2020-02-20 19:15 (목)
“사이버 공격자와 방어자의 불공정한 배틀구조 끊어야”
상태바
“사이버 공격자와 방어자의 불공정한 배틀구조 끊어야”
  • 길민권
  • 승인 2015.09.22 17:18
이 기사를 공유합니다

권석철 대표 “방어 기술에 대한 근본적인 변화 필요하고 실현 가능해”
“방송사, 은행, 한수원, 소니 등 대형 해킹 사고는 결국 엔드포인트 공격에서 시작된 사건들이다. 엔드포인트 보안 사고는 개인에서 기업과 국가 전체로 연쇄적 위험성으로 증대된다. 범인도 모르고 우리는 당하고 있다. 북한이라는 발표는 있었지만 정확한 증거는 없다. 어떻게 공격했는지도 정확하지 않다. 추측만 난무한다. 문제는 바로 실시간 탐지가 안됐기 때문이다. 우리는 실시간 탐지에 집중해 왔다. 그 결과물이 큐브피아의 ‘KWON-GA(권가)’라고 할 수 있다.”
 
지난 15일 데일리시큐에서 주최한 ‘대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2015’에서 권석철 큐브피아 대표는 ‘실시간 탐지 및 추적을 통한 보안강화 방안’이란 주제로 발표를 진행했다.
 
권석철 대표(사진)는 “실시간 추적이 안됐기 때문에 정확한 분석과 공격자를 단정할 수 없는 것이다. 우리는 현재 대부분 사고가 발생한 후에 분석에 매달린다. 하지만 명확한 결론을 내기는 힘들다. 사전 방어도 힘들다. 웹, 서버, 네트워크 내부시스템, 모바일 등 공격 루트는 너무도 다양하고 제로데이 취약점은 새롭게 발견되고 있다. 공격자는 항상 유리한 위치에 있다. 그들은 항상 웃고 우리는 항상 불안에 떨고 있다. 이러한 불균형을 해소할 방법을 찾는데 집중해야 한다”고 말하며 공격자가 항상 앞서가는 공격과 방어의 불균형을 지적했다.
 
또 권 대표는 “보안취약점은 모든 소프트웨어와 애플리케이션에 존재한다. 공격자는 이들이 취약점을 찾아내 끊임없이 공격한다. 최근에는 보안솔루션도 공격의 타깃이 되고 있다. 자기방어가 약한 것이다. 방화벽과 안티바이러스 솔루션들도 분석해 취약점을 찾아내 공격에 이용하고 있는 실정”이라며 “공격자가 항상 앞서는 구조로는 현재의 문제를 극복할 수 없다. 방어 기술에 대한 근본적인 변화가 필요하다. 악순환의 고리를 끊어야 한다. 기존과 다른 보다 적극적인 보안대책이 필요하다”고 강조했다.
 
이러한 악순환 고리를 끊으려면 어떻게 해야 할까. 권석철 대표는 “이상적인 엔드포인트 보안을 위해서는 방어를 최소화 해도 방어가 가능해야 하고 내부 보안정책을 단순화하고 쉬운 운영이 되어야 한다.  또 공격자를 침입 즉시 발견하고 민감 데이터를 보호하고 비용과 인력, 시간 등이 최소화 되어야 한다”며 “이를 위해서는 보안솔루션이 OS에 종속적이 않을 때 가능하다”고 설명했다.
 
그는 아이러니하게도 ‘해커들을 들이자’고 한다. “일상적인 방어체계를 우회해 버리는 지금의 해커들을 들어오지 못하게 하는 것 보다 공격자들이 네트워크에 침입하더라도 그들이 원하는 목적을 달성하지 못하도록 하는 것이 더욱 효과적”이라며 ‘KWON-GA Behavior Monitoring’에 대해 소개와 시연을 진행했다.


 KWON-GA Behavior Monitoring 주요 기능
 
권 대표는 “KWON-GA Behavior Monitoring은 윈도우 운영체제(OS) 내에서 발생하는 파일, 프로세스, TCP 등에 대한 모든 행위를 실시간 수집, 분석해 해킹 행위에 대한 탐지 및 경로 추적이 가능한 솔루션”이라며 “이로 인해, 기존 보안 시스템에서 탐지하지 못하는 알려지지 않은 새로운 형태의 해킹 공격에 대한 2차 대응이 가능하며, 보안 사고 발생 시 최단 시간 내에 사고 분석을 할 수 있는 포렌식 도구로 사용할 수 있다”고 설명했다.
 
또 솔루션 특징에 대해 “새로운 기술 2가지가 적용돼 있다. 우선 OS보다 더 높은 권한 기술을 적용해 MBR 부트 로드 전에 권가 에이전트가 로딩되고 모든 프로그램 및 악성코드는 OS 권한 아래서 동작하기 때문에 이들을 통제할 수 있다. 또 하나 기존 보안 기술의 한계를 극복하며 샌드박스나 가상화 환경을 사용하지 않았으며 후킹 기술도 사용하지 않았다. 또 암호화 및 패킷 수집 기술도 사용하지 않은 새로운 기술을 적용했다”고 덧붙였다.
 
더불어 “해커에 의해 권가 에이전트가 프로세스 및 메모리에서 발견되지 않도록 안전한 스텔스 보안 기법을 적용했으며, 리버싱에 의해 분석이 되지 않도록 안티 리버싱 기술도 적용됐다. 또 550Kbyte의 초경량 에이전트로 시스템 부하가 없고 행위 로그만을 수집해 네트워크 부하도 없다. 운영적 측면에서는 해커의 악성의심 행위만을 별도로 제공하기 때문에 관제 모니터링이 간편한 것이 장점”이라고 밝혔다.
 
예를 들어, 기업 임직원들이 악성 웹사이트에 접속하거나 악성코드가 첨부된 이메일, USB를 사용해 악성코드에 감염되거나 해커에게 직접 공격을 받거나 해서 악성프로그램이 악성행위를 시작하면 권가 에이전트는 이를 실시간으로 탐지해 내고 중앙 서버로 전송하고 서버는 경고를 울린다. 관제실 요원들은 해당 이벤트를 즉시 열어 해킹 의심 행위에 대해 실시간 분석에 들어가고 분석된 이벤트는 실제 해킹 공격 상황인지 아닌지 구분해 즉각적인 대응이 가능하다는 것이다.
 
권 대표는 또 “권가 Behavior Monitoring 솔루션의 모니터링 성능은 해커가 할 수 있는 행위에 대한 필수 영역에 대해 정확하게 모니터링 하는 솔루션”이라며 “모든 모니터링 내역은 실시간으로 사용자에게 보여지며, 사용자는 이상 행위에 대한 분야별 이벤트 연계를 통한 명확한 분석이 가능하다”고 강조했다.
 
마지막으로 권석철 대표는 “이제 해커를 무조건 막겠다는 것은 불가능하며 의미도 없다. 해커를 들어오게 하고 계속 공격하도록 함정을 파놓고 유인하는 것이다. 하지만 공격자들이 들어와서 가져가는 정보는 쓰레기들이 될 것이다. 그리고 공격자들은 실시간으로 추적당하게 된다. 기존 기술의 한계를 뛰어 넘은 이 기술이 공격자와 방어자의 불공정한 배틀 구조에 변화를 가져 올 것”이라고 말했다.
 
권석철 큐브피아 대표의 K-ISI 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com