2020-11-30 08:25 (월)
"단일 보안 솔루션만으로 진화하는 APT 공격 방어 한계"
상태바
"단일 보안 솔루션만으로 진화하는 APT 공격 방어 한계"
  • 길민권
  • 승인 2014.10.14 16:59
이 기사를 공유합니다

블루코트 크리스 라센 수석 연구원, BOB에서 보안 대응 전략 특강 진행
블루코트(지사장 김기태)는 오늘, 지능형 보안 위협이 지속적으로 증가하고 있는 상황에서 위협 요인을 가능한 빨리 탐지하고 대응하는 지능형 통합 보안 시스템 구축이 필요하다고 밝혔다.
 
블루코트의 수석 연구원인 크리스 라센(Chris Larsen)은 한국정보기술연구원(KITRI, 원장 유준상) 산하의 BOB(Best Of the Best) 센터에서 보안전문가를 대상으로 ‘빠르게 변화하는 웹 환경을 위한 보안 대응 전략’이라는 주제로 특별 강연을 진행했다.

 
블루코트의 크리스 라센 수석 연구원은 “생성된 지 몇 년 된 오래된 사이트라도 트래픽이 오늘부터 새롭게 발생했다면 트래픽 발생 위치 및 IP 주소 등을 철저히 분석하여, 보안 상 문제가 없는지 지속적으로 확인해 안정성을 검증해야 한다. 그러나 보안 관리자들은 시간적으로 전체 보안 위협 요인을 확인하는 것은 실제적으로 불가능하다. 이제 안전한 보안 환경 구축을 위해 자동화된 보안 환경 분석 시스템을 활용해야만 한다”라고 말했다.
 
또한 그는 “이러한 자동화된 보안 환경 분석 시스템을 운영하기 위해 블루코트는 하루에 10억개 URL을 10년이상 분석하고 있다. 블루코트는 이러한 분석 정보를 전 세계 15,000여 개 고객사 및 7,500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ‘블루코트 글로벌 인텔리전스 네트워크’를 통해 제공하여 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인하여 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다”라고 말했다.
 
크리스 라센 수석연구원의 전세계 보안 시장 현황에 대한 주요 발표 내용은 다음과 같다.
 
◇원히트 원더(One-hit wonder) 사이트에 대한 위험성 인식 필요=최근 자사 연구소인 ‘블루코트 시큐리티 랩’이 평균 24시간(1일) 동안 600만개 URL(메인 및 서브 도메인과 IP주소 포함)을 분석한 결과 1개 이상의 멀웨어를 포함하고 있는 비율이 66%나 됐다. 원래 ‘원데이 원더’는 특정가수가 히트곡을 1곡만 낸 경우를 뜻하는 영문 표현으로서, 블루코트는 멀웨어를 1개만 발견했지만 향후 잠재적으로 파급력이 큰 악성URL로 발전될 가능성이 큰 사이트들을 ‘원데이 원더 사이트’로 명명했다.
 
특히 새롭게 생성된 호스트의 경우 18%는 정상적이지 못한 멀웨어를 1개 이상 가지고 있었으며, 이것들은 현재는 위험성이 낮은 호스트로 분류되어 있으나 향후 조용하면서도 시간이 흐름에 따라 APT 공격이나 악성코드 등으로 진화할 가능성이 있었다. 이러한 원히트 원더 호스트는 일반 블로그나 도메인을 비롯하여, IP어드레스의 1/5에 해당하는 것으로 분석되어, 매우 광범위하게 위험에 노출되어 있음을 알 수 있다.
 
◇원데이 원더(One-Day Wonders) 사이트가 악성코드 진원지=전세계 7,500만 사용자들이 방문한 바 있는 6억 6천만 개의 호스트네임을 분석한 결과 전세계 웹사이트의 71%에 해당하는 4억 7천만 개의 호스트네임이 1일 이내에 사라지고 있다고 발표하며 이를 ‘원데이 원더(One-Day Wonders)’라고 명명했다
 
이러한 단발성 호스트네임을 가장 많이 생성하고 있는 진원지는 구글, 아마존, 야후 등의 대형 사이트들이며, 이 밖에 컨텐츠 서비스 속도를 높이기 위한 웹 최적화 기업들도 주요 원인으로 분석됐다. 또한 ‘원데이-원더’ 생성 사이트 상위 10곳에 최대 규모의 포르노 관련 웹사이트가 포함되기도 했다.
 
한편 ‘원데이-원더’를 생성하는 상위 50개의 페어런트 도메인 중 22%는 악성으로 조사됐다. 이 도메인들은 “새롭게 발생한” 혹은 “알려지지 않은” 특성을 이용해 보안 솔루션의 감시망을 벗어남으로써 사이버 공격을 실행하거나 봇넷을 관리하는 용도로 사용되었다. 예를 들어 동적 명령어 를 구축하고 확장 가능한 아키텍처를 제어하는데 활용되거나, 스팸 필터의 탐지망을 벗어나기 위한 서브도메인을 생성하는데 사용된 것으로 분석됐다.
 
또한 이러한 원데이 원더 사이트는 주로 .com이나 .net, .info 도메인으로서, 방대한 양의 도메인이  생성되어 보안 솔루션 통제 범위를 벗어날 수 있는 확률을 높이고 있다.
 
크리스 라센 수석 연구원은 “사이버 공격 방식이 점점 진화하고 있는 상황에서, 단일 보안 솔루션만으로 진화하는 APT 공격을 방어하는 데에는 여러 한계점이 존재한다. 보안의 특징상 999개의 공격을 아무리 잘 막아도 단 1개의 취약점 및 악성코드로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다. 보다 완벽한 방어를 위해서는 내외부 네트워크는 물론 클라우드 서비스, 최종 사용자 기기인 모바일 장치에 이르기까지 전방위적인 보안 위협 요인을 탐지하고 대응이 가능한 통합적인 지능형 보안 시스템 구축이 반드시 필요하다”고 강조했다.
 
블루코트와 한국정보기술연구원이 함께 진행하는 교육프로그램인 ‘사이버 포렌식 전문가 과정’은 차세대 보안리더 양성 교육 기관인 BoB(Best of The Best) 센터에서 10월 13일(월)부터 17일(금)까지 5일간 진행된다. 특히 사이버 포렌식 분야 글로벌 전문가들이 대거 방한해 직접 강사로 나서 최신 기술을 전수하며, 실제 사례 소개와 함께 실습 위주 교육 프로그램을 제공해 사이버 포렌식 역량을 갖춘 인재를 적극 양성함으로써, 국내 보안 산업의 경쟁력을 높일 수 있을 것으로 기대된다. 수강생은 이번 교육 과정 이수를 통해 네트워크 트래픽의 분석 및 보안 관제 능력을 향상시켜 사고 대응의 수준을 높일 수 있고 기업과 기관들의 정보보호 인프라 운영 환경을 체계적으로 구축하기 위한 기반 지식을 습득할 수 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com