“기존의 방어 전략은 기존의 IT통제 경계보안의 예방중심 전략에서 사용자 중심의 탈 경계보안으로 전환돼야 한다. 그 핵심은 ‘인텔리전스 드리븐(Intelligence-Driven)’이다.”
최진영 파로스네트웍스 팀장은 사이버 보안 패러다임 전환 시대에 대응하기 위한 전략으로 ‘인텔리전스’가 중심이 된 사용자 중심 보안 전략을 강조했다.
10일 서울 삼성동에서 열린 ‘제 15회 차세대 보안 비전(The Next Generation Next Security Vision) 2016’에서 최진영 팀장은 ‘효율적인 지능형 지속위협 대응방안’이라는 주제의 발표를 통해 “지능형 지속위협에 효율적으로 대응하기 위한 새로운 접근이 요구된다”고 설명했다.
그는 “기업/기관의 보안인식이 향상되고 새로운 제품 및 서비스에 대한 투자가 증가하고 있으며, 우수인력이 협력해 지능형 공격에 대응하고 있다. 그러나 빠르게 변하는 공격 전략과 비교해 본다면, 보안 업계는 사이버 공격자에 뒤쳐지지 않기 위해 고심하고 있을 뿐”이라고 지적했다.
현재 기업/기관의 정보보안 전략은 예방·탐지 80%, 모니터링 15%, 대응 5% 비중으로 리소스를 투입하면서 공격에 대한 선제방어를 강조하고 있다. 그러나 사이버 공격이 지능화되는 상황에서 완벽한 예방은 불가능하며, 이미 침투한 공격을 탐지하고 피해 확산을 차단해야 하는 전략이 필수적으로 요구된다. 즉 예방·탐지와 모니터링, 대응에 균등한 리소스를 투입해 대응해야 한다는 뜻이다.
최 팀장은 EMC RSA 보안사업부에서 강조하는 ‘인텔리전스 드리븐 보안’ 전략을 소개하면서 ▲가시성: 사건에 대한 데이터 수집 ▲분석: 공격자의 TTP(Tactics, Techniques, Procedures) 운영방법 파악 ▲액션: 적극적인 사고 대응과 손실을 최소화 할 수 있는 조치 등이 필요하다고 강조했다.
최근 공격자들은 정상적인 업무와 프로세스, 익명의 네트워크를 이용해 방어 시스템을 무력화하며, 침해 흔적을 지우면서 지능적으로 공격을 진행해나간다. 특히 내부 트래픽을 통해서도 공격을 진행하기 때문에 경계보안 뿐 아니라 내부 보안도 중요하다.
침해 흔적을 통해 공격을 탐지하기 위해서는 내외부의 비정상적인 통신을 분석하고, 특정 계정의 이상행위 분석, 위협 국가로부터의 접근 차단, 위험한 로그인 행위 차단, 비정상적으로 증가하는 DB 통신량 분석, 동일 파일에 대한 지속적인 요청 분석 등이 필요하다.
이를 위해 인력, 프로세스, 시스템의 3티어 조직을 구성해야 하며, ▲인력: 티어링 조직을 구성해 포렌식 솔루션에서 발생된 경고를 모니터링하고, 각 레벨에 맞는 인시던트 분석 프로세스 정립 ▲프로세스: 인시던트 정보에 대한 표준화와 유형별 대응 절차 마련 ▲시스템: 인시던트 정보, 대응 상황, 대응 결과에 대한 정보를 관리할 수 있는 시스템 개발 등이 필요하다.
최 팀장은 “공격자가 어떻게 목표 대상을 공략하고 정보를 획득하는지 면밀하게 분석하고, 대응할 수 있는 방법이 필수적으로 요구된다. 이를 위해서는 ‘보안 인텔리전스’에 기반한 예방·탐지·대응 전략을 마련해야 한다”며 “EMC RSA는 인력과 프로세스, 시스템을 체계화해 지능형 지속위협 공격에 효율적으로 대응할 수 있게 한다”고 설명했다.
