2020-11-27 11:55 (금)
[2016 보안기업 CEO] 파이어아이 전수홍 지사장 “침입 인지와 대응에 초점 맞춰야”
상태바
[2016 보안기업 CEO] 파이어아이 전수홍 지사장 “침입 인지와 대응에 초점 맞춰야”
  • 길민권
  • 승인 2016.01.14 14:46
이 기사를 공유합니다

“사이버 위기관리 시스템을 구축하고 경영진 주도의 컨트롤 타워 필요해”
파이어아이 코리아(지사장 전수홍. 사진)는 지난해 국내 APT 공격 방어 시스템 도입 수요가 늘어나면서 기존에 강세를 가져왔던 제조, 금융, 인터넷 분야뿐 아니라 방산, 공공분야에서도 시장 장악력을 높여왔다. 올해는 기업들이 효과적으로 사이버 위협을 탐지하고 대응할 수 있도록 맨디언트 침해대응서비스를 국내에서 실시할 계획이다. 다음은 전수홍 지사장과 인터뷰 내용이다.
 
-2015년 파이어아이 코리아 실적과 성과는

파이어아이 코리아는 2012년 지사 설립 후 높은 속도로 성장해왔으며, 2015년 목표 매출을 100% 이상 초과 달성하며 가장 높은 성장률을 올리게 됐다. 특히 지난해는 공공시장에서도 매우 두드러진 성과를 올리면서 전 산업군으로 시장을 확장했다. 지난해 주요 공공기관의 해킹 사고가 드러나면서 기업/기관은 폐쇄망 보안에 대한 경각심을 가지게 됐고 결과적으로 보안 투자가 늘었기 때문이다. 또한, 공공기관에서도 APT 방어 시스템 도입 수요가 늘어나면서 공공시장에도 진출하는 성과를 거둘 수 있었던 이유 중의 하나다. 이렇듯 지난해 파이어아이 코리아는 기존에 강세를 가져왔던 제조, 금융, 인터넷 분야뿐 아니라 방산, 공공분야에서도 시장 장악력을 높이고 있다.
 
-파이어아이 코리아 APT 솔루션에 대해 간략한 소개 부탁한다

파이어아이는 가상환경에서 파일들을 실행하고 분석하는 멀티-벡터 가상 실행(MVX) 엔진 (Multi-Vector Virtual Execution (MVX Engine, 이하 MVX)을 통해 알려지지 않은 위협에 사전 대응하고 있다. 일반적으로 샌드박스(Sandbox)로 불리는 이 기술은 운영 체제, 응용 프로그램, 브라우저, 플러그인 등 다단계 탐지 엔진을 이용해 사이버 위협을 실시간으로 탐지하고 차단한다.
 
대부분의 안티 바이러스나 IPS 관련 보안업체들은 기존 APT 상용 솔루션은 제로데이 공격을 탐지하고 차단하기 위해 샌드박스 기반에서 악성코드 분석가가 수동으로 패턴을 분석하게 되지만, 파이어아이는 샌드박스 기술을 멀티-벡터 가상 실행(MVX) 엔진을 통해 장비 내에서 구현함으로써 보다 빠른 시간 내에 제로데이 공격에 대처할 수 있다. 즉, 알려지지 않은 패턴에 대해 가상 머신에서의 실시간 분석을 통한 결과 값을 기반으로 하기 때문에 정확한 분석과 정보 반영이 가능하며, APT와 같이 장시간에 걸쳐 시행되는 공격에 대해서도 공격의 시작부터 종료까지의 라이프 사이클에 대한 전체적인 가시성을 제공하기 때문에 효율적인 탐지와 차단이 가능하다.
 
