달라진 보안 패러다임..."공격 막겠다는 생각 버려라"

RSA2016 보안 컨퍼런스가 던진 메시지

인터넷입력 :2016/03/09 08:10

손경호 기자

"지난해와 비교하면 샌드박스를 강조하는 메시지는 거의 눈에 띄지 않는다. 글로벌 회사들은 웬만한 보안기능은 다 제공할 수 있다고 말하면서도 한편으로는 협업의 중요성을 강조한다."

전 세계 보안회사와 업계 관계자들이 한 자리에 모인 글로벌 보안 컨퍼런스 RSA2016에 참석한 국내 보안업계 관계자들의 총평이다.

RSA2016 전시장에서 가장 많이 눈에 띈 문구는 탐지(detect), 분석(analyze), 대응(repond)이다. 시만텍, 카스퍼스키랩 등은 물론 행사를 주최한 RSA, 파이어아이, 블루코트, 마이크로소프트까지 이러한 세 가지 분야에서 원스톱 솔루션을 갖고 있다고 말한다.

지난해까지는 그동안 발견되지 않았던 정체모를 지능형 공격에 대응하기 위해 유입되는 트래픽을 가상환경에서 미리 직접 실행해보고 이상여부를 탐지해 차단하는 조치가 중요하게 언급됐다.

반면 올해는 샌드박스는 물론 모든 수단과 방법을 동원해도 어떤 식으로 공격이 뚫고 들어올 수 없다는 한계에서부터 새롭게 보안을 출발시켜야한다는 메시지가 강했다. 얼마나 잘 탐지해낼 수 있는가보다 공격이 들어왔을 때 빠르게 대응해 피해를 최소화하고, 정상화시킬 수 있는가에 초점을 맞추고 있는 것이다.

■100% 막기 어려워, 엔드포인트 대응 중요성 강조

이를 위한 해법으로 주목받고 있는 것이 엔드포인트 탐지 및 대응(EDR)이라고 불리는 솔루션이다. 파이어아이는 물론 RSA, 카본블랙, 시만텍 등 회사가 EDR의 중요성에 대해 지속적으로 강조하고 있다.

지능형 공격에 대응이 주목받기 시작한 시점에서 가장 핫한 기업으로 꼽혔던 곳은 파이어아이다. 자체 개발한 가상엔진인 MVX를 활용해 샌드박스 기반 지능형 공격 탐지, 대응에 집중했던 이 회사는 2014년 침해사고대응 전문회사인 맨디언트를 인수한데 이어 최근 아이사이트 파트너스, 인보타스 인터내셔널을 차례로 인수했다.

아직 인수가 마무리되기 전 RSA2016 전시장에서 별도 부스를 차리기도 했던 아이사이트는 산업별 서로 다른 인텔리전스가 필요하다는 점을 강조했다. 신용카드사인 비자와 협력해 '비자 위협 인텔리전스'를 구축하게 된 것도 이러한 노력의 하나다.

보다 주목할만한 곳은 인보타스다. 보안 자동화 및 통합 기술을 제공하는 이 회사는 '시큐리티 오케스트레이터'를 활용해 단순한 위협 탐지를 넘어서 기업 내 보안관리팀이 빠르게 자사 내 보안정책에 따라 공격에 대응할 수 있게 한다. 파이어아이가 이전까지 샌드박스를 강조했던 것과 사뭇 달라진 모습이다.

대응의 중요성을 강조하는 것은 다른 회사도 마찬가지다. 시만텍은 지난해 말 출시한 어드밴스드쓰렛인텔리전스(ATP)라는 통합보안솔루션을 통해 보안관리자들이 엔드포인트, 네트워크, 이메일에서 발생하는 보안위협을 이전보다 손쉽게 중요도에 따라ㅁㅁㅁ 분류하고, 상관관계를 분석, 위험도가 높은 이벤트를 우선적으로 처리할 수 있게 했다.

그동안 네트워크 트래픽에 대한 분석, 각종 보안장비에서 나오는 로그분석을 통한 대응을 강조해 왔던 RSA도 아미트 요란 대표가 기조연설에서 직접 자사 EDR인 'RSA ECAT'을 소개하면서 엔드포인트 단에서 대응이 중요해져다는 점을 강조했다.

이전까지 EDR로 가장 많은 주목을 받았던 회사 중 하나는 카본블랙이다. 이 회사는 오픈API를 제공해 IBM 큐레이더, RSA 시큐리티어낼리틱스, 스플렁크, HP 아크사이트 등 보안이벤트정보관리(SIEM) 솔루션과 함께 네트워크 기반 보안장비, 각종 보안분석툴로부터 정보를 수집해 상관과계를 분석해 각종 위협에 대응한다. 네트워크액세스컨트롤(NAC) 전문회사인 포어스카우트 역시 오픈API를 활용, 클라우드패브릭 아키텍처라는 플랫폼을 통해 카본블랙과 유사한 콘셉트의 보안서비스를 제공한다.

파이어아이 코리아 김현준 상무에 따르면 새로운 보안 위협을 효율적으로 탐지, 차단, 분석, 대응하기 위해서 모든 정보를 플랫폼에 접목시켜 상호연관관계를 분석할 수 있는 체계가 필요하다. 이를 위해 "위협 인텔리전스에 머신러닝 기법을 도입하는 것과 함께 보안전문가가 제공하는 위협정보 등을 결합해 대응속도를 높여야한다는 것이 RSA2016이 제시한 보안 트렌드라고 본다"고 그는 설명했다.

■따로 또 같이, 협업해야 막는다

RSA2016에서 EDR을 통한 대응과 함께 강조된 또 다른 메시지는 협업이다. 크리스 영 인텔시큐리티 수석 부사장은 시만텍, 포티넷, 팔로알토네트웍스 등 글로벌 보안회사들이 참여하고 있는 위협 인텔리전스 정보 공유 플랫폼인 '사이버쓰렛얼라이언스(CTA)'에 여러 보안회사들이 함께 해 줄 것을 독려했다.

CTA는 글로벌 보안회사들이 수집한 악성코드 샘플, 새로운 C&C서버 등을 공유하는 플랫폼으로 고급정보를 서로 주고받기 위해 바이러스토털에 조회되지 않은 악성코드 샘플을 매일 최소 1천개 이상 공유해야하는 등 까다로운 조건을 내걸고 있다.

한편으로 보안위험도를 측정하는 침해흔적지표(IOC)를 공유하려는 움직임도 새로운 트렌드다. IOC는 시스템이나 네트워크 상에서 로그, 파일 등을 분석해 악성행위로 의심되는 정도를 일종의 지표로 나타내는 것을 말한다.

관련기사

컨퍼런스 현장에서 만난 김동욱 엔큐리티 대표는 "미국 국무성이 제안한 STIX, 파이어아이가 인수한 맨디언트가 내세운 오픈IOC 등이 모두 위협정보를 공유하기 위한 표준 프레임워크"라고 설명했다.

EMC RSA 보안사업본부 정정화 차장은 "기존 샌드박스 중심에서 EDR이 중요해지고 있는 추세"라며 "어떤 파일이 정상적인 프로세스에서 벗어난 행동을 하는지를 점검하고 이러한 정보들을 여러 보안회사들끼리 공유하는 방식으로 협업하고 있다"고 밝혔다. RSA의 경우 웹 기반으로 제공되는 위협 인텔리전스 정보 수집 플랫폼인 '라이브(LIVE)'를 활용한다.