지능형 사이버 공격 트렌드가 크게 달라지고 있다. 타깃에 맞춰 정교하게 제작된 악성코드를 이용하는 공격이 줄어들고 있으며, 대신 시스템이 가진 취약점을 노리는 공격이 늘어나고 있다.
DDoS 전문기업 아버네트웍스가 분석한 바에 따르면 지난해 발생한 대규모 공격은 7개 이상의 툴킷을 사용했으며, 이 중 절반 이하가 취약점을 이용한 공격이었다. 40%는 악성코드를 사용하지 않았으며, 20%가 DDoS 공격에 관여한 것으로 나타났다.
또한 사고를 조사하는데 3일 이상 걸린 기업이 60%에 이르렀으며, 공격이 기업 네트워크에 상주한 기간이 200일 이상이라는 분석 결과도 나왔다. 즉 공격은 장기간에 걸쳐 이뤄지며, 공격이 발견된 후 이를 분석해 대책을 마련하는데 며칠이 소요되는데, 이 기간은 공격자가 자신의 흔적을 지우고 빠져나가는데 충분한 시간이다.
김영찬 아버네트웍스 한국지사장은 “기존의 보안 솔루션으로는 현재 발생하는 지능형 공격을 막을 수 없다. 특히 악성코드 탐지에 치중한 선제방어 기술만으로는 다양한 우회공격을 차단하지 못하며, 과·오탐으로 인해 관리를 복잡하게 만든다”며 “이제 사이버 방어 전략은 침해대응을 병행해 진행 중인 공격을 빠르게 탐지하고 차단할 수 있도록 해야 한다”고 강조했다.
“사이버 방어, 침해대응 전략으로 전환”
지능형 방어를 위해 기업/기관이 구축하고 있는 샌드박스는 신종 악성코드를 찾아내는데 효과적이다. 그러나 최근 악성코드는 샌드박스를 우회하도록 설계돼 있어 공격 탐지율이 떨어지는 상황이다. SIEM은 패턴과 시나리오를 기반으로 공격을 탐지하기 때문에 임계치 이하의 공격을 찾아내지 못하며, 전통적인 방화벽, IPS/IDS는 신종공격을 차단하지 못한다.
김 지사장은 “현재 기업에 구축된 수많은 보안 솔루션은 지능화된 공격 대응에 분명한 한계를 보이고 있을 뿐 아니라 관리와 운영이 복잡해 관리조직의 업무를 증가시키고 있다”고 말했다.
아버네트웍스는 포렌식 기술 기반의 침해대응 솔루션 ‘스펙트럼(Arbor Spectrum)’을 지능형 공격 방어를 위한 새로운 대안으로 소개한다. 스펙트럼은 실시간에 가깝게 공격을 탐지해 지능형 공격의 확산을 방지하며, 전문지식이 없어도 쉽게 운영할 수 있다.
포렌식은 침해사고 조사에 사용되는 기술로, 시스템에 남아있는 침해흔적을 분석해 사고의 진행과정, 피해현황, 확산경로 등을 분석하고, 공격확산과 추가공격을 막도록 한다. 스펙트럼은 실시간 트래픽을 분석해 이상행위를 탐지하는 솔루션으로 경쟁 솔루션에 비해 빠르고 효율적으로 위협을 조사하고 증명할 수 있다는 점을 경쟁력으로 꼽는다.
김 지사장은 “기존 포렌식 장비는 침해사고 조사에 3일에서 일주일 정도 걸리지만, 스펙트럼은 7분 내에 탐지하고 조치할 수 있다. 트래픽의 해더만 저장하고 분석하기 때문에 실시간에 가까운 분석이 가능하며 풀 트래픽 저장을 위한 대용량 스토리지가 필요하지 않다”고 설명했다.
그는 “포렌식은 관리와 운영이 까다롭고 전문지식이 필요해 많은 기업에도 도입을 주저했지만, 스펙트럼은 초보자도 운영할 수 있을 만큼 쉽고 직관적이며 빠른 공격 탐지가 가능하다”며 “기업 내 구축하는 방식이나 보안관제, 클라우드 서비스 등 다양한 형태로 제공할 수 있다. 이 제품의 강점을 적극 알려 공공·금융·엔터프라이즈 시장으로 확장해 나갈 것”이라고 밝혔다.