현재의 신종 사이버 공격은 표적을 정하고, 오랜 시간 피해자 내부에 잠복하며 장시간 피해를 입힌다. 파이어아이는 신종 악성코드 탐지에 최적화된 성능을 제공하기 위해 MVX 엔진을 개발했으며 경쟁사 대비 10배 이상인 최대 192개까지 가상머신(VM)을 동시에 동작시키기 때문에 성능 및 탐지율을 최대화하도록 설계됐다. 이 결과 악성코드 분석 완료 후, 1~3초 이내로 컨버팅을 완료할 수 있다.
 
파이어아이는 MVX 엔진을 활용해 전 세계 하루 평균 900만개 이상의 샌드박스를 통해 악성행위가 의심되는 파일이나 시스템을 점검하고, 하룻동안 900만개 이상의 악성코드를 발견한다. 이 기술을 사용하여, 지난 2014년에는 멀웨어 탐지 테스트기관 델타테스팅(Delta Testing)에서 파이어아이를 포함한 7개 제품을 두고 알려지지 않은 취약점과 악성코드를 이용한 공격을 시험한 결과 파이어아이가 99.14%의 탐지율을 기록하며 1위를 차지하기도 했다. 특히 이 테스트에서 국내 업체인 안랩과 인텔의 맥아피 등을 큰 차이로 제쳐 주목을 받았다.
 
또한 MVX엔진을 기반으로 하는 네트워크 보안 제품 NX시리즈와 이메일 보안 제품 EX시리즈를 통해 랜섬웨어 공격의 침입부터 감염까지의 전체 라이프 사이클에 대한 가시성을 제공하고 있다. 지난해부터 많은 피해자를 양산했던 랜섬웨어는 다수의 개인을 노리는 수법에서 특정 기업을 타깃하는 수법으로 진화하고 있다. 기업 내 중요 PC나 서버에 있는 정보 중 기밀성이 높거나, 당장 업무에 필요한 파일이 암호화되면 기업에 큰 타격을 입히기 때문에 공격그룹에 대가성 금전을 지불할 확률이 높기 때문이다. 따라서 개인 뿐 아니라 기업 역시 랜섬웨어에 대한 지속적인 보안 노력이 필요하다.
 
파이어아이는 또 랜섬웨어의 유입 경로에 따라 맞춤화된 보안 솔루션을 처방한다. 우선 웹을 통해 유입되는 경우, 랜섬웨어 익스플로잇의 유포지를 정확하게 파악해 해당 사이트를 사전에 차단하는 것이 중요하다.
 
랜섬웨어의 침입은 익스플로잇 실행, 유입, CnC 서버 접속 단계 등 크게 세 단계로 나누어진다. 첫 번째, 익스플로잇 실행 단계에서는 정상 페이지에서 악성코드 유포지로 여러 단계를 거쳐 리다이렉션 된 후 익스플로잇이 실행된다. 따라서 전체적인 웹 플로우를 분석할 수 있어야만 해당 유포지를 파악하고, 차단할 수 있다.
 
NX시리즈를 통해 이러한 웹 익스플로잇이 실행되는 전체 과정에 대한 정보를 제공할 수 있다고 강조한다. 이를 통해 기업들은 렌섬웨어의 유포지로 사용되는 유해 사이트를 확인하고, 사전 차단 정책을 적용해 효과적으로 랜섬웨어를 예방할 수 있다는 것이다. 랜섬웨어 유입 단계에서 NX 솔루션은 악성코드의 상세 분석을 통해 랜섬웨어를 차단하고, 대응 방안과 감염 호스트 확인을 위한 흔적 지표를 제공한다. 뿐만 아니라, 우수한 행위 분석 기반 탐지 기술을 통해 랜섬웨어의 특정 행위를 완벽하게 분석한다. 예를 들어, 랜섬웨어가 윈도우 복원 기능 해제 활동이나, 파일 암호화 행위 등의 특정 행위를 보이는 경우, NX솔루션은 이를 분석하여 사용자에게 정확한 흔적 지표를 제공하고 있다. 마지막으로, 파이어아이 NX 솔루션은 랜섬웨어가 감염 정보 전송 또는 암호화 키 값 수신을 위한 CnC서버로의 접속 시도를 사전에 탐지해 차단하는 기능도 제공한다. 이미 익스플로잇이 유입됐다고 하더라도 CnC 서버로의 접속을 막는다면 궁극적으로 일부 랜섬웨어 공격의 피해를 최소화할 수 있다.
 
