2020-11-29 20:30 (일)
APT 공격에 당하는 이유, 10년 전 보안체계 그대로 운영하기 때문
상태바
APT 공격에 당하는 이유, 10년 전 보안체계 그대로 운영하기 때문
  • 길민권
  • 승인 2015.01.14 15:26
이 기사를 공유합니다

블루코트, ‘인텔리전스 보안 체계 구축 5단계’ 발표
소니 해킹과 공공 및 금융 기관 해킹 등 국내외적으로 보안 사고가 잇따르고 있다. 이러한 보안 사고의 주요 특징은 해킹 사고 발생 수개월전 이미 해킹을 시도한 흔적들이 발견되었다는 점이다. 이는 이미 국내외 해킹사고가 공개되기 이전 수개월 동안 여러 가지 방법을 통한 해킹 시도 및 정보유출이 있었다는 것을 짐작할 수 있다. 즉, 수개월, 혹은 그 이상의 기간 동안 정보 해킹을 위해 치밀하게 준비하고 계획했을 것이다.
 
최근의 해킹공격은 예전처럼 재미 삼아 혹은 호기심에 장난처럼 행하는 경우보다는 다수의 인원으로 조직된 전문가들이 수개월 또는 1년 이상의 기간에 걸쳐 준비하고 공격을 감행한다. 이것이 바로 우리가 알고 있는 APT(지능형 지속 위협) 공격이다.
 
그러나 아직까지 많은 조직들의 보안체계는 대부분 알려진 시그니쳐 기반의 방어체계를 갖추고 있어 이러한 지능형 공격에 대한 대응이 매우 어렵다. 공격자가 악성코드를 새롭게 컴파일 하는 작업은 어렵지 않을뿐더러 시그니쳐 기반의 방어체계를 무력화 시킬 수 있는 다양한 지능화된 악성코드는 점차 증가하고 있어, 이를 통해 공격자가 원하는 타깃에 쉽게 접근할 수 있게 된다. 요즘 발생하고 있는 해킹 사고의 경우에도 보안 시스템을 우회하고 기존의 보안 장비들이 탐지할 수 없는 방식을 통해 중요 정보가 유출되었다.
 
현재 많은 기업들이 구축하고 있는 보안 시스템들은 과거 10년 전의 시그니쳐 기반 예방 시스템을 현재도 그대로 운영하고 있다. 따라서 공격양상에 따른 방어체계의 근본적인 변화가 없다면 사이버위협은 앞으로 더 빈번히 심각한 공격으로 확대될 수 있다.
 
웹 보안 기업인 블루코트코리아(대표 김기태)는 오늘, APT 지능형 지속 위협 공격 대응을 위한 ‘인텔리전스 보안 체게 구축 5단계’를 발표했다.
 
블루코트가 발표한 ‘인텔리전스 보안 체계 구축 5단계’의 주요 내용은 다음과 같다.
 
1. 기존 보안정책 적용을 통해 알려진 악성코드 탐지 및 차단=기존의 사내 방화벽이나 시그니쳐 기반의 탐지, 차단 솔루션을 통해 알려져 있는 악성코드 및 C&C IP등을 빠르게 확인해 차단하여 일차적인 피해를 최소화 한다.
 
2. 샌드박스 등 최신 악성코드 탐지 솔루션을 활용해 멀웨어 탐지=샌드박스나 기타 다양한 탐지 툴을 이용해 알려지지 않은 악성코드 분석이 필요하다. 특히 시그니쳐 기반의 현 보안 시스템 기반의 한계 극복을 위해 실시간으로 모든 트래픽을 저장하고, 각 카테고리별로 확인하여 능동적인 위협 요인을 탐지하고 분석하는 것이 추가로 필요한 시점이다.
 
3. 네트워크 트래픽을 패킷 단위로 분석해 트래픽 위협 분석 및 탐지=네트워크에 보안카메라를 설치한 것처럼 네트워크 전체 트래픽을 면밀히 분석하여 위협 요인을 분석하고 탐지해야 한다. 블루코트의 Security Analytics Platform 솔루션은 위와 같은 네트워크 포렌직을 위한 최적의 솔루션으로, 트래픽을 실시간으로 촬영하여 의심스런 사람이 출입하거나 행동했을 경우 경보를 띄우거나 이후에 세밀하게 탐지 분석해 근본원인을 쉽게 찾아낼 수 있도록 돕는다.
 
4. 지속적인 보안 상황 모니터링을 통한 보안 정책 업데이트=지속적인 위협 요인 분석을 통해 얻은 정보를 기반으로 보안 정책을 수정해야 한다. 이를 위해 사내 다양한 보안 솔루션을 함께 통합 관리하여 위험 신호를 상세하게 분석하고 전체 시스템에 적용하여 일관된 보안 정책을 유지해야 한다.
 
5. 인텔리젼스 보안 정책 환경 구축=자사뿐만 아니라 전세계에서 발생하는 수많은 보안 위협을 확인하여 방어 체계를 구축함으로써 자사 IT 인프라의 안정성을 높여야 한다. 이를 통해 수개월 동안 네트워크에 잠복하고 있는 멀웨어를 효율적으로 탐지하고 분석하여, 분석결과를 토대로 한 합리적인 대책을 세울 수 있는 진보한 보안체계를 구축할 수 있는 환경을 제공한다. 블루코트는 이러한 분석 정보를 전 세계 15,000여 개 고객사 및 7,500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 '블루코트 글로벌 인텔리전스 네트워크'를 통해 제공하여 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인해 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다
 
블루코트코리아 김기태 대표는 “최근 국내외 해킹 사건으로 너무나 쉽게 무너지는 현재의 보안 방어체계를 전 국민이 목격하고 있다. 나무만 보지 말고 이제는 숲을 봐야 할 시점이다. 해킹의 한 공격 형태를 보며 그것을 막기 위한 고민이 아닌 네트워크 전체를 어떻게 바라 보며 탐지 분석해야 할지를 고민해야 할 시점인 것이다. 보안 사고는 예방이 가장 이상적이며. 위협 탐지는 의무가 된 시점이다”라고 강조했다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com