“APT 공격 90%가 이메일을 활용한다. 하지만 악성코드 담은 이메일을 보면 아무 생각없이 열 수밖에 없게 된다. 나조차도 이메일 안 열 자신이 없다.”
남현우 이글루시큐리티 인터넷보안연구소 소장은 19일 서울 삼성동 코엑스 그랜드볼룸에서 열린 지디넷코리아 개최 ‘시큐리니 넥스트 컨퍼런스’에서 이같이 말했다.
그는 악성코드 유포 채널로 이메일이 주로 활용되고 있으며, 솔루션과 제한된 보안 인력으로 이를 막는 건 사실상 불가능하다고 지적했다.
그는 한국수력원자력의 피해사례를 예로 들었다.
공격자는 당시 한수원 퇴직자와 협력업체 이메일ID를 대량으로 확보하고, 기관 직원이 자주 방문하는 웹 URL를 수집했으며, 백신탐지 여부를 점검하고 악성문서를 제작해 배포했다.
직원 대다수가 퇴작자를 포함한 211개 이메일 계정에서 메일을 받아 자연스레 메일을 열게 만들었다. 사용된 취약점은 HWP 문서 파일이었다.
이글루시큐리티는 이메일에 집중한 APT 솔루션 ‘이스코트’를 개발했다. 이스코트는 지능형 침투 공격을 길목에서 차단해 감염자체를 막는 솔루션이다.
그는 “이스코트의 핵심기능은 안티익스플로잇으로, 이메일이 들어오면 첨부파일과 링크를 떼어내 분석하고, 악성코드를 탐지하면 파일을 제거한다”며 “취약점 공격 행위 탐지 차단 기능은 MS 윈도 시스템폴더 dll 파일에서 행위를 탐지한다”고 설명했다.
그는 “아래아한글 속에서 움직이는 모든 코드 움직임을 추적할 수 있다”며 “행위 기반이나 백신으로 잘 탐지하지 못하는 코드나 샌드박스를 우회하는 코드도 잘 찾아낸다”고 덧붙였다.
그는 솔루션과 함께 빅데이터 분석 기술에 기반한 차세대 보안 관제 시스템 도입을 조언했다.
남 소장은 “이스코트가 최신 기술을 다 활용하지만 공격 100%를 막는다고 자신 못한다”며 “결국 사람이 해결해야 한다”고 말했다 .
관련기사
- 암호화를 넘어 키관리 주목해야 하는 이유2015.08.19
- 케이블방송사가 보안 혁신 나선 이유2015.08.19
- "사이버 보안 중심, 운영에서 분석으로"2015.08.19
- 삼성전자, 녹스 파트너 생태계 확키운다2015.08.19
그는 이글루시큐리티의 차세대 보안관제 시스템을 소개하고, 기술, 인력, 경험 등을 보유한 전문회사의 도움을 받으라고 강조했다.
그는 “이글루시큐리티의 차세대 보안관제시스템을 활용하면 단순관제인력을 줄일 수 있다”며 “단순 모니터링 인력을 줄이는 대신, 분석전문가 채용을 늘리라”고 말했다.