한편 파이어아이는 웹을 통한 감염뿐 아니라 피싱 이메일을 통한 랜섬웨어 공격을 막기 위한 전략도 제시한다. 일반적으로 이메일을 통한 램섬웨어는 첨부 파일이나 악성 링크를 통해 유포된다. 파이어아이의 이메일 보안제품 EX시리즈는 의심스러운 이메일 첨부 파일과 내장된 URL을 실행 및 분석하고, 모든 악성 이메일을 차단할 수 있다. EX는 보안 활성화 모드인 MTA(Mail Transfer Agent) 모드를 통해 랜섬웨어가 사용자 PC에 유입되기 전 사전 차단한다.
 
특히 최근 해커들은 악성코드 유포를 위해 보다 다양한 종류의 첨부 파일을 이용한다. 파이어아이 EX솔루션은 MVX 기술을 이용해 행위분석 기반 탐지를 실행하기 때문에 거의 모든 유형의 문서 및 실행 파일 형태 대한 분석을 지원한다.
 
더욱이 EX 솔루션은 동적 URL 분석(Dynamic URL Analysis) 기능으로 이메일 본문 내 악성링크를 통해 유포되는 랜섬웨어도 차단시킬 수 있으며, FAUD(FireEye Advanced URL Defense) 기능을 통해 클라우드 기반 악성 URL도 탐지 가능하다. 즉, 파이어아이 EX시리즈는 랜섬웨어가 유입되기 전 모든 악성코드 이메일을 사전에 차단하기 때문에 이메일을 통한 랜섬웨어에 대한 효과적인 방어를 보장한다.
 
-2016년 사업 전략과 목표가 있다면

지능형지속위협이 증가하면서, 사이버 보안에 있어서 예방 중심의 침해사고 대응은 한계에 부딪혔다. 이제 사이버위협에 대한 ‘예방’과 ‘차단’이 가능하다는 환상에서 벗어나 이제는 침입을 ‘인지’하고 ‘대응’하는데 초점을 맞춰야 한다. 침해를 당했다는 사실은 과거형이지만, 침해로 인한 피해는 현재, 혹은 미래에 발생할 수 있다. 시스템 전체에서 침해흔적을 찾아 공격이 어디까지 이뤄졌으며, 구체적인 피해 사실과 피해규모, 확산정도 등을 확인하고 대응할 수 있어야 한다. 따라서 주기적인 점검과 진단으로 사이버위협 대응체계를 구축해야 한다. 이에, 파이어아이 코리아는 기업들이 효과적으로 사이버 위협을 탐지하고 대응할 수 있도록 신년부터 맨디언트 침해대응서비스를 국내에서 실시한다.
 
맨디언트는 2004년 설립된 침해사고 대응 전문 기업으로 2014년 파이어아이에 인수된 후 전 세계 주요 기업/기관에 침해대응 서비스를 제공하고 있다. 맨디언트는 독창적으로 개발한 침해흔적(IOC) 지표를 통해 침해사고를 추적한다. 디지털 포렌식이 하드디스크 조사에 국한된 반면, 맨디언트 IOC는 모든 시스템에서 공격자의 침해 흔적을 찾아내 정확한 조사가 가능하다. 맨디언트는 APT그룹 별 커스텀 악성 코드 패밀리를 수집하며, 암호 덤프, 내부 스캔, 압축 암호화 등 APT그룹 별 공격 도구를 파악한다.
 
