소비자 및 고객 데이터로 가득한 데이터베이스는 회사 입장에서는 중요한 자산이며 이를 노리는 해커에게는 탐나는 표적이다. 데이터, 네트워크 및 인프라의 보안을 지키는 과제는 교묘한 위협의 등장으로 한층 더 복잡해진다. 악의적인 해커들은 여러 가지 공격 전술을 구사하고 있으며, 다양한 유형을 함께 사용해 방어 체계를 뚫는 경우가 많다.
 
보안 전문가들은 조직에 적절한 보안 솔루션을 도입해 위협을 탐지하고 위험을 관리해 데이터 침해를 예방해야 한다. 그러나 조직에 가장 우수한 예방 통제책이 마련되어 있다 해도, 끈질기고 자원이 충분한 해커는 보호 기능을 뚫을 방법을 찾아낼 것이다. 또한 예방 조치가 효과적일 것임을 기대하는 것과 별개로 탐지 및 대응 계획은 필수다.
 
이에 포티넷은 “샌드박스는 가상으로 운영 환경을 복제하고, 실행 파일 및 애플리케이션 데이터와 같은 의심스러운 코드를 실행하고, 행동을 관찰, 평가 및 보고하는 솔루션으로서, 이러한 침해 탐지 전략에서 핵심 역할을 한다”며 “샌드박스는 완벽한 대비책은 아니지만 보안 전문가가 해당 환경에서 대부분의 멀웨어를 차단하거나 억제할 수 있게 해 주는 중요한 도구다”라고 설명했다.
 
포티넷은 샌드박스 솔루션의 구매 및 구현 고려 사항과 직면 과제를 검토하기 위해 조사를 의뢰했다. 이 주제를 탐구하기 위해 Forrester는 샌드박스 기술을 평가했거나 구현한 적이 있는 기업의 IT 보안 전문가 150명을 대상으로 수량적 설문조사를 실시했다.

 
◇일상적인 사건이 된 교묘한 공격
악의적인 해커들은 더욱 교묘해졌으며, 알려진 기법과 알려지지 않은 기법을 새로운 방식으로 활용해 기업 방어 체계를 뚫는다. 설문조사에 응한 보안 전문가들은 멀웨어, 피싱, 서비스 분산거부(DoS) 공격, OS 취약점 및 웹 애플리케이션 취약점 공격을 가장 일반적인 공격 수단으로 꼽았다.
 
해커들은 이러한 수단 중 두 가지 이상을 조합해 기한이 지난 패치 및 취약점이나 인적 요소를 노리는 경우가 많다. 실력이 뛰어난 해커들이 항상 도사리고 있는 상황에서, 보안 및 위험 전문가들은 어디에 의존해야 할까. 기업에는 강력한 예방 수단을 이용하되 최신 및 최고 예방 통제책마저 무력화할 수 있는 끈질기고 강력한 해커를 염두에 둔 보안 전략이 필요하다.
 
이를 위해서는 Forrester 측은 침해 탐지의 네 가지 축, 즉 멀웨어 분석(샌드박스), 네트워크 분석 및 가시성(NAV), 엔드 포인트 가시성 및 제어(EVC), 보안 분석(SA)에 기초한 침해 탐지 및 대응 전략이 필요하다고 강조한다.
 
◇침해 방지 및 탐지에서 핵심 역할을 하는 샌드박스
샌드박스는 종합적인 예방, 탐지 및 대응 전략에서 필수적인 요소다. 보안 전문가는 샌드박스를 통해 환경에 가해지는 정교한 공격을 차단하거나 방지하고 향후 치명적인 공격을 완화 및 예방할 수 있다.
 
조사결과를 살펴보면, 조직 중 55%에서 지난 12개월 내에 공격 또는 침해가 여섯 건 이상 발생했으며, 공격 종류는 평균 네 가지였다.
 
다행히도 샌드박스는 조직을 위협하는 공격유형 중에서도 암호화된 압축파일, 네트워크
점유율 고갈 공격, 다형적 멀웨어, 논리 폭탄, APT와 같은 교묘한 위협에 효과적인 보호책이다. 설문조사 응답자들은 이러한 영역에서 샌드박스가 구매 전 기대치를 넘어서는 효과를 보였다고 답했다.
 
조직은 자체 네트워크에서 어떤 일이 벌어지는지 알아야 위협에 효과적으로 대응할 수 있다. 설문조사에 응한 보안 전문가 중 87%가 샌드박스를 통해 악성 IP 및 파일 해시, 동작 결과, 손상 징후, 위협 활동 요약, 상세한 로그 및 분석과 같이 잠재적 위협을 파악하는 데 핵심적인 다양한 정보를 얻을 수 있다고 답했다.
 
◇샌드박스 솔루션 평가의 모범 사례
효과적인 침해 탐지 전략을 구축하는 과정은 샌드박스의 멀웨어 분석 기능을 구현하는 데서 시작한다. 하지만 이 단계를 따르기 전 적절한 샌드박스를 신중하게 선택하는 것이 중요하다. 조사 참여자들이 얻은 교훈은 다음과 같다.
 
▲기술, 자원 및 비용 관련 영향을 고려하라. 설문조사 응답자들은 샌드박스를 평가할 때 새로운 위협 벡터를 파악하고 통합하거나 의심스러운 광범위 개체를 분석하는 능력과 같은 기술 고려 사항을 높은 우선순위에 둔다고 답했다. 하지만 샌드박스를 관리하는 데 필요한 상시 비용, 구현 시간, 인력 자원과 같은 자원 관련 영향 역시 고려 대상이었다.

▲배포 유연성, 통합 및 자동화를 우선순위에 두라. 설문조사에 응한 보안 전문가 중 90%가 샌드박스 솔루션을 평가할 때 배포 유연성을 우선순위로 꼽았다. 통합 역시 우선순위가 높다. 설문조사에 응한 보안 전문가 중 과반수(55%)가 최소 여섯 개의 기존 보안 구성 요소와 통합할 수 있는 샌드박스를 원한다고 답했다. 또한 55%는 고급 자동화를 원한다고 답했다.
 
▲다양한 공급업체 솔루션을 파악하고 검토하라. 현 공급업체나 대형 브랜드로 후보군을 제한하고 싶은 유혹이 생기더라도 그러한 실수를 해서는 안 된다. 설문조사에 응한 보안 전문가 중 38%에 따르면 가장 중요한 교훈은 다양한 공급업체를 고려하는 것이다.
 
▲제3자 테스트를 검토하고 내부 테스트를 실시하라. 내부 테스트, 단일 공급업체 구상안(PoC), 공급업체 제공 참조 자료는 설문조사 응답자들이 샌드박스 솔루션을 평가하는 데 사용한 주요 수단이었다. 하지만 제3자 테스트 또는 공급업체 PoC에만 의존해서는 안 되며 자체 환경에서 여러 샌드박스 솔루션을 면밀하게 테스트해야 한다. 보안 전문가들이 가장 후회하는 부분으로 꼽는 것은 애초에 더욱 면밀하게 테스트를 실시하지 않은 것이다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com