최첨단 지능형 통합보안 시스템 갖추고 보안분석 전문가 양성해야

[보안뉴스=정정화 한국 EMC RSA 사업부 차장] 오늘날 전 세계의 많은 조직들은 폭발적으로 증가하는 디지털 정보를 처리하고 있다. 문명이 시작되고 2003년까지 인류가 생산한 데이터양은 5EXABYTES 이지만, 현재 시점에서는 이틀 만에 생성할 수 있는 양에 불과한 숫자이다. 현재 1.8ZETTABYTES 이상의 디지털 정보가 존재하며, 앞으로 10년 안에 40배 이상 증가할 것으로 전망된다.

이러한 정보의 폭발적인 성장은 업무를 수행하고 디지털 정보를 공유하는 속도가 의사소통(communication), 협업(collaboration), 비즈니스 처리(business transaction) 방법의 다변화로 인해 가속화되었기 때문이다. 이것은 오늘날 우리가 접하는 웹 플랫폼 기반 다양한 애플리케이션, 새로운 모바일 디바이스, 소셜 미디어, 클라우드 환경을 통한 하이퍼 커넥티드(Hyperconnected) 세상을 생각해 보면 쉽게 이해할 수 있다.

이렇게 디지털 콘텐츠가 풍부해지고 유통 속도도 빨라지면서 생산성의 향상을 가져왔지만, 반대로 해커의 공격에 노출될 가능성도 높아졌다. 사용자들이 디지털 세계의 자원을 활용하는 데 익숙해진 만큼 사이버 범죄조직 역시 디지털 세계의 취약점을 이용하는데 능숙해졌다고 할 수 있다.

2011년 RSA Security Brief에 따르면, 포춘지 선정 500대 기업의 60%가 악성코드에 감염된 이메일 주소를 가지고 있고 포춘지 선정 500대 기업의 88%가 내부 네트워크에서 봇넷(Botnet) 행위가 발견됐다. 현재 6천만 개의 변종 악성코드가 존재하는데, 이중 3분의 1이 작년 한해동안에 생성된 것이라고 발표했다.

정보보안업체 포네몬연구소(Ponemon Institute)의 조사자료에 따르면, 83%의 조직이 지능형 위협(Advanced Threat)에 의해 공격당했다고 인식하고 65%의 조직이 이에 대응하기 위한 충분한 리소스를 확보하지 못하고 있다고 생각하고 있는 것으로 나타났다. 또한, 침해발생 후 몇 일 이내에 데이터 유출이 발생했다는 조직이 91%이며, 79%의 조직이 침해 행위를 발견하는데 수 주일 이상 소요된다고 조사됐다.

이러한 지능형 위협은 신원정보를 포함한 개인정보, 신용카드 정보를 취득하는 것 이상으로 발전하여 경제적 이득을 위해 기업의 지적 재산을 탈취하며, 정치적·사회적 목적으로 국가기관의 정보를 탈취하고 시스템을 파괴하는 행위를 수행한다.

최근 빈번히 발생하는 보안사고들은 비교적 보안 인프라를 잘 갖추고 있는 대기업들의 기존 보안체계를 우회하여 무력하게 만드는 APT(Advanced Persistent Threat)가 대부분이다.

다음과 같은 실제 보안사고 및 공격 시나리오는 기존 보안장비로 대응하는 것이 불가능하다.

- 대중적인 메신저 실행파일로 위장하여 실행 시 특정 서버에 접속하고 공격자의 명령에 따라 악의적인 행위를 수행하는 파일을 서비스로 등록하고 실행시키는 행위는 특정 이벤트만을 모니터링하는 기존 보안 장비로 탐지하기란 거의 불가능한 일이다.

- 포털 서비스에 접근 했을 때 눈에 보이지 않는 프레임(frame)을 통해 악성코드 배포 사이트로 강제로 리다이렉트(redirect)시켜 악성코드를 감염시키는 행위는 특정 사이트의 접근만을 차단하는 정책으로 대응하는 보안장비를 우회할 수 있다.

- 시그니처 기반으로 악성코드를 탐지하는 백신에서는 동일한 지점에서 동일한 파일명으로 매일 패턴이 변조된 악성코드를 변종 배포하는 경우 해쉬(hash) 값이 변경되기 때문에 악성코드를 탐지하기까지는 수 주일이 걸릴 수밖에 없다.

- 인코딩, 암호화를 통해 난독화(Obfuscate)된 형태로 악성코드 배포 사이트로 이동시키거나, 다운로드 명령을 수행하는 경우는 보안 룰(Rule)에 의해서 탐지하는 것 역시 불가능한 일이다.

- 1~2개의 백신으로 전 세계의 다양한 악성코드와 제로데이 공격의 가능성이 있는 알려지지 않은 악성코드를 탐지할 수 없다.

- 알려진 포트를 기반으로 차단하는 보안장비에서는 비정형 포트를 사용하는 악성 트래픽을 차단할 수 없다(ex. 9292포트를 사용하는 FTP 트래픽).

- 범용적으로 사용하는 80, 443 포트를 통해 알려지지 않은 외부의 Command & Control 서버와 주기적으로 통신하여 내부 시스템에 영향을 주거나, 내부의 정보를 전송하는 경우는 대부분 기업의 보안정책을 우회할 가능성이 많다.

과거의 포인트 솔루션을 가지고 방어 위주의 대응과 개별 사건을 추적하는 형태로는 오늘날의 보안위협에 맞설 수 없다. 전문화된 인력과 조직에 의해 매우 정교하게 오랜 시간과 비용을 투자하는 APT에 맞서기 위해서는 기존의 보안 솔루션, 보안정책, 운영인력 및 프로세스 전반에 걸친 개선이 필요하고, 좀더 유연하게 대응할 수 있는 지능형 위협에 기반한 모델이 필요하다.

단순 룰(Rule) 기반이 아닌 리스크(Risk) 기반의 탐지와 격리된 개별사건이 아닌 정황에 근거한 분석, 로그에 의한 사후분석이 아닌 실시간으로 민첩하게 대응할 수 있는 보안 시스템과 분석 프로세스를 갖추어야 한다.

기존의 보안 도메인은 더 이상 유효하지 않다. 날로 지능화·고도화되고 있는 보안 위협에 맞서 디지털 세계가 잃어버린 신뢰를 회복하기 위해서는 독창적이고 혁신적으로 보안에 대한 기존 사고방식을 전환하며, ‘Tool’, ‘Process’, ‘People’ 이 유기적인 관계를 가진 최첨단 지능형 통합 보안 시스템을 갖추고, 보안 분석 전문가를 양성해야 더 이상의 소중한 개인정보가 유출되는 것을 원천적으로 차단할 수 있을 것이다.

[글 _ 정 정 화 한국 EMC RSA 사업부 차장(junghwan.jung@rsa.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>