이 자리에서 첫 키노트 발표로 파이어아이코리아 윤삼수 전무(CTO)는 ‘침해대응 전문가들이 이야기하는 살아있는 인텔리전스’를 주제로 발표를 진행했다.
윤삼수 전무는 “이제 정보보안은 침해사고 현장에서 나오는 데이터와 그를 기반으로 한 인텔리전스 정보가 필수적”이라며 “알려지지 않은 공격, 눈에 보이지 않는 공격을 볼 수 있는 가시성을 높여야 한다. 즉 조직의 네트워크, 이메일, 엔드포인트, 모바일, 컨텐츠 등에서 위협 가시성을 확보해야 한다는 것이다. 이를 위해서는 네트워크 포렌식, 악성파일 포렌식, 보안관제, 분석관제시스템, 침해사고조사 능력이 필요하다. 또 이를 뒷받침할 수 있는 침해사고 조사 기법과 도구가 필요하다. 이런 도구를 가지고 현장에서 얻어낸 데이터와 경험을 갖고 있는 사람이 가장 중요하다”고 강조했다.
그렇다면 인텔리전스란 무엇일까. 윤 전무가 말하는 파이어아이의 인텔리전스는 “지금의 사이버공격들은 악성코드 하나 알고 C&C 하나 더 안다고 해서 해결할 수 없다. 사고가 발생하면 바로 정부나 큰 조직의 스폰서를 받으며 오랜 기간 작심하고 들어오는 타깃공격들에 대해 누가 어떤 목적으로 공격을 한 것이고 또 공격의 전술과 기법, 도구, 공격의 절차, 공격의 시점과 장소 등이 궁금하다. 인텔리전스 정보란 바로 이런 정보들을 담고 있어야 한다”고 정의했다.
▲K-ISI 2015
더불어 “파이어아이 인텔리전스는 오랜 기간 축적된 APT 공격 그룹들의 프로파일링에서 나온다. 전세계 900만개 파이어아이 센서가 동작하고 5억개 이상의 네트워크에서 위협들을 분석한 결과들과 연간 226건의 각종 침해사고 현장에서 분석된 정보들을 제공한다. 그룹별 공격자들의 전술과 기법, 공격 순서 등 실제 침해사고 현장에서 나오는 정보들이 파이어아이 인텔리전스의 핵심”이라고 설명했다.
파이어아이는 인텔리전스 센터를 운영하며 APT 공격자들이 어떻게 공격하고 활동하는지 분류해 온 것이다. 이를 통해 APT 공격자들이 주로 사용하는 공격툴과 기법 등을 정리해 제공하고 있다.
이번 발표에 따르면, 파이어아이 인텔리전스는 APT 그룹을 27개로 분류하고 있고 이외 북한을 포함한 미분류 그룹 300여개까지 정보를 수집하고 있으며 이들이 주요 타깃으로 하고 있는 산업군은 무엇인지까지 파악하고 있었다. 위 이미지는 공격 그룹별로 어떤 분야를 주로 타깃하고 있는지 분류한 내용이다. 공격자들은 에너지 절약 및 환경보호, 차세대 정보기술, 바이오 테크놀로지, 첨단 장비제조, 신 재생에너지, 신 소재, 신 에너지 자동차 등 다양한 산업군을 타깃으로 공격하고 있다는 것을 알 수 있다.
또 공격자들이 주로 사용하는 악성코드도 분류하고 있다. APT 공격 그룹별로 주로 사용하는 악성코드 패밀리 표를 만들어 어떤 그룹이 공격했는지 매칭시켜 나가는 것이다. 이런 인텔리전스 정보를 통해 유사한 공격이 조직 내에서 발견될 경우 미리 예방할 수 있는 방법을 수립할 수 있고 침해사고 이후에도 즉각적인 대응이 가능하게 되는 것이다.
이외에도 5년간 공격이 이루어졌던 영국 모 엔지니어링 회사의 침해사고 사례와 게임사, 카드사, 은행 등을 대상으로 한 APT 공격에 대해서도 어떤 절차와 방법으로 공격이 이루어졌는지 상세히 설명하는 시간도 가졌다.
또 윤 전무는 동시 전수 조사의 중요성에 대해서도 언급했다. 동시 전수 조사가 이루어져야 공격의 타임라인이 완성돼 최초 유입경로가 파악되고 침해지표(IOC), 호스트분석, 네트워크 분석, 로그분석(TAP), 악성코드 분석, 인텔리전스 분석 등을 통해 빠르고 완전한 대응이 가능할 수 있다는 것이다.
이번 파이어아이 윤삼수 전문의 K-ISI 2015(Korea Information Security Intelligence 2015) 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
