“실질적인 침해사고 대응이 될 수 있도록 시장에 적극적인 메시지를 전달해 나가겠다. 기존 시스템으로는 APT 공격을 찾아내고 방어하기는 힘들다. 공격자가 누구인지에 집중해야 한다. 그들은 조직적이고 국가의 지원을 받으며 절대 물러서지 않는 특수부대원들이다. 하지만 방어자들은 민간 경비원 수준이다. 이런 비대칭적 상황으로는 그들을 막을 수 없다.” -파이어아이 코리아 윤삼수 전무(사진)-
 
파이어아이(지사장 전수홍)는 17일 한남동에 위치한 ‘스시제트’에서 ‘파이어아이 송년 비즈니스 전략 발표 및 미디어데이’를 개최하고 2016년 사업 전략 및 목표를 발표했다. 파이어아이는 주요 신년 전략으로 맨디언트의 침해대응 서비스를 국내에서 본격적으로 실시하고, 기존 파이어아이 제품들과의 시너지 효과 창출에 집중할 것이라고 강조했다.
 
맨디언트는 2004년에 미 공군 특수 수사 요원인 AFOSI와 서트 출신 인사들이 설립한 회사로, 사이버 위협 최전선에서 평균 10년 이상의 정보 보안 경험을 가진 최정예 컨설턴트들이 침해를 인지하고 대응하는 ‘네이비씰’에 비유된다.
 
APT 위협에서 공격 주체는 주로 국가의 특수 부대 혹은 국가나 마피아의 지원을 받는 엘리트 조직이다. 개별 조직에서 이러한 APT 공격을 사전예방하고, 완벽하게 차단한다는 것은 사실상 불가능하기 때문에 피해 최소화를 위해 침해 흔적 추적에 초점을 맞춰야 한다.
 
맨디언트의 가장 큰 경쟁력은 침해흔적(IOC) 추적에서 나온다. 맨디언트는 APT그룹 별 커스텀 악성 코드 패밀리를 수집하며, 암호 덤프, 내부 스캔, 압축 암호화 등 APT그룹 별 공격 도구를 파악한다. 이를 통해 보안 사고 발생 시, 공격 주체, 공격 방법 및 공격 대상에 대한 정확한 진단 및 대응 전략을 제시할 수 있다.
 
맨디언트의 서비스는 크게 침해사고 흔적을 조사하는 CA(Compromise Assessment)서비스와 사고 대응 서비스인 IR(Incident Response) 서비스로 구성된다.
 
CA서비스는 타깃 공격의 존재와 활동여부를 빠르게 확인할 수 있는 기능을 제공한다. 기업들이 침해사고 흔적을 확인하고, 공격자 행위 정보를 수집한 뒤 재침입을 방지하기 위한 대응책을 수립할 수 있도록 도와준다. CA서비스는 호스트 기반과 네트워크 기반 솔루션으로 구분되는데 각 엔드포인트 혹은 네트워크 가시성을 확보할 수 있도록 지원해 침해 여부를 빠르게 확인할 수 있도록 돕는다.
 
침해 확인 이후에는 맨디언트 IOC를 이용한 검색으로 공격자의 행위 정보를 파악하고 침해사고 탐지 시간 최소화해 침입으로 인한 기업 손실을 방지한다. CA서비스는 맨디언트가 2004년부터 미국에서 제공했던 서비스로, 시스템 전수조사가 가능한 기술 역량, 수 많은 침해조사 경험, 위협 인텔리전스, 멀웨어 전문팀과 같은 차별화된 역량으로 최고의 서비스를 제공한다.
 
IR서비스는 조직들이 사이버 공격으로부터 영향을 최소화하고 시스템을 복구하는데 최적화된 서비스다. 맨디언트 IR서비스 과정에서 최우선 순위는 침해 탐지, 데이터 유출 과정 등 침해 상황에 대해 파악하고, 침해 사고가 발생한 상황에서 조직의 현 목표를 명확히 하는 것이다.
 
