 |
데일리시큐가 주최하는 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2016이 27일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 기업 보안실무자 700여 명이 참석한 가운데 성황리에 개최됐다.
이 자리에서 팔로알토네트웍스 코리아 김병장 전무는 ‘사이버공격을 선제방어할 수 있는 차세대 플랫폼 보안전략’을 주제로 키노트 발표를 진행했다.
김병장 전무는 “사이버범죄 시장규모는 1조달러로 추정된다. 다른 산업과 마찬가지로 기대이익을 기반으로 투자가 결정되기 때문에 유보금이 많은 기업이나 가치있는 자료나 기술이 있는 기업들이 공격대상이 될 수 있다”며 “이러한 해킹산업을 무너뜨리는 좋은 방법은 공격을 어렵게 만들어 사이버범죄를 통한 기대이익을 없애는 것”이라고 강조했다.
또 “사이버공격은 진화하고 있으며 단계적 라이프사이클을 가지고 있다. 공격자들은 목표대상의 주변을 먼저 침투한다. 취약할 수 있는 접점을 먼저 파악하는데 주로 사람을 공략한다. IT담당자나 임직원들의 취미 등을 파악해 골프나 낚시 등 관심있는 콘텐츠가 담긴 이메일을 보내면 메일을 클릭하는 순간 악성코드에 감염된다”며 “이를 기반으로 공격자는 관리자 권한을 획득한다든지 데이터에 접근할 수 있을 때까지 기회를 노린다. 이 과정이 짧으면 한달, 길면 1년 이상이 될 수 도 있다. 이후 목적한 바를 이루고 나면 증거를 인멸하기 위해 PC를 파괴하거나 흔적들을 삭제하고 아무도 모르게 빠져나가게 된다”고 설명했다.
이러한 공격을 방어하기 위해 그는 “이러한 진화된 사이버공격으로부터 보호받기 위해서는 각 단계의 연결을 끊어야 한다. 공격자들은 4단계로 구성된 라이프사이클을 가지기 때문에 각 단계의 연결을 끊어주면 목표를 달성하지 못하게 된다”고 강조하며 해결 방안에 대해 다음과 같이 상세히 전달했다.
◇사이버위협 진화 형태
요즘 대다수의 애플리케이션은 사용자요구를 수용해서 포트를 다이나믹하게 변경하거나, 비표준 포트를 사용한다. 그리고 지능형 위협은 이러한 애플리케이션을 이용해 침투되는 경우가 많아 특정포트만 스캐닝하는 기존보안솔루션으로는 이러한 위협을 막을 수 없게 되는 것이다. 또한 네트웍크 트래픽 가운데 약35%가 SSL 암호화 처리되고 있어 SSL복호화가 지원되지 않는 장비들은 이러한 트래픽을 확인하지 못하게 되며 지능형위협이 SSL로 암호화되어 침투한다면 무방비상태가 되는 것이다.
공격의 성공을 높이기 위한 감지회피기법이 많이 발전해 알려진 악성코드의 변종을 만들어 매번 새로운 위협이 발생하게 되는데 이러한 새로운 위협을 방어하려면 현재의 장비들은 수동으로 시그니쳐를 생성해야 하는데 그 동안 무방비 상태가 될 수 있다.
기존의 보안장비들은 내부로 들어오는 트래픽에만 초점을 맞췄지만 지능형공격은 다단계이고 공격자의 백도어 채널이 연결되었다면 내부로 들어오는 트래픽 방어로만으로는 보호받지 못하게 된다.
◇현재 사용중인 보안 아키텍쳐 형태
현재의 보안 아키텍쳐는 진화하는 사이버위협을 방어하기 위해 많은 장비들이 설치되어 마치 제조업 생산라인과 같이 되어있다. 보안이슈들은 컨베이어벨트를 이동하는 제품과 같은 것이다. 각자 작업을 책임진 작업자가 맡은 작업을 처리하는 형태로 과거에는 상당한 효과를 봤지만 공격이 지능화되면서 표적화된 공격을 막지 못하는 약점이 노출되기 시작했고 다음과 같은 3가지 문제점을 지적할 수 있다.
첫째는 제한된 가시성이다.
비표준 포트와 프로토콜, SSL암호화를 악용하는 공격을 방지하기 위해서는 네트워크상의 모든 애플리케이션, 사용자 및 그들이 상용하는 기기들 확인 할 수 있어야 한다. 현재의 보안 아키텍쳐는 진화하는 사이버위협을 방어하기 위해 많은 장비들이 설치되어 마치 제조업 생산라인과 같이 되어있다. 각자 작업을 책임진 작업자가 맡은 작업을 처리하는 형태로 과거에는 상당한 효과를 봤지만 공격이 지능화되면서 표적화된 공격을 막지 못하는 약점이 노출되기 시작했다.
둘째는 미흡한 상호작용이다.
많이 설치된 보안장비들간의 상호작용이 이루어지지 않아 다차원적인 지능형 공격을 탐지하기 어려운 구조다.
셋째는 수동대응이다.
빠른 속도의 공격에 대응하려면 보안 아키텍쳐는 수동 개입 없이 지속적으로 학습하면서 새로운 방어기법을 적용시키는 자동화시스템이 탑재되어 있어야 한다.
◇팔로알토네트웍스 보안 플랫폼
김병장 전무는 팔로알토네트웍스 보안 플랫폼을 설명하며 “IP, PORT 위주로 방어를 제공하는 스테이트풀 파이어월은 각 기업이 경계에 제대로 설치되어있지만 제대로 된 역할을 하지 못한다. 가시성을 제공하지 못하고 있기 때문에 그 효율이 점점 떨어지고 있었다”며 “팔로알토네트웍스는 가시성을 제공하고 애프리케이션을 콘트롤할 수 있는 APP-ID를 처음 개발해서 차세대보안 플랫폼을 만들기 시작했다. 또 APP-ID 이후 방화벽이 설치된 경계위치에서 필요한 기능들을 추가했다”고 설명했다.
또 “그러한 기능들은 무선이 활성화되고 사용자의 기기들이 다양해 지면서 IP Base로 통제하던 것을 유저ID를 통해서 관리하는 것이 필요한 만큼 사용자연동 기능을 개발했고, 애플리케이션을 통해서 전달되는 위협을 통제할 수 있는 URL필터, Threat Prevention(IPS, Anti-spyware, Anti-virus)같은 콘텐츠 보안기능을 추가했다”고 덧붙였다.
더불어 “팔로알토네트웍스는 위협분석을 자동으로 실행하는 와일드 파이어라는 위협분석클라우드를 운용하고 있다. 차세대 방화벽과 엔드포인트 트랩스에서 새로운 위협에 대한 분석을 와일드파이어에게 요청하면 5분이내에 분석결과를 차세대방화벽과 엔트포인트에 업데이트해 차후의 위협을 방어할 수 있도록 해준다”고 밝히고 “현재 월별 약 7천2백만 건의 파일을 분석하고 이중 5백3십만개가 악성으로 분석되고 있다”고 설명했다.
PASCON 2016 팔로알토네트웍스 코리아 김병장 전무의 상세한 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
