“‘시그니처’는 보안위협을 탐지하는데 가장 유용한 방법으로 꼽히지만, 시그니처에 등록되지 않은 새로운 보안위협이나 암호화된 트래픽, 난독화 형태의 소스코드에 포함된 공격은 탐지할 수 없다.”
김수영 인텔코리아 이사는 이같이 말하며 시그니처 없는 공격 방어 기술의 중요성을 역설했다. 그는 10일 서울 삼성동에서 열린 ‘제 15회 차세대 보안 비전(The Next Generation Next Security Vision) 2016’에서 ‘네트워크 시큐리티 플랫폼, 시그니처를 넘어선 공격 방어(There is life after Signatures)’ 주제로 통해 시그니처 없는 네트워크 보안 플랫폼의 기능을 상세하게 설명했다.
시그니처 방식은 알려지지 앟??공격과 우회공격에 취약한데, 예를 들어 ‘게임오버 제우스’ 악성코드의 경우, 탐지 우회를 위해 회피 가능한 콜백 기능을 탑재하고 있는데, 단명하는 도메인을 활용해 블랙리스트 기반 탐지 기술을 무력화한다. 시그니처 없는 탐지 기술을 사용하면 IPS 센서를 통해 의심스러운 도메인 이름의 활동을 검출하고, 도메인 제너레이션 알고리즘(DGA) 패턴에 대한 휴리스틱 분석과 전체 C&C 연결구조를 이해·차단하고, 봇넷에 연결하는 추가 엔드포인트를 식별·차단할 수 있다.
DoS/DDoS와 같이 정상 트래픽을 이용한 공격은 시그니처로 막을 수 없다. 디도스 공격을 위한 패킷 플러딩 툴인 더트 점퍼(Dirt Jumper)는 웹서버와 DB에 연결요청을 보내고, 웹서버가 응답하면 더트 점퍼가 접속을 해제하고 새로운 HTTP 요청을 DB 리소스에 보내는 방법으로 웹서버 사용률을 높여 웹 성능에 치명적인 문제를 일으킨다.
이 공격 역시 시그니처 기반 탐지로 해결할 수 없으며, HTTP 요청 수를 제한하고, 도전과 응답 패킷으로 유효한 브라우저를 확인해 통제한다.
클라우드·온프레미스 통합한 보안전략 제공
김수영 이사는 인텔시큐리티의 차세대 IPS ‘맥아피 NSP’를 소개하며, 시그니처 없는 탐지 아키텍처를 이용해 지능화되는 공격을 차단한다고 강조했다. 공격 행위와 평판 분석, 트래픽 분석을 통해 정교하고 은밀하게 진행되는 공격을 정확하게 차단한다고 설명했다.
NSP는 공격 행위 분석, 진화된 봇넷 탐지, 새로운 애플리케이션 인지·지원, 암호화 트래픽 가시성, 엔드포인트 인텔리전스 에이전트, 글로벌 위협정보 등을 통해 공격 차단 효과를 높인다. 특히 SSL 복호화, 엔드포인트·애플리케이션, 글로벌 우힙 정보, 파일·악성코드 분석 기술을 연계해 보안 가시성을 높일 수 있다.
이를 통해 이벤트가 발생하기 전 위협을 식별한다. IDC의 2015년 보고서에서는 맥아피 NSP를 통해 98%의 공격을 사전에 식별하고 차단할 수 있었던 것으로 분석하고 있다.
김수영 이사는 인텔시큐리티의 새로운 지능형 방어 패러다임 ‘위협 방어 라이프사이클: 탐지·교정을 통한 보호’ 전략을 소개했다. 이 전략은 클라우드·온프레미스 환경을 통합하는 중앙관리와 분석, 인텔리전스 서비스, 클라우드 가시성, 통제, 다양한 에코시스템, 적용 가능한 엔드포인트를 통합한 보안 시스템으로, 적은 리소스로 더 많은 위협을 해결할 수 있다.
특히 엔드포인트 보안 솔루션 ‘맥아피 엔드포인트 시큐리티 10.x’와 EDR 솔루션 ‘맥아피 액티브 리스폰스’를 통해 클라우드·온프레미스에서 사용자 보안위협 가시성을 확보하고 빠르게 대응할 수 있다.
김수영 이사는 “탐지와 교정을 통한 보호 전략은 인텔시큐리티의 차세대 지능형 방어 패러다임이다. 엔드포인트 보안, SIM, 글로벌 위협 인텔리전스, 데이터 프로텍션, IPS, 중앙화된 정책관리를 연계해 정교한 보안 위협을 차단할 수 있다”고 강조했다.