이를 통해 보안 사고 발생 시, 공격 주체, 공격 방법 및 공격 대상에 대한 정확한 진단 및 대응 전략을 제시할 수 있다. 또한, 맨디언트는 빠르게 전 시스템에 대한 전수조사가 가능하다. 1000대 규모의 시스템은 2주 내에 조사를 완료할 수 있으며, 최대 25만대 시스템에 대한 동시조사를 수행한 경험을 보유하고 있다. 발견된 침해흔적 기반으로 전체 공격 역추적 조사를 실시하기 때문에, 맨디언트는 전체 공격의 맥락을 추적해 현재 공격에 대응할 뿐 아니라 미래 공격도 차단할 수 있게 해 준다.
 
맨디언트의 서비스는 크게 침해사고 흔적을 조사하는 CA(Compromise Assessment)서비스와 사고 대응 서비스인 IR(Incident Response) 서비스로 구성된다.
 
CA서비스는 타깃 공격의 존재와 활동여부를 빠르게 확인할 수 있는 기능을 제공한다. 기업들이 침해사고 흔적을 확인하고, 공격자 행위 정보를 수집한 뒤 재침입을 방지하기 위한 대응책을 수립할 수 있도록 도와준다. CA서비스는 호스트 기반과 네트워크 기반 솔루션으로 구분되는데 각 엔드포인트 혹은 네트워크 가시성을 확보할 수 있도록 지원해 침해 여부를 빠르게 확인할 수 있도록 돕는다.
 
침해 확인 이후에는 맨디언트 IOC이용한 검색으로 공격자의 행위 정보를 파악하고 침해사고 탐지 시간 최소화해 침입으로 인한 기업 손실을 방지한다. CA서비스는 맨디언트가 2004년부터 미국에서 제공했던 서비스로, 시스템 전수조사가 가능한 기술 역량, 수 많은 침해조사 경험, 위협 인텔리전스, 멀웨어 전문팀과 같은 차별화된 역량으로 최고의 서비스를 제공한다.
 
IR서비스는 조직들이 사이버 공격으로부터 영향을 최소화하고 시스템을 복구하는데 최적화된 서비스다. 맨디언트 IR서비스 과정에서 최우선 순위는 침해 탐지, 데이터 유출 과정 등 침해 상황에 대해 파악하고, 침해 사고가 발생한 상황에서 조직의 현 목표를 명확히 하는 것이다.
 
주로 기업들은 데이터 유출 상황 파악 혹은 공격 벡터 파악을 목표로 제시하고, 맨디언트는 이를 기반으로 증거를 수집해 분석을 실시한다. 분석에 있어, 맨디언트는 포렌식에서부터 멀웨어 및 로그분석에 이르기 까지 풍부한 분석 스킬로 침해 규모를 파악하고 침해 발생 타임라인을 정립한다.
 
또한, 조사 과정에서 맨디언트는 고객이 정확한 비즈니스 의사결정을 하는데 도움이 되는 상세하고 구조화된 현황 보고서를 제공한다. 조사 결과를 바탕으로, 맨디언트는 침해 규모, 조직 규모, 공격 수법에 따라 포괄적인 복구 계획을 제공한다. IR서비스는 맨디언트의 독자적인 기술, 창의적인 조사 기법 그리고 십년 간의 침해 조사 경험을 통해 수집한 인텔리전스를 통해 기업의 침해 사고 대응에 있어 최고의 대응 방안을 제공한다.
 
침해 흔적 추적 역량과, 풍부한 침해 조사 경험을 가진 맨디언트 서비스의 국내 도입으로 국내 기업들은 보안사고 위협에 체계적으로 대응하며, 피해를 최소화할 수 있을 것이다. 또한, 파이어아이 코리아는 기존 파이어아이 보안 솔루션과 새로운 침해 대응 서비스를 통해 국내 기업들이 보안 효과를 극대화할 수 있도록 최선을 다해 지원할 예정이다.
 
