“보안은 훌륭한 제품 하나로 끝나지 않는다. 공격자가 고도화되고, 지속적이고 조직화된 만큼 보안 담당자도 그 이상으로 고도화되고, 지속적이며 조직화해 능동적으로 방어할 수 있어야 한다.”
한국IBM 김승준 차장은 27일 서울 잠실 롯데호텔에서 열린 '시큐리티 넥스트 컨퍼런스(SNC) 2015'에서 이같이 밝혔다.
그는 “기업 안에 많은 보안 제품이 깔려 있지만, 보안담당자는 가시적으로 보안 사고가 어떻게 일어나는 지 알 방법이 없다”며 “전략적 접근으로 글로벌하게 보안 사고 정보를 수집하고, 회사 내부의 보안 사고 정보를 수집해 상호 분석한 뒤 이를 바탕으로 효율적으로 대처해야 한다”고 말했다.
그는 “IBM은 이를 위해 신(新) 보안 병법을 제안하고 있다”며 “침투, 유입, 확장, 정보수집, 데이터 전송 순으로 이뤄지는 공격에 대해 차단, 탐지, 대응 등의 3단 전략을 활용해야 한다”고 덧붙였다.
최근 기업을 대상으로 한 보안 위협은 매우 지능적이다. 아무리 방비를 잘 해놓는다고 해도 공격자는 다양한 수법을 동원해 정보를 빼내려 한다. 특정 보안 제품 하나를 도입한다고 해서 방어를 완벽히 할 수 없는 상황에서, 보안 담당자는 회사를 둘러싼 여러 보안 위협을 가시적으로 인지하고 판단해 즉각 대응할 수 있어야 한다.
IBM이 제안하는 보안병법은 ▲선제적 차단 ▲지능형 위협정보 분석 ▲지속적 대응 ▲ 개방형 통합 ▲글로벌 위협 정보 등으로 구성된다.
차단 측면에선 다계층 탐지 차단 전략을 쓴다. 네트워크 단과 엔드포인트 단에서 보안 위협을 차단한다. 취약점을 이용한 변종 공격을 네트워크 프로토콜 상태 점검하고, 악성코드 설치를 방지한다. SSL검사로 은닉된 악성행위 차단하고, 통제 채널을 차단하는 등 외부 통신 시도 채널 자체를 차단한다.
악성코드 침투와 악성 통신을 격리하는 것. 여기에 사용자의 비업무 웹사이트 접근을 제한하고, 특정 애플리케이션 오용을 ID 기반으로 방지한다.
위협분석 탐지 전략은 기업 내부 자산을 목록화 하는 것으로 이뤄진다. 자산 정보를 바탕으로 IPS 룰을 설정함으로써 실제 자산의 취약점을 보완하는 룰을 적용하게 된다.
김 차장은 “리소스를 줄이고 성능도 향상되는 효과를 거둘 수 잇다”며 “추가적으로 관제도 하고 있다면 IPS의 오탐비율을 줄이고 인력 투여 비용을 상대적으로 절감할 수 있다”고 말했다.
내부 인프라서 발생하는 로그정보, 보안 이벤트, 네트워크 플로, 데이터 플로, 애플리케이션 행위 패턴 등을 분석해 비정상적 행위를 감지하고 이를 다시 첫 전략단계인 탐지차단솔루션에게 알려준다.
지속적 대응 전략으론 실제로 일어난 사고에 대해 빠르게 대응할 수 있도록 하는 것이다. 탐지, 차단 등으로 대비해도 사고가 일어날 수 있으니, 사고 정황과 수법 등을 세밀하게 분석해 대응책을 마련하자는 내용이다.
관련기사
- 효율적 보안 위해 네트워크 포렌식 주목해야2014.11.27
- "지키기 힘든 보안 정책, 아직도 많다"2014.11.27
- 차세대 보안, 솔루션 넘어 플랫폼으로 진화2014.11.27
- "금융보안, IT조직과 현업간 협업이 핵심"2014.11.27
김 차장은 “여기에 IBM은 글로벌하게 8만개 이상의 취약점 목록과 200억개 이상의 URL DB를 1억개 이상의 엔드포인트에서 매일 수집 분석한다”며 “외국에서 한국을 공격할 때 국내에 국한된 보안정보로 막기 한계 있다”고 말했다.
그는 이어 ‘신변종이 계속 나오는 상황에서 이미 구축된 보안 인프라 간 통합과 연합도 중요하다”며 “보안 솔루션과 연동해 데이터를 수집하고 분석할 수 있는 API를 제공하고 있다”고 덧붙였다.