지난해까지 약 2년 간 국내외에서는 알려지지 않은 보안위협에 어떻게 대응할 것인가를 놓고 치열한 고민이 이어졌다. 현재로서는 보안업계에서 제시한 여러 기법들 중 지능형 공격을 막기 위한 해법은 샌드박스, 행위기반 탐지 기술로 수렴되는 분위기다.
이메일이나 각종 웹사이트를 통해 사용자 PC에 다운로드 되는 파일을 네트워크에 맞물린 가상화 장비 위에서 미리 실행해 보고 문제가 없을 때만 유입될 수 있도록 하는 샌드박스 기법이 첫번째다. 각종 파일이나 유입된 트래픽이 내부에서 접근이 허락되지 않은 시스템단에 접근하거나 레지스트리를 변경하는 것을 모니터링해 차단하는 것이 행위기반 탐지다.
문제는 샌드박스, 행위기반 탐지 기술을 모두 활용한다고 해도 여전히 공격을 100% 막을 수 있다고 장담하기 어렵다는 점이다. 실제로 국내외에서 발생하는 보안사고들이 여전히 알려지지 않은 보안취약점을 악용해 공격에 성공하고 있다.
19년째 웹보안에 대한 전문성을 쌓아온 블루코트는 최근 들어 암호화된 트래픽을 깊이 있게 볼 필요가 있다고 강조하고 있다. 보안성이 날로 중요해지면서 SSL로 암호화된 상태로 네트워크를 오가는 패킷 내부까지 모두 분석할 수 있어야 한다는 것이다. 이 회사는 2013년에 솔레라네트웍스, 네트로놈 등 관련 회사를 인수하면서 기술 기반을 마련했다.
암호화된 트래픽은 정보를 보호하기 위한 수단으로서 뿐만 아니라 공격자들이 보안장비의 탐지를 피하기 위한 수단으로도 악용되고 있는 실정이다.
블루코트 연구소에 따르면 악성코드가 공격자들이 원격에서 감염PC를 조종하거나 정보를 유출시키기 위해 악용하는 C&C서버에 SSL로 암호화된 트래픽을 전송하는 비율이 일주일 당 10만건에 달한다.
방어하는 입장에서 공격자를 추적하기가 더 어려워 진 것이다. 암호화된 트래픽에 숨어서 전 세계 유명 기업들의 주민번호, 은행계좌, 건강정보, 지적재산 등을 노리는 악성코드인 '다이어(Dyre)'가 사례 중 하나다.
연구조사기관 NSS랩에 따르면 데이터 보안, 프라이버시 보호, 각종 컴플라이언스에 대응하기 위해 전 세계에서 발생하는 네트워크 트래픽의 25%~35%가 암호화 기술을 적용하고 있는 것으로 집계됐다. 가트너는 앞으로 매년 20% 가량 암호화 트래픽이 증가하는 추세일 것으로 전망했다.
블루코트코리아 최장락 기술부장은 공격자들이 암호화된 트래픽이 악성코드를 숨기고 있기 때문에 이를 복호화해서 모니터링하는 기능은 앞으로 더 중요해질 것이라고 밝혔다.
암호화 트래픽에 대한 정밀 분석에서 확장하면 전체 네트워크에 대한 세밀한 분석이 더욱 중요해진다. 기존 샌드박스, 행위기반 탐지기술은 외부에서 유입된 실행파일, 시스템파일, 문서파일 등 파일자체에 대한 행위분석이 주를 이뤘다면 보다 종합적인 분석을 위해서는 기존 방화벽, IPS, 샌드박스 및 행위기반 탐지기술이 적용된 장비를 통해 나온 전후 트래픽에 대한 범죄수사 수준의 모니터링 및 분석이 필요해진다.
관련기사
- 블루코트, 5단계 지능형 보안위협 방어 전략 공개2015.01.29
- 암호화된 트래픽 관리 어떻게 하나2015.01.29
- 효율적 보안 위해 네트워크 포렌식 주목해야2015.01.29
- KITRI-블루코트, 사이버 포렌식 전문가 과정 개설2015.01.29
블루코트는 노먼샤크(샌드박스), 솔레라네트웍스(네트워크포렌식), 네트로놈(암호화 트래픽 분석) 등을 인수하면서 '시큐리티 어낼리틱스 플랫폼'을 내세우고 있다. 이전까지 크게 강조되지 않았던 암호화 트래픽, 네트워크 포렌식을 강화한 것이 특징이다.
앞으로는 알려지지 않은 위협에 대한 대응법에 고심하던 것에서 벗어나 분석, 탐지, 대응이라는 일련의 과정을 얼마나 정교하게 할 수 있는가가 기술력을 평가하는 주요 잣대가 될 것으로 전망된다.