[2016년 정보보호 핫이슈 10] ⑦쫓고 쫓기는 공격-방어
상태바
[2016년 정보보호 핫이슈 10] ⑦쫓고 쫓기는 공격-방어
  • 김선애 기자
  • 승인 2016.02.09 08:29
  • 댓글 0
이 기사를 공유합니다

진화하는 공격자 뒤쫓기만 해서는 방어 못해…위협 인텔리전스 결합해 전방위 전략 마련해야

2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>

일방적으로 ‘창’에 유리한 사이버 보안 환경

사이버 공격과 보안은 ‘창’과 ‘방패’의 만남과 비교할 수 없다. 사이버 공간은 공격자에게 유리한 환경으로, 단 한번만 공격에 성공해도 이기는 싸움이기 때문이다.

공격 기술은 눈부시게 발전한다. 시그니처를 우회하고, 샌드박스를 무력화하며, 모니터링 시스템의 임계치 이하 공격으로 장기간에 걸쳐 은밀하게 정보를 빼간다. 내부의 권한 있는 직원을 이용하기도 하고, 사회공학적 기법을 이용해 악의를 갖고 있지 않은 사용자를 이용하기도 한다.

방어하는 입장에서는 가용한 예산의 한계를 고려해 보안 시스템을 정비해나가야 하며, 기존 IT 시스템과의 호환성 문제를 고려해야 한다. 보안정책을 지키지 않는 임직원을 통제하기에는 보안조직이 가진 권한이 낮아 한계가 있다. 복잡해지는 컴플라이언스와 낮은 전문성, 부족한 인력 등 수많은 현실적인 어려움을 해결하지 못하고 있는 상황이다.

늘어나는 공격위협…‘신뢰할 수 있는’ 환경은 없다

2016년 위협으로 예상되는 공격은 인터넷 익스플로러(IE) 구 버전에 대한 MS의 지원이 종료 이를 악용하는 공격이다. 웹, 이메일, SNS를 이용해 사용자를 속이는 공격, 많은 사용자들이 이용하는 소프트웨어의 취약점을 악용하는 공격 등이 지속적으로 성행할 전망이다.

소프트웨어 인증서를 조작하는 공격도 등장한다. 평판분석 기술을 탑재한 보안 솔루션은, 신뢰할 수 있는 소프트웨어 기업이 직접 발급한 인증서가 있으면, 이 인증서 정보를 위조해 가짜 인증서로 보안시스템을 통과시키도록 한다.

신뢰할 수 있는 애플리케이션을 이용하면 2차 타깃까지 공격 효과를 높일 수 있다. 웹사이트를 감염시켜 타깃 사용자 PC에 악성코드를 유포시키는 공격을 대표적인 예로 들 수 있는데, 신뢰할 수 있는 웹사이트를 이용하기 때문에 타깃 사용자 시스템에 더 효과적으로 접근할 수 있다.

OS와 응용 프로그램에서 진행되는 공격이 진화한 보안기술을 회피하기 위해 펌웨어와 하드웨어단을 공격하기 시작했다. 인텔시큐리티는 “모든 유형의 하드웨어 및 펌웨어에 대한 공격이 지속적으로 이뤄지고, 이러한 공격을 가능하게 해주는 툴 시장 역시 확장될 것이다. 시스템 펌웨어 루트킷을 통해 가상 머신이 공격의 표적이 될 수 있다”고 경고했다

보안 시스템의 우회공격도 심각하다. 시그니처와 샌드박스 우회공격은 이미 쉬운 기술로 꼽히고 있으며, 2015년에는 포렌식 조사까지 무력화하는 ‘고스트웨어(Ghostware)’도 등장했다. 고스트웨어는 흔적지표(IoC)를 삭제해 공격을 당했다는 사실을 인지하지 못하며, 안다 해도 피해 규모와 데이터 유실 규모를 알 수 없다.

보안기술도 차근차근 업그레이드

공격자에게 유리한 사이버 보안 환경이지만, 보안 기술도 한단계씩 업그레이드되면서 리스크를 완화할 수 있는 방법을 찾아가고 있다.

방어 기법 중 주목받는 것은 ‘인텔리전스’이다. 전 세계 위협정보를 공유해 새로운 공격에 즉시 대응하도록 함으로써 공격자의 공격 성공률을 크게 낮추는 것이다. 위협 정보는 단일 벤더 내에서 고객과 자사 연구소를 통해 이뤄지며, 경쟁사와 함께 위협정보를 수집해 인텔리전스를 배포하기도 하고 정부 및 정보기관과 공유해 침해사고에 전 사회적인 대응을 마련하도록 한다.

시그니처와 샌드박스 기술도 한층 더 발전시켜 우회공격을 차단하고, 빠르게 공격을 인지해 대응할 수 있도록 하고 있으며, 로그분석 시스템은 SIEM과 통합돼 전사 보안 가시성을 확보하며, 포렌식 기술을 이용해 정밀한 사고조사가 이뤄지도록 한다.

빅데이터 기술과 사용자 행위분석(UBA) 기술이 결합돼 공격 탐지 정확도를 높인다. 로그에 대해 머신러닝 기술을 이용해 사람의 개입 없이 자동으로 이상행위를 찾아낼 수 있도록 하며, 딥러닝 기술을 적용해 패턴 없이도 공격 정황을 감지할 수 있도록 한다. 이 기술은 사기탐지시스템(FDS)에 적용돼 금융사고를 막고, 내부정보/개인정보 유출사고를 차단하도록 할 수 있다.

보안관제와 침투테스트도 한 단계 더 진화하고 있다. 기존의 보안관제가 보안 시스템에서 발생하는 로그를 분석해 공격을 탐지했다면 차세대 보안관제는 모든 IT 시스템에서 발생하는 이벤트에 대한 상관관계 분석을 제공하고, 글로벌 위협 인텔리전스와 연동시켜 위협을 실시간으로 탐지한다. 모든 과정을 과정화해 사람의 개입 없이 공격에 대응할 수 있도록한다.

침투테스트에는 ‘게임화’가 적용돼 기업이 보안 취약점을 찾는다. 기업 환경과 똑같은 조건으로 구현된 가상환경에서 보안 관리자들이 직접 침투테스트를 진행해 자사 IT에 존재하는 취약점을 찾아 관리할 수 있도록 한다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.