최신 APT 공격, 어떻게 막아야 하나…CONCERT FORECAST 열려
한국침해사고대응팀협의회(CONCERT. 회장 류재철)는 3월 25일 한국과학기술회관 국제회의실에서 450여 명의 정보보호 실무자들이 참석한 가운데 ‘2015 기업 정보보호 이슈 전망 CONCERT FORECAST’를 개최했다.이날 키노트 발표로는 웹센스의 William TAM 디렉터는 ‘CAN YOUR ORGANIZATION BRAVE THE NEW WORLD OF ADVANCED CYBER ATTACKS?’이란 주제로 발표가 있었다.
그는 “대부분 기업에서 사이버 보안 프로그램은 해커들의 기술과 지속적이고 전술적인 공격을 막아내기는 힘든 상황”이라고 강조하고 또 “조직의 보안시스템에서 가장 약한 고리는 사람이다. 특히 임직원이 사고의 주범이 되는 경우가 많다”고 지적했다.
이어 미국 대형 유통기업 TARGET이 해킹을 당한 이유를 설명하면서 “TARGET은 300명 이상의 보안팀을 구축하고 있었고 샌드박싱 기술 공급업체로부터 위협 탐지 보고서를 받아 왔다. 그럼에도 불구하고 고객 데이터 유출 사고가 발생했다”며 “해당 보안업체는 보안위협 정보를 전달했지만 TARGET 보안담당자는 이런 경고를 무시해 왔다. 너무 많은 위협정보가 하루에도 수백개씩 전달되기 때문에 무엇이 정말 위협인지 구분할 수 없는 상황이 이어지면서 실제 공격에 대한 경고까지 무시하게 된 것”이라고 설명했다.
그러면서 “단일 위협 탐지는 더 이상 효과적이지 않다. 오늘날 최신 보안은 지능형 위협을 발견하기 위해 다수의 복합적인 방법론으로 여러 단계의 증거 분석을 요구한다”며 “웹센스 차세대 실시간 방어 엔진 ACE는 8가지 핵심 방어 평가 기능 세트가 통합된 것으로 평판분석, 행위기반 샌드박싱, 멀웨어방지, URL 실시간 보안분류, 콘텐츠 분류, 데이터 분류, 스팸/피싱 방지 등으로 웹과 이메일 공격에 대해 위협을 사전에 탐지할 수 있다”고 소개했다.
한편 넥슨코리아 이혁중 보안실장은 ‘APT 방어 솔루션 도입시 고려사항’에 대해 발표를 진행했다. 이 실장은 “최신 보안솔루션을 구축, 운영하는 기업과 기관도 해킹을 당하고 있다. 공격자들은 치밀한 사전준비 과정을 거쳐 철저히 공격 대상을 분석한다. 또 신종 악성코드를 사용해 백신탐지를 우회하고 국내외 다수의 C&C 서버를 활용해 공격하고 있다”고 전했다.
그는 이러한 공격들을 최대한 방어하기 위해 APT 공격 탐지 요소 기술을 △네트워크 포렌직 △네트워크 행위 분석 △End Point 탐지 △샌드박스 악성코드 분석 등 4가지로 분류했다.
네트워크 포렌직 기술은 네트워크 트래픽 수집, 메타데이터 생성, 트래픽 저장 및 검색 등이다. 네트워크 행위 분석 기술은 주기적 통신과 같은 네트워크 행위 패턴 활용으로 의심행위를 감지하는 기술이다. 또 End Point 탐지 기술은 패턴기반의 백신기능 및 의심스러운 이벤트를 자체 판단하는 기술이며 샌드박스 악성코드 분석은 첨부 파일 및 URL에 대한 유해성 검증 기술이 포함된다.
이어 블루코트 서종렬 상무는 ‘라이프사이클 방어 관점의 APT 공격 대응 솔루션의 진화’를 주제로 발표하면서 “기업 보안담당자들은 어떤 보안경고가 진짜 위험한지 알기 어렵다. 특히 최근 암호화 채널을 이용한 보안위협이 증가하고 있고 APT 공격에 SSL 사용이 확산되고 있다”며 “암호화 트래픽에 대한 가시성 확보와 모든 지점, 사용자들의 보안을 위한 유연한 구현, 기존 보안시스템 연계를 통한 효과적인 공격 대응, 대용량 정보 분석 방법론 등이 필요하다”고 강조했다.
더불어 다 계층 구조의 보안 라이프 사이클 방어 체계를 강조하며 “실시간 정보가 반영되는 DB를 통한 웹 접근 차단과 사전 분류된 정보를 통한 안전한 파일만 허용, 실시간 정보가 반영되는 악성 코드 정보를 통한 위협 차단으로 알려진 공격을 차단해야 한다. 한편 알려지지 않은 공격은 네트워크 빅데이터 보안 분석을 통한 모든 트래픽을 수집 및 분석해 다중화 시뮬레이션을 통해 알려지지 않은 악성 코드 분석으로 보안 라이프사이클 방어 체계를 구축해야 한다”고 덧붙였다.
이외 KT 임태은 차장의 ‘진화하는 통합보안관제’, ITLKOREA 강명훈의 ‘정보보안과 빅데이터 접목 시 고려사항’, GS홈쇼핑 홍경모 차장의 ‘컴플라이언스&DB 마케팅’, 바로니스 이동희 대표의 ‘데이터 거버넌스 관점에서 본 개인정보의 관리’, 지란지교시큐리티 강정구 부장의 ‘모바일 기기를 통한 내부정보유출 방지 방안’, KISA 송지훤 선임의 ‘최근 모바일 악성앱 동향’ 등에 대한 발표가 이어졌다.
한편 CONCERT 관계자는 “보안담당자 직무만족도 설문조사 결과 의외로 ‘경영진의 관심과 지원’이 오히려 ‘부담’으로 작용하면서 업무 만족도를 떨어뜨리고 있다는 분석이 나왔다. 최근 발생하는 보안사고들이 대부분 정보보호 역량이 상대적으로 높은 기업과 기관들에서 발생하고 있어 이런 현상이 발생하는 것 같다”며 “경영진도 보안에 어떻게 관심을 가지고 지원을 해야 할지 효과적인 방법에 대해 고민할 필요가 있다”고 말했다.
★정보보안 대표 미디어 데일리시큐!★
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지