복잡해진 사이버 보안 위협에 대응하려면 기업 보안 인력의 역할이 기존 운영자 성격보다는 분석가 역할에 가까워져야 한다는 진단이 나왔다.
서종렬 블루코트코리아 상무는 19일 오후 서울 삼성동 코엑스 시큐리티넥스트컨퍼런스(SNC) 현장에서 '진화하는 보안 위협에 대한 기업의 현실적인 대응 방안'이라는 주제의 강연을 진행하며 이같이 말했다.
서 상무는 "아무리 최첨단 기술과 방법이 사이버 보안 위협 방어 전략에 도입됐다하더라도 이를 운영하기 위한 인력과 시스템상에 투자하고 능력을 갖추는 게 중요하다"며 "새로운 형태의 공격에 대응하려면 많은 보안 인력을 분석가로 전환해야 한다"고 말했다.
그의 강연은 '지능화 공격'이라는 이름으로 진화하는 사이버 침해 양상에 기업들이 대응할만한 방향과 해법을 제시하는 내용이었다. 최우선 사항은 지능화 공격에 수반되는 접속이나 트래픽의 정상 여부나 정보유출이 발생한 상태를 어떻게 알아차릴 것인지에 맞춰졌다.
지능화 공격은 기업 밖에서 기존 시그니처로 탐지 불가능한 유해 첨부파일, URL과 메일 필터를 회피한 침투, 표적의 환경을 꿰뚫는 잠복 행동 등 양상과 기업 안에서 실시간 내부 정보 관리 및 상황파악의 어려움, 의심 서버 통신에 대한 실시간 대응의 어려움, 외부 통신 절반 비중을 차지하는 SSL을 보안 장비가 못 보는 현실 등이 맞물려 벌어진다.
이런 지능화 공격에 대응하려면 우선 암호화 트래픽 가시성을 확보하고 기존 보안시스템 연계, 모든 접근지점 및 사용자들의 보안, 확장성 및 성능 향상까지 고려해야 하고 지능화 공격 대응에 필요한 방어 유형 5가지를 활용해야 한다. 가트너의 보고서에 따르면 지능화 공격 대응을 위한 방어 유형은 네트워크트래픽분석, 네트워크포렌식, 페이로드분석, 엔드포인트행위분석, 엔드포인트포렌식 등이다.
또 국가, 사이버범죄자, 해커, 내부비리 등 공격자 정보와 신규 악성코드, 제로데이 공격, 표적공격, 최신기술 등 APT 공격의 기반 정보를 바탕으로 실시간 방어 및 사후 대책을 구현해야 한다. 이를 위해선 알려진 위협을 제거하고 알려지지 않은 악성코드를 실제 환경에 가까운 곳에서 실행해 그 행동을 재현해 본 다음 결과에 따라 거기 접근된 단말을 처리하고 경계 정책을 변경해야 한다.
블루코트가 제안하는 심층적인 방어 전략도 이런 절차로 요약된다. 위협 탐지, 보안정책 적용을 통한 차단, 알려지지 않은 악성코드 분석, 상관관계 파악을 통해 공격 근원을 검증, 검증된 정보를 다시 차단정책에 적용하는 순서다. 서 상무는 이런 전략을 실현하기 위한 모델로 블루코트의 '다계층 보안라이프사이클 방어체계'를 소개했다.
블루코트는 지능화 공격에 대응할 수 있는 글로벌인텔리전스네트워크(GIN) 기반의 위협데이터베이스를 구축하고 있다. 세계 50개국 이상 7천500만사용자 기반의 평가를 받고, 99.9% 정확성으로 일일 10억개 요청건 중 330만건 차단 조치 및 복합 분류를 수행하며, 50개 이상 언어에 대응하고 실시간 분석 대상 86가지 분류를 담고 있다.
블루코트는 위협데이터베이스를 통해 알려지지 않았던 위협을 자동 차단한다. 지난 2012년 12월 17일 신규 등록된 악성코드 배포 서버를 자동 차단, 분류했고 2013년 8월 23일 iframe 인젝션을 악용한 공격이 시작됐을 때 이미 GIN에서 차단 중이던 대상의 연관 도메인을 추가하고 있었다. 이후 며칠에 걸친 백신 업체의 악성코드로 등록보다 이른 대응이었다.
위협데이터베이스는 기업들에게 요구되는 기술적인 안전관리 조치와 연계돼 최신화된다. 기업들에게 요구되는 안전관리 조치란 고위험SSL 통신 시각화, 웹프록시와 이메일 필터에서의 고위험 웹 및 메일 대화 필터링, 엔드포인트에서의 네트워크트래픽 모니터링과 감사, 하이브리드샌드박스를 통한 미지의 위협 행동 분석 등이다.
서 상무는 자사 ATD솔루션 소개 장표를 통해 블루코트가 각각의 기술적인 안전관리 조치에 필요한 기능을 제공한다고 언급했다. 어플라이언스를 통한 SSL가시성 제공, 프록시SG 메일위협방어 등 보안대책, 맬웨어분석시스템을 통한 악성프로그램 위험 분석, 보안분석플랫폼을 통한 위협 정보 모니터링 등이 가능하다는 설명이다.
암호화 통신에 가시성을 제공하는 솔루션은 'SSL VA'다. 네트워크 환경 및 포트 변경 없이 SSL트래픽을 정책기반으로 관리하며 HTTPS 이외의 SSL통신 유형을 지원한다. 블루코트 GIN을 활용한 호스트 분류가 가능하다. 단일 장비로 IPS, NGFW, 샌드박스, APM 등에 복호화 기능을 제공한다.
관련기사
- 지인소프트, PC취약점 진단 솔루션 '컴보이' 선봬2015.08.19
- 삼성전자, 녹스 파트너 생태계 확키운다2015.08.19
- "사이버 보안, 청와대가 직접 챙긴다"2015.08.19
- "기업 보안 경쟁력 강화, 우선순위부터 정해야"2015.08.19
최신 악성 위험을 분석하는 솔루션은 'MAA'다. 맞춤형 연계를 위한 API와 고객운영프로그램 설치를 통해 국내 고객환경에 맞는 커스터마이징 환경을 제공한다. 분석 환경을 생성하기 위해 동시에 55개 VM 동작을 수행할 수 있다. 뷰어가 아닌 실제 프로그램을 동작시켜 미 탐지 건을 최소화한다.
보안 위협 정보를 모니터링하는 솔루션은 'SA'다. 통합UI로 분석이 편리하며 블루코트의 위협데이터베이스와 샌드박스를 연계 운영함으로써 보안 위협 가시성을 제공한다. 침입 경로와 영향 파악을 위한 연관 관계 분석, 타 보안 장비와 연동 또는 타 솔루션과 API 연계를 통한 협업 분석을 지원한다.