실시간대응체계, 시그니처 정확성, 내부 네트워크 보호기능 필수

지속적인 보안정책 유지 및 관리 필요

과거 네트워크 보안을 위협하는 가장 큰 요소는 직접 서버를 공격하는 해킹이었으나 요즘은 클라이언트 PC를 공격해 네트워크망 전체에 영향을 미치는 웜ㆍ스파이웨어의 위력이 점점 커지고 있다.

이에 따라 기업에서는 눈에 보이지 않는 해킹보다 눈으로 확인할 수 있는 웜ㆍ스파이웨어가 생산성 저하의 주범으로 부상함에 따라 엔터프라이즈 고객들은 이 위협요소에 적합한 해결책을 원한다.

웜의 침투경로는 이메일뿐만 아니라, PC보안 취약점을 공격하는 패킷 등으로 다양하다. 기업 내 하나의 PC가 웜에 감염이 되더라도 순식간에 기업 내 대부분의 PC를 감염시키는 전염성을 가지고 있다.

한 조사에 따르면 IT 관리자가 우려하는 보안의 가장 큰 이슈는 웜(전체의 45.83%)인 것으로 나타나기도 했다. 또한 스파이웨어는 사용자의 동의 없이 사용자 정보를 빼내어 마케팅 등에 이용하기도 하고 무차별적으로 광고를 뜨게 하거나 인터넷 브라우저 첫 화면을 바꿔 놓기도 하고, 웹 브라우저에 툴바를 추가해 업무의 연속성을 저해하는 것으로 나타났다.

또한 시스템 자원을 점유해 다른 애플리케이션이 이용할 프로세싱과 메모리를 부족하게 만들어 직접적으로 PC를 다운시키지는 않더라도 결과적으로 전체 시스템을 느리게 해 생산성을 저하시킨다.

안철수연구소 전략마케팅부 안병선 과장은 “스파이웨어는 시스템다운 등으로 인해 코스트를 증가시키는 것 외에도 바이러스나 웜과 결합하기도 하고 또는 트로이목마와 결합해 정보유출 기능까지 갖춘 형태가 될 것이라는 예측이 나와 그 위험성은 더욱 커져가고 있다”며 “향후 이것은 실제 사고로 이어져 중요한 기업자산이 외부로 유출될 경우 큰 피해가 발생할 것”이라고 전망했다.

안철수연구소가 지난해 동안 집계한 통계에 따르면 신종 스파이웨어가 9,717개에 달해 신종 악성코드 2,956개보다 약 3배 많았고 문의 및 신고건수도 일반적인 악성코드보다 약 2배 더 많은 4만3백건에 달한 것으로 나타났다.

이에 대해 안병선 과장은 “IPS도 신종 웜을 효과적으로 방어하기에 적합하지 못하며 일부 정상적인 패킷을 공격패킷으로 오인하는 문제가 있는 것으로 파악되고 있다”며 “웜ㆍ스파이웨어과 최근 문제시되고 있는 제로데이공격 등에 효과적으로 대응하기 위해서는 실시간 대응 체계, 시그니처의 정확성, 내부 네트워크 보호 기능 등이 필수적”이라고 밝혔다.

안병선 과장은 웜과 스파이웨어를 네트워크에서 효과적으로 대응하기 위해 필수적인 3가지 요건을 제시했다.

첫째, 24시간 365일 쉬지 않고 대응할 수 있고 웜의 출현에서 종료까지 전체 라이프 사이클에 대응할 수 있는 서비스 인프라가 뒷받침돼야 한다. 기존 IPS는 과거 네트워크 장비를 개발했던 경험을 근원으로 한 제품이기 때문에 단순한 트래픽 처리속도 경쟁으로만 제품을 특성화 했을 뿐 실제적인 웜 차단 성능의 우수성과 웜 차단을 위한 실시간 시그니처 생산 배포 능력은 도외시해온 것이 사실이다. 이는 IPS 제품 개발업체 중에서 전문 대응 조직을 갖추고 실시간 시그니처 제작과 배포를 위한 대응팀을 갖춘 곳이 드물다는 것이 이를 방증한다.

둘째, 시그니처의 정확성이다. 현재 IPS를 도입한 사용자들이 가장 불만을 표시하는 것은 오탐 문제이다. 이는 기존 IPS업체가 보안 대응 역량을 보유한 전문 업체가 아니기 때문에 나타나는 또 다른 문제이다. 대부분의 IPS가 Anomaly Detection 기능과 Self Learning을 제고하고 있으나 이는 웜 시그니처의 부족과 대응력 부재를 가리기 위한 이론상의 기술일 뿐이다.

셋째, 내부 네트워크 보호 기능은 기업 네트워크가 외부의 위협뿐 아니라 내부로부터의 위협에도 노출돼 있다는데 기인한다. 보안 정책이 적용되지 않은 오래된 PC가 작동되면서 내부망에 웜을 감염시키거나 외부로부터 유입된 휴대용 컴퓨터가 내부 네트워크에 연결되면서 웜을 확산시키기도 한다. 이러한 내부의 보안 사고로 인한 웜 확산시에 해당 시스템을 격리하고 보안 패치를 적용할 수 있는 페이지로 자동 연결하는 기술이 필요하다. 물론 관리자에게도 경고가 전달해 즉각 해당 시스템에 대한 조치를 취할 수 있어야 한다.

전세계에서 매일같이 발표되는 수많은 취약점에 대해 각각의 위험도에 따른 대응을 전사적으로 수행하는 것은 보안담당자들에게 현실적으로 어려운 일이다. 또한 소프트웨어 또는 하드웨어 제조업체가 제공하는 핫픽스나 패치 프로그램 또는 수동 조치방법도 항상 안정적인 것이 아니다.

우선 패치를 급하게 내놓고 보자는 식의 면피용 대응후에 서비스 팩이나 시큐리티 팩이란 이름으로 다시 새로운 패치나 안정화된 버전을 내놓는 경우가 많기 때문에 Critical Service Sever를 운영하는 관리자로서는 검증되지 않은 패치를 함부로 적용할 수는 없다.

안병선 과장은 “어제까지 정상적으로 동작했던 시그니처와 휴리스틱 룰이 오늘은 심각한 오탐을 일으킬 수도 있다”며 “특정 웜과 해킹 공격에 대해 과거에 한번 성공적으로 대응했다 하더라도 지속적으로 정책을 유지, 관리하지 않는다면 언제든 기업 네트워크를 마비시키는 내부의 골치덩이가 될 수 있다”고 설명했다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지.>