"기존 악성코드는 이벤트 로그나 레지스터에 흔적을 남기곤 했다. 지금은 그런 게 전혀 없는, 교묘한 방식의 악성코드가 등장하고 있다. 백신은 이런 유형의 공격을 걸러내지 못한다. SK인포섹 침해사고대응팀은 사고 현장을 점검하면서 이런 악성코드들을 탐지해왔다."
SK인포섹이 침해사고 대응 전문 조직을 운영한 건 햇수로 7년째다. 이름 그대로 사이버 침해사고가 발생하면 현장을 점검하고, 해커의 접근 경로와 피해 범위를 도출한 뒤 재발 방지책을 제시해주는 업무를 수행하는 조직이다.
김성동 SK인포섹 침해사고대응팀장은 이 팀이 국내에서 발생한 대형 보안 사고들을 직접 분석하고 대응해온 전문가 조직이라는 점을 강조했다. 그러면서 그 동안 현장 분석을 통해 쌓아온 침해사고지표(IoC) 데이터가 고도화된 해킹을 방어할 수단이 될 것으로 전망했다.
이달 초 SK인포섹은 윈도 시스템 관리 도구인 액티브디렉토리(AD) 해킹 여부를 점검하는 무료 도구를 공개했다. AD 해킹은 자칫 내부망 시스템 전체를 해커에게 노출시킬 위험이 있다. SK인포섹의 무료 도구는 침해사고대응팀에서 수집해온 사고 분석 데이터를 활용해 위협을 사전 차단할 수 있도록 지원한 사례다.
SK인포섹은 또한, 백신 솔루션으로 탐지하지 못하는 최신 해킹 위협에 대응하는 탐지 도구도 상반기 내 공개할 예정이다. 단순히 고객사의 사이버보안 상황을 점검하는 조직에 그치지 않고, 수집한 데이터로 공공에 기여할 방안을 모색하겠다는 방침이다.
다음은 김성동 SK인포섹 팀장과의 일문일답.
-침해사고대응팀에서 수행하는 활동과 차별점은?
"SK인포섹에서 14년을 근무했다. 침해사고 대응 전문 조직이 수립됐을 때부터 참여해 7년째다. 팀장으로서는 4년차다. 침해사고 발생 시 현장 점검과 해킹 경로 분석, 피해 범위, 재발 방지책을 제시하는 팀이다. 사이버보안 분야의 '119' 같은 조직인 셈이다. 현재는 11명으로 구성돼 있고, 연 평균 60건의 침해사고를 분석한다. 고객사와 SK그룹사 뿐만 아니라, 연락해오는 비고객 회사에 대한 침해사고 분석도 수행한다.
사고 분석에 대한 노하우를 지녔다는 게 침해사고대응팀의 최대 장점이다. '엔케이스' 등 사이버 보안 포렌식 장비를 활용하고, 전문 인력도 갖추고 있어 법적 분쟁이 발생했을 때에도 내용을 증명할 수 있는 분석 역량을 갖추고 있다. 내부 관제를 통해 유입되는 악성코드들을 토대로 프로파일링도 하고 있다. 침해사고가 발생했을 때 프로파일링 데이터를 참고하면 해커의 목적 등 여러 가지 정보들도 함께 보인다. 침해사고 분석 및 대응 속도가 빨라지는 효과가 있다."
-침해사고 현장을 다니며 느낀 부분은?
"지능형지속위협(APT) 사고를 많이 경험했다. 3·20 사이버테러부터 암호화폐 거래소 해킹, AD 침해사고, 북한발 침해사고 등을 많이 다뤄왔다.
APT 공격이라는 건 정교하고 지속적인 행위다. 사전에 준비가 많이 된 상태로 수행된다. 현장을 분석해보면 최초 공격 시점이 몇 개월 전으로 나타난다. 보안에 투자를 많이 한 고객사도 있지만, 그럼에도 해커들이 내부 환경의 취약점을 정확히 찾아낸다. 표적이 된 기업을 공격하기 위해 장기간 연구한다는 뜻이다. 때문에 현장 점검을 수행하다 보면, 별거 아닌 보안 누수에도 주의를 기울여야 한다는 생각이 든다.
반면 기초적인 해킹 기법으로 발생한 침해사고도 의외로 많다. 방화벽이 열려 있다든지 하는 기초적인 보안 체계만 바로잡아도 전체 침해사고의 30% 정도를 막을 수 있다고 본다.
원격코드실행(RCE) 공격도 꾸준히 나타나고 있다. 관련 취약점을 활용하면 원격으로 내부 권한을 획득할 수 있는 특성 탓이다."
-침해사고 예방 활동을 시작한 이유와 향후 계획은?
"고객이 저희에게 도움을 요청하면 현장 분석을 수행한다. 침해사고가 발생한 시점을 알아봤더니, 평균적으로 고객사가 사고를 알아차리기까지 9개월이 걸렸다. 최근 5년간의 데이터를 분석한 결과다. 고객사들이 보다 빨리 위협을 인지할 필요가 있다고 봤다.
AD 해킹 여부 점검 도구를 배포한 것은 작년에 AD 사고가 많이 발생했기 때문이다. 올해는 지난 몇 년간의 침해사고에 대한 데이터베이스를 토대로 최신 해킹을 탐지할 수 있는 점검 도구를 제작해 대외에 공개할 방침이다. 요즘 악성코드 형식은 정상 실행파일 같은 형태를 띄고 있어 백신 솔루션을 사용해도 악성으로 분류되지 않는다. 이런 것들을 문자열 패턴 분석 등을 통해 현장 점검으로 찾아냈다. 상반기 내 출시할 계획을 갖고 있다."
-향후 적극적인 투자가 이뤄져야 할 기술 분야는 어떤 게 있나.
매니지드 탐지·대응(MDR) 역량을 키워야 한다. 세부적으로는 자동화·오케스트레이션(A&O)이 중요하다. 방화벽과 침입탐지시스템(IDS)을 통합적으로 관제할 수 있어야 한다. 여러 곳에서 이벤트 로그가 탐지되면 진짜 사이버위협일 가능성이 높아지는 식으로 분석해내고, 침해사고 위협 탐지 및 차단을 자동화하는 개념이다.
관련기사
- SK인포섹, AD 해킹 여부 무료 점검 지원2020.02.25
- "미쓰비시전기 정보 유출 배후는 한·일 노리는 해킹 조직 '틱'"2020.02.25
- SK인포섹-세이퍼존, 개인정보 보호 솔루션 사업 협력2020.02.25
- SK인포섹, 조직개편 단행…영업 역량 강화 목적2020.02.25
-SK인포섹 침해사고대응팀이 그리는 청사진은?
"국내 보안 사고 전반을 책임지고 있다는 마음을 갖고 있다. 최신 보안 트렌드 전달과 빠른 침해사고 대응이 중요한 부분이라고 본다. 이를 위해 팀원 모두 침해사고 분석 분야 최고의 전문가가 됐으면 하고, 장기적으로는 글로벌 보안 기업 파이어아이 자회사 맨디언트처럼 대규모의 침해사고 분석 조직을 만들고 싶다. 국내 뿐만 아니라 해외 침해사고를 분석해 업계에 한 획을 그을 수 있는 팀이 되길 바란다."