주로 기업들은 데이터 유출 상황 파악 혹은 공격 벡터 파악을 목표로 제시하고, 맨디언트는 이를 기반으로 증거를 수집해 분석을 실시한다. 분석에 있어, 맨디언트는 포렌식에서부터 멀웨어 및 로그분석에 이르기 까지 풍부한 분석 스킬로 침해 규모를 파악하고 침해 발생 타임라인을 정립한다.
 
또한 조사 과정에서 맨디언트는 고객이 정확한 비즈니스 의사결정을 하는데 도움이 되는 상세하고 구조화된 현황 보고서를 제공한다. 조사 결과를 바탕으로, 맨디언트는 침해 규모, 조직 규모, 공격 수법에 따라 포괄적인 복구 계획을 제공한다. IR서비스는 맨디언트의 독자적인 기술, 창의적인 조사 기법 그리고 십년 간의 침해 조사 경험을 통해 수집한 인텔리전스를 통해 기업의 침해 사고 대응에 있어 최고의 대응 방안을 제공한다.
 
이 자리에서 윤삼수 전무는 “한수원, 철도, 서울메트로 등과 더불어 방산업체까지 공격을 받고 있다. 여러 데이터를 종합해 보면 북한 해커들의 소행이라고 추정할 수 있다. 군사적 목적을 넘어 사회 혼란을 야기시키기 위한 그들의 공격에 보다 적극적인 대응이 필요하다”며 “2014년 이후로 악성코드 유포가 줄고 있다. 다시말해 이미 거점을 확보한 것이다. 거점을 통해 유유히 정보들을 빼내가거나 데이터를 파괴하는 단계에 접어들었다. 이미 발견된 악성코드는 물론이고 아직 발견하지 못한 악성코드들도 찾아내야 한다. 기존 방법론으로는 힘들다. 우리 조직이 이미 침해를 당했는지 상시적으로 점검할 필요가 있다. 침해를 당했는지 상시적인 진단 서비스와 침해를 당했다면 신속하게 대응할 수 있는 체계를 구축해야 한다”고 강조했다.
 
윤 전무는 이어 “한국의 경우 침해사고 조사를 할 때 단편적인 조사에 그치고 있고 그를 통해 나온 결과를 가지고 가상의 시나리오를 쓰는 정도다. 그래서는 누가 어떻게 어떤 경로로 어디까지 피해를 입었는지 알 수 없다. 전수조사가 필요하다. 그래야 침해사고의 전체 타임라인과 최종 피해상황을 명확히 알 수 있고 대응방안을 마련할 수 있다”며 “맨디언트의 침해대응 서비스(IOC)는 빠른 속도로 독특한 메커니즘을 활용해 전수조사가 가능하다. 네트워크와 호스트 양쪽 모두를 검수하고 누가 공격한 것인지 추적할 수 있다. 주기적인 전수검사로 미리 예방도 가능하다. 현재 국내에서 포털사, 엔터프라이즈, 정부기관 등이 이 서비스에 관심을 가지고 있다. 1천대 서버(PC)를 기준으로 2주면 검사가 완료된다”고 전했다.
 
파이어아이 전수홍 지사장은 “침해사고의 대응에 있어 독보적인 서비스를 제공하는 맨디언트가 내년부터 국내에 상륙할 예정”이라며 “침해 흔적 추적 역량과, 풍부한 침해 조사 경험을 가진 맨디언트 서비스의 국내 도입으로 국내 기업들은 보안사고 위협에 체계적으로 대응하며, 피해를 최소화할 수 있을 것”이라고 전했다. 이어 “파이어아이 코리아는 기존 파이어아이 보안 솔루션과 새로운 침해 대응 서비스를 통해 국내 기업들이 보안 효과를 극대화할 수 있도록 최선을 다해 지원할 예정”이라고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com