2019-11-21 01:15 (목)
[영상] “내부망에 대한 정확한 관측 못하고 있는 조직 너무 많아”
상태바
[영상] “내부망에 대한 정확한 관측 못하고 있는 조직 너무 많아”
  • 길민권 기자
  • 승인 2016.09.26 20:09
이 기사를 공유합니다

김혁준 나루씨큐리티 대표 “내부망 변화관리만 잘해도 침해사고 탐지 가능해”

데일리시큐가 주최한 2016 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)가 지난 22일 한국과학기술회관에서 200여 명의 공공, 금융, 기업 보안실무자가 참석한 가운데 정보보호 인텔리전스를 주제로 흥미로운 발표들이 진행됐다.

이 자리에서 김혁준 나루씨큐리티 대표는 ‘예측하지 말고 관측하라’라는 주제로 현재 우리의 정보보호 방어수준 사례를 보여주고 어떤 문제점들이 존재하는지 분석한 정보를 제공했다. 특히 그는 침해사고 조사분석 현장에서 쌓은 오랜 경험을 토대로 다양한 사례들을 제시했고 해결방안도 내놔 참관객들의 눈길을 끌었다.

김혁준 대표는 “10년 넘게 국내외 많은 기관과 기업 침해사고 현장과 내부망을 분석해 보면서 느낀 점은 의외로 자기 내부망에 대한 정확한 현황 파악과 관점을 가진 보안대응이 없는 경우가 많았다”며 “자신들의 내부망에서 어떤 일들이 벌어지는지 정확하게 관찰하고 데이터를 확보하지 못하면서 다른 기업이나 해외에서 발생하는 보안사고들에 관심이 많고 공격자들의 공격툴과 기술에만 관심을 가지고 있어 안타깝다”고 지적했다.

또 그는 “보안 인텔리전스는 단순히 정보를 말하는 것이 아니라 그 정보들을 가지고 의사결정을 할 수 있느냐가 관건이다. 적극적으로 정보를 수집하고 종합해서 보안담당자가 의사결정을 내리고 우리 비즈니스에 도움이 되는지 판단해 C레벨 임원에게 전달할 수 있느냐가 핵심”이라며 “악성코드 몇 개 잡았다고 해서 보안이 되는 것이 아니다. 우리 내부망에 대한 전체적인 뷰를 가지고 있고 지속적으로 관측할 수 있는 상황인지 아닌지 그리고 내부망의 작은 변화들을 관측하고 그 변화에 대응할 수 있느냐가 중요하다”고 강조했다.

내부망에 대한 ‘무지’가 얼마나 심각한지에 대해 예를 들었다. 김 대표는 “모 대학교 내부망을 점검한 결과 공격자들이 이미 내부망을 장악해 학내 1천대가 넘는 PC를 제어하면서 공격용 클라우드 서버로 활용하고 있는 경우도 있었다. 국내 대기업 한 곳도 분석 결과, 한 임원 PC가 장악당해 은밀한 APT 공격이 이루어지고 있었다”며 이외 에도 국내 대기업 여러 곳과 게임사, 방산업체, 벤처기업 그리고 미국 글로벌 기업 등의 내부망을 분석한 결과를 공개했다.

이어 최근 해외에서 공개된 ‘배드 터널(Bad Tunnel) 공격’을 설명하며 공격자들이 얼마나 지능적으로 내부망을 유린하고 있는지 예를 들었다.

그는 “의외로 내부망에 대해 너무 모르고 있다. 사실 내부망은 공격자들 보다 보안담당자들이 더 잘 알고 있다. 공격자들은 내부망을 파악하기 위해 많은 실수와 단계를 거치며 파악해야 한다. 우리가 만약 내부망을 정확하게 관측할 수 있다면 사고 전에 이들의 흔적을 찾아 방어할 수 있게 된다”며 “실제로 내부망을 분석해 보면 화려한 기술보다는 허접한 공격들이 더 많다는 것을 알 수 있다. 내부망은 우리가 공격자보다 더 유리한 상황에서 관측할 수 있기 때문에 이기는 전투를 할 수 있이다. 멀리 볼 필요 없다. 내부망 현황 인지가 가장 중요하다”고 강조했다.

마지막으로 김 대표는 “공격자와 방어자는 정보의 편차가 존재한다. 공격 한번에 많은 돈을 벌 수 있기 때문에 공격자는 월급쟁이 보안담당자와는 노력의 정도가 차원이 다르다. 하지만 이들이 공격 한다고 해서 모두 성공하는 것은 아니다. 또 내부망이 뚫렸다고 해서 패배한 것이 아니다. 그들이 원하는 정보를 빼앗기지 안으면 된다. 그러기 위해서는 내부망에 대한 관측과 현황파악이 이루어져야 한다. 내부의 변화만 잘 관측하면 공격의 최종 단계까지 갈 수 없도록 막을 수 있다. 예측 보다는 정확한 데이터 지표를 만들어 관측하고 보안담당자와 임원이 동일한 데이터를 보고 의사결정을 할 수 있도록 해야 한다”고 덧붙였다.

보다 상세한 내용은 위 발표 동영상을 참고하면 된다. 김혁준 나루씨큐리티 대표의 발표자료는 데일리시큐 자료실과 K-ISI 2016 등록사이트에서 다운로드 가능하다.

내부망 보안에 특화된 나루씨큐리티는 자사에서 개발한 ‘ConnecTome(커넥텀)’ 장비로 네트워크 통신사실 전반을 수집하고 이미 진행 중인 공격, 특히 명령제어채널 및 백도어 통신을 탐지하는데 최고의 기술력을 보유하고 있다. 국내 공공 및 민간 기업에서 도입하고 있으며 해외 기업들도 관심을 가지고 있다. 이외에도 사이버 공격과 방어 훈련을 할 수 있는 ‘사이버배틀필드’ 서비스도 제공중이다.

★정보보안 & IT 대표 미디어 데일리시큐!★