-보안업계가 어려운 시기를 보내고 있는데 업계 발전 방안에 대한 의견이 있다면

지난해 보안업계는 공공 기관 및 기업으로부터의 투자가 정체되며 어려운 시기를 보냈다. 그러나 이 같은 불황에서도 파이어아이 코리아는 기존 보안 시스템을 우회하는 APT 공격 탐지 및 대응에 있어서 독보적인 솔루션을 제공하며 예외적으로 좋은 실적을 거뒀다. 특히, 파이어아이는 사이버 위협 탐지에 있어 막강한 정보력을 제공하는 '위협 인텔리전스(threat intelligence)' 분야에서 타의 추종을 불허하는 기술력을 보유하고 있다.
 
파이어아이는 업계에서 유일하게 기술, 인텔리전스와 축적된 전문성을 통합하여 67 개국의 2,700여 고객들로 구성된 파이어아이 글로벌 방어 커뮤니티를 보호하고 있다. 파이어아이는 악성코드와 같은 공격 기술 자체뿐만 아니라 누가 무슨 목적으로 공격하는지 분석하고 대응까지 모두 책임지고 있다. 세계 900만개 이상의 MVX로 모이는 실시간 인텔리전스와 함께 침해 대응 전문가 집단인 맨디언트의 전문지식과 조사능력을 활용하여 APT 공격자들을 추적하는 것이 파이어아이만의 가장 큰 차별점이다. 일반적으로 공격 인지에서 대응까지 8개월 이상이 소요되지만 파이어아이는 기술, 인텔리전스, 전문성 등 3박자의 보안 요소를 통합해 수분 이내로 단축할 수 있다.
 
국내 전체 APT 공격은 증가 추세이며 월평균 1900건 이상의 APT공격이 발생한다. 최근 보안위협은 알려진 기법뿐 아니라 알려지지 않은 기법을 사용해 공격이 진행되며, 기존 보안시스템에 탐지되지 않도록 다양한 우회공격을 시도한다 그러나 기업/기관의 보안 인식은 여전히 매우 낮은 편이며, 보안에 대한 투자도 매우 소극적이다. 실제로 정보보안 담당자들은 인력과 예산 부족, 정보보안 조직의 권한 부족으로 인해 직면해 있는 보안위협을 해결하는데 어려움을 겪는다. 따라서 침해에 대해 보다 적극적인 대응을 위해서는 경영진 차원의 관심과 투자가 필요하다. 사이버 보안을 전담하는 조직 구성이 필요하며, 담당자 임명, 전략 수립, 예산 배정 등에 경영진이 참여하고, 사이버 공격으로부터 방어태세를 강화하는 것이 급선무다.
 
또한, 단순 탐지보다는 방어, 침해 대응까지 아우르는 엔드투엔드(end-to-end) 보안이 보안 업계에서 새로운 트렌드가 됨에 따라, 보안 업체들간의 협력도 중요시되고 있다. 각 보안 업체의 특화된 영역을 기반으로 상호협력을 활성화 함으로써 고객의 다양한 보안 요구 및 눈높이에 맞춰 모든 보안 영역을 아우르는 종합적인 해결책을 제시하는 보안 업계의 노력이 요구된다.
 
지난 해 말부터 정보보호산업의 진흥에 관한 법률(이하 정보보호 산업 진흥법)이 시행됐다. 이를 통해 ‘정보보호 서비스 적정대가 지급’을 위한 기준이 마련됐으며, 또한 보안투자, 인력관리체계 등 기업 등의 정보보호 준비노력을 평가해 등급을 부여하는 ‘준비도 평가’를 수행할 수 있도록 평가기관의 등록요건도 마련됐다. 정보보호산업진흥법 시행과 함께 보안 업계에 불어 닥친 한파가 풀리기 기대하며 그러기 위해서는 기업 차원에서는 규제 준수에 급급해하는 것이 아닌 보안 인식을 높이고자 하는 적극적인 노력이 필요하며, 보안 업체들은 서로 간의 협력을 통해 다양한 보안 요구를 해결하는 솔루션을 제시해야 할 것이다.
 
