“실행파일 없는 공격, 패킷 분석으로 찾아내야”
상태바
“실행파일 없는 공격, 패킷 분석으로 찾아내야”
  • 김선애 기자
  • 승인 2016.05.25 09:29
  • 댓글 0
이 기사를 공유합니다

‘벡트라’ 국내 총판 오픈베이스, 풀 패킷 분석으로 지능적인 공격 방어…오탐 없는 공격 탐지로 관리 업무 줄여

지난해 세계적인 보안 기업 카스퍼스키랩의 내부 시스템을 노린 해킹 시도가 발견됐다. 이 공격은 2011년 이란 핵시설을 공격한 스턱스넷의 변종인 ‘두쿠(DuQu)’의 또 다른 변종인 ‘두쿠 2.0’으로 알려지며, 파일이 없이 공격이 진행됐다는 특징이 있다.

벡트라 국내 총판인 오픈베이스의 채현주 보안기술팀장은 “최근 사이버 공격은 실행파일 형태의 악성코드를 사용하지 않기 때문에 샌드박스 방식의 분석기술로는 탐지할 수 없다. 그래서 모든 패킷이나 로그를 분석하는 모니터링 시스템이 각광받는 것”이라며 “특히 실시간으로 흘러가는 패킷을 분석해 진행되고 있는 공격을 탐지하고 차단해야 한다. 벡트라가 그러한 기능을 제공하는 솔루션”이라고 말했다.

▲‘벡트라’ 공격유형 시각화 예시

보안 이베트와 자산의 연관성 보여줘 오탐 없는 공격 탐지

벡트라는 네트워크 내부에서 확산되는 공격을 찾아내는 모니터링 시스템으로, 내부에서 발생하는 비정상적인 행위나 외부로 향하는 의심스러운 통신을 찾아 경고한다. 모든 네트워크 패킷의 연계분석을 진행하고, 위협 수준을 점수화해 대응 우선순위를 알려준다.

기존의 모니터링 시스템은 오탐을 줄이기 어렵다는 한계가 있었다. 정상적인 원격제어 서비스까지 공격으로 탐지하는 등 수많은 보안 이벤트를 발생시켜 관리 어려움을 증가시킨다.

채 팀장은 벡트라가 스무고개와 같은 방식으로 공격을 탐지하기 때문에 정확하게 공격 이벤트만을 알려준다고 설명했다.

벡트라는 35가지 공격유형을 기준으로 유입되는 모든 패킷에 해당 유형이 있는지 확인하고 모두 만족했을 때 공격으로 차단한다. 공격이 진행되는 ‘취약점 탐색→침투→C&C 통신/페이로드→계정탈취, 중요정보 유출→내부 확산, 공격 지속’의 단계별로 발생하는 이벤트와 자산의 연관성을 보여줘 오탐 없이 실제 공격 위협을 알 수 있게 한다.

그러면서 동시에 벡트라는 구축된 사이트의 시스템을 학습해 상황과 사용자 행위를 학습해 공격과 유사한 행위가 발생했을 때 이벤트를 발생시킨다. 

채 팀장은 “한 유통기업에서 시범적으로 운영한 결과 2개월간 총 30개의 이벤트가 발생했고, 그 중 하나는 실제 APT 공격이었다”며 “관리해야 할 이벤트가 적어 관리자의 업무를 줄이면서 공격 탐지 효과를 높일 수 있다”고 말했다.

머신러닝은 시스템을 구축한 후 일정한 학습 기간이 필요하다. 벡트라는 학습에 필용한 기간 동안 본사에서 미리 분류한 악성행위를 기준으로 공격을 탐지하며, 시스템이 운영되면서 패킷 유형을 학습해 시스템 운영 시간이 지날수록 더욱 정확하게 공격을 찾아낸다.

“아크사이트·벡트라 연계해 공격 탐지율 높여”

한편 오픈베이스는 국내에 공급하고 있는 HPE의 SIEM 솔루션 ‘아크사이트’와 UBA 솔루션 ‘아크사이트 UBA’를 벡트라와 함께 공급해 공격 탐지 정확도를 높일 계획이라고 밝혔다. 시스템의 로그를 분석하는 아크사이트와 사용자 계정 기반으로 분석하는 아크사이트 UBA, 그리고 호스트와 패킷을 분석하는 벡트라를 연계해 공격이 시작되고 확장되는 과정, 공격이 진행된 후 침해대응에 이르는 넓은 범위의 대응이 가능하다고 강조한다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.