 기업은 기본 솔루션만 가지고도 침해를 예방하고 탐지한다. 왜 일까? 치밀한 운영과 관리가 뒷받침되기 때문이다. 흔히 오해하는 것 중 하나는 APT 공격은 기존에 알려지지 않았기에 기존 솔루션으로는 대응이 불가하다는 것이다.
그러나 APT라고 해도 100% 알려지지 않은 방식으로만 공격을 진행할 수 없으며, 여러가지 방법을 사용해 지속적으로 공격을 시도한다. 그 과정에서 공격의 징후와 공격자의 흔적을 남기게 되기 때문에 추적과 탐지, 차단도 가능하다. 지능적인 공격을 선제방어하고, 공격이 발생했을 때 빠르게 차단하기 위해서는 솔루션 보다 관리가 더 중요하다.
마지막으로 사람에 초점을 맞춰야 한다. APT 공격의 큰 기법 중 하나가 바로 사회공학이다. 이는 결국, 사람의 취약성을 이용하는 것이다. 그러나 단순 인식과 교육만으로는 이 문제를 해결하기 어렵다. 행동관리 관점에서 사람의 행동을 변화시키고 각 구성원들의 역할을 명확히 해야 한다.
완벽한 방어가 없듯이 완벽한 공격도 없다. 범죄자는 흔적을 남기기 마련이다. 다양한 대책을 통합적이고 유기으로 구축·운영하는 것이 기업을 APT로부터 방어할 수 있으며, 진화하는 위협에도 지속적으로 방어할 수 있는 기반을 마련해 줄 수 있다.