-정부 및 기업 보안담당자들에게 2016년 당부할 내용이 있다면

해킹은 단순한 해프닝이 아니다. 공격을 당한 조직의 유무형 자산에 피해를 준다. 실질적으로 중요한 기업 정보가 해킹 당했다면 막대한 금전적 손실은 물론이요 조직의 명성 및 신뢰도에도 치명적인 악영향을 미친다. 해킹을 더 이상 IT 관련 문제로 치부하거나 보안 부서 담당자들만의 책임으로만 여겨서는 안 된다. 경각심을 갖고 모두가 눈여겨봐야 할 문제이다.
 
보다 적극적인 대응을 위해서는 경영진 차원의 적극적인 관심과 투자가 필요하다. 사이버 보안을 전담하는 조직 구성이 필요하며, 담당자 임명, 전략 수립, 예산 배정 등에 경영진이 참여하고, 사이버 공격으로부터 방어태세를 강화하는 것이 급선무다.
 
파이어아이 팀 보고에 따르면 전 세계적으로 조사 대상의 97%가 이미 침해를 겪은 것으로 나타난다. 이 중 69%는 외부로부터 이 사실을 공지 받기 전까지 자사가 침해 당했다는 것 조차 인지하지 못했다. 또한 침해 사실이 탐지되기 전까지 위협 세력은 평균 205일 동안 공격 대상의 조직 내부에 머문 것으로 밝혀졌다. 대부분의 기업들이 장기간에 걸쳐 위협을 당했으나 이를 인지조차 못한 기업이 많다. 기업들의 취약한 보안 실태를 여지없이 보여준다.
 
고도의 기술을 사용하는 해커들을 경계하기 위해서는 경영진 차원에서 리더십을 발휘해 현재 침해를 당하고 있는지, 위협 세력은 누구이며, 그들이 노리는 대상은 무엇인지 파악해야 한다. 전사적으로 철저한 보안 ‘건강검진’을 실시해야 하는 이유이다.
 
만약 현재 조직 내에 사이버 보안 조직이 구성되어 있지 않다면, 서둘러 다양한 부서의 관계자들이 함께 참여하는 사이버 위기관리 시스템을 구축하고 경영진이 주도하는 컨트롤 타워를 통해 커뮤니케이션을 체계적으로 일원화 해야 한다. 또한, 주기적으로 관련 담당자들이 함께 참여하는 회의 및 교육을 통해 사이버 보안에 대한 전문성을 강화하고, 취약점을 개선하려는 노력이 필요하다.
 
방어를 위한 최선의 전략은 최신 기술, 인텔리전스, 전문인력을 모두 갖춘 전문 보안 솔루션을 갖추는 것이다. 점점 고도화 되고 지능적으로 변하는 APT(Advanced Persistent Threat)같은 강력한 사이버 공격을 막으려면 이를 총체적으로 감시하고 분석 및 방지해줄 수 있는 전문 보안 솔루션이 필요하다.
 
정밀한 보안 인텔리전스를 기반으로 네트워크상에 가해지는 위협을 실시간으로 탐지할 수 있는 보안 기술을 갖추는 것도 중요하지만, 실제 침해 상황에서 해당 공격주체와 그들이 사용한 기술, 공격 목표 등에 대해 정확하게 조사할 수 있는 경험이 풍부한 전문인력까지 갖춘다면 전방위적인 보안 체계를 확립할 수 있을 것이다.
 
어느 조직도 사이버 공격으로부터 자유롭지 못하다. 사이버 공격에 대한 조직 내 인식 전환 및 인프라 구축, 전사 차원의 역량 강화와 더불어 지속적인 관심과 투자만이 막대한 피해를 일으키는 사이버 공격을 미연에 막을 수 있는 가장 효과적인 방법임을 잊지 말아야 할 것이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com