“보안 정보를 공유하는 ‘사이버 위협 얼라이언스(CTA)’는 보안위협 방어 전략을 완전히 새로운 방식으로 바꾸게 될 것이라고 전망한다. 특히 한국 보안 기업이 CTA 참여와 관련된 긍정적인 행보를 보이고 있어 보안 업계에 좋은 영향을 미칠 것이라고 본다.”

릭 하워드(Rick Howard) 팔로알토네트웍스 최고보안책임자(CSO)는 “CTA에 참여하는 기업이 50개 가량으로 늘어나게 된다면 보안 기술에 일대 혁신이 일어나게 될 것이다. 보안 벤더들은 동일한 보안 인텔리전스를 이용해 더 나은 제품을 만들기 위해 경쟁하게 될 것이며, 고객들은 이전보다 더 안전하게 정보자산을 보호할 수 있는 서비스를 이용할 수 있게 될 것”이라고 말했다.

글로벌 공통 보안 인텔리전스 이용한 기술경쟁 '기대'

CTA는 팔로알토네트웍스, 시만텍, 포티넷, 인텔이 주축이 돼 결성한 모임으로, 보안벤더들이 수집하고 있는 보안위협 정보와 기업으로부터 수집된 최신 정보를 분석해 공통의 보안 인텔리전스를 구축하고 있다.

최신 사이버 위협에 대응하기 위해서는 하루에도 수십만개에 이르는 새로운 악성코드를 탐지하고 차단할 수 있는 전략을 마련해야 한다. 보안 기업들은 자체적으로 구축한 보안 분석 인프라를 이용해 공격정보를 수집·분석해 고객들에게 제공하고 있다.

보안 기업이 자체적으로 수집하는 위협정보를 공유해 보다 넓은 지역에서 더 많은 정보를 수집하면 더 빠르고 효과적으로 공격을 방어할 수 있을 것이라는 아이디어는 수 년 전 부터 제기돼왔다. 이에 따라 보안기업과 정부 및 정보수집기관, 고객들이 협약을 체결하고 정보를 공유하고자 하는 시도를 진행해왔다.

그러나 이러한 협력이 원활하게 진행되지 않았는데, 일부 기업들은 자신의 정보를 공개하지 않고 상대의 정보만을 가져가려고 하면서 신뢰를 쌓지 못했기 때문이다.

CTA는 정보공유 이상에 동의하는 기업들이 정보공유 원칙과 방향, 공개되는 정보의 범위 등을 규정했으며, 공통 분석을 위한 인프라를 구축하면서 본격적인 활동을 진행하고 있다.

하워드 CSO는 “공격자가 네트워크에 침입할 때 반드시 흔적(indicator)이 남는다. 전 세계에서 발생하는 네트워크 침입 흔적을 보안 기업들이 공유하면 비슷한 공격에 빠르게 대응할 수 있다”며 “위협 인텔리전스는 보안기업의 재산이며, 정보공유를 통해 그 가치를 더욱 높일 수 있다”고 강조했다.

공격 패턴 분석 통한 선제방어 마련해야

하워드 CSO는 우리나라에서 발생되는 사이버 공격에 대해 “한국에서 발생하고 있는 사이버 스파이, 핵티비즘, 테러리즘 등 지능화되는 타깃공격은 세계적으로 공통된 추세”라며 “이러한 공격에 대응하기 위해서는 공격자의 패턴을 분석하고 공격 라이프사이클에 맞춘 선제방어 전략이 필수적으로 요구된다”고 설명했다.

그는 기존 보안 대책이 공격자가 네트워크에 침투하지 못하도록 하는 ‘심층방어’였다면, 이제는 공격 진행 과정별로 대응방법을 마련하는 것이 필요하다고 강조한다.

지능형 공격은 타깃 조직에 침투할 수 있는 취약점을 탐색하고, 침투할 수 있는 툴을 개발한 후 공격 대상에 툴(예. 악성코드)을 설치한다. 이 툴을 이용해 네트워크에 잠입한 후 C&C 서버와 통신할 수 있는 채널을 만든 다음 공격을 진행하기 위한 드롭퍼 파일을 내려받고 목표 시스템으로 접근해 정보유출·시스템 파괴 등의 공격을 진행한다.

이렇게 6단계로 구성된 공격 단계별로 적절한 보안 대책을 마련한다는 것이 팔로알토네트웍스의 선제방어 전략이다.

하워드 CSO는 “팔로알토네트웍스가 주력해 온 차세대 방화벽에 최신 사이버 공격에 대응할 수 있는 기술로 업그레이드 하면서 통합 사이버 보안 플랫폼으로 제품군을 확장하고 있다. 이 플랫폼을 기반으로 APT 방어 기술, 엔드포인트 보안 기술, 클라우드·가상환경 보안기술 등을 제공해 공격이 일어나기 전 선제방어가 가능하도록 했다”고 설명했다.

그는 이어 “단일 플랫폼에서 단계별 보안 기술을 제공하기 때문에 비용효율적이면서 관리 편의성을 크게 낮출 수 있도록 설계해 고객이 한정된 예산과 자원, 인력으로도 사이버 공격에 단계별로 대응할 수 있다”고 덧붙였다.

‘트랩스’, 공격기법 분석해 차단

차세대 방화벽 전문기업으로 시작한 팔로알토네트웍스가 APT 방어 전략을 강조하고 나선 것은 2011년 샌드박스 기반 APT 방어 솔루션 ‘와일드파이어’를 출시하면서 부터다. 와일드파이어는 로컬·클라우드 방식으로 이용할 수 있으며, 악성코드가 탐지되면 15분 내에 시그니처를 완성해 고객에게 배포할 수 있다.

지난해에는 엔드포인트 보안 기업 사이베라를 인수하고 엔드포인트 보안 솔루션 ‘트랩스’를 발표했으며, 클라우드 인프라를 보안솔루션 ‘VM-시리즈’와 모바일 기기 및 데이터 보안을 지원하는 ‘글로벌프로텍트 모바일 보안 관리’ 솔루션을 출시하고 공격이 일어나는 모든 지점에서 방어할 수 있도록 지원한다.

하워드 CSO는 ‘트랩스’가 선제방어 기술을 가장 잘 설명하는 제품이라고 소개한다. 사이버 공격은 IT 시스템이나 소프트웨어에 이미 존재하고 있는 취약점(Vulnerability)을 이용해 공격할 수 있는 툴(Eploit)을 만든 다음, 이 툴을 이용해 악성코드를 유입시키는 과정을 거치게 된다.

이러한 공격은 엔드포인트에서 가장 많이 일어나며, 현재 에드포인트 보안 솔루션은 악성코드를 탐지·차단하는 데 중점을 두고 있다. 트랩스는 익스플로잇을 차단해 악성코드 유입 경로를 원천적으로 봉쇄한다.

하워드 CSO는 “공격에 이용하는 악성코드는 무수히 많지만, 공격자의 기술은 그리 많지 않고 패턴도 잘 바뀌지 않는 편”이라며 “익스플로잇은 25개 정도에 불과하지만, 탐지는 매우 어렵다. 가장 많이 사용되는 버퍼 오버플로우는 1960년대 메인프레임 시절부터 있었지만, 아직도 매우 위협적인 공격 기법”이라고 말했다.

그는 “트랩스는 공격에 가장 많이 사용되는 패턴을 분석해 악성코드가 설치되기 전 익스플로잇을 제거함으로써 선제방어가 가능하다”며 “트랩스는 팔로알토 보안 플랫폼에 통합되며, 트랩스에서 분석한 공격 정보를 다른 기능에도 전달해 유사한 패턴의 공격을 원천 차단한다”고 설명했다.

하워드 CSO는 “전 세계적으로 고도화된 사이버 공격이 심각한 위협을 주고 있는 것은 사실이지만, 위협을 과장하면서 보안 솔루션을 판매하려는 ‘공포마케팅’을 조성하는 것은 바람직하지 않다. 공격 라이프사이클에 맞는 선제방어를 기반으로 보안전략 혁신에 성공한다면 정보자산을 안전하게 보호할 수 있다”고 강조했다.