능동적 네트워크 분석과 모니터링 통해 보안위협 탐지·차단해야

[보안뉴스 김태형] “최근 발생했던 대규모 정보보안 사건을 보면 기존 보안 솔루션을 우회하거나 오랜 시간동안 원하는 정보들을 얻을 때까지 은밀하게 공격을 위한 작업을 진행하기 때문에 공격이 발생해 정보가 유출될 때까지는 알 수가 없습니다. 이에 기존 수동적 대응보다는 능동적인 대응이 필요합니다.”

조남용 EMC RSA 차장은 네트워크 분석 및 보안 서비스 전문기업 징코스테크놀러지(대표 채연근, www.gingkos.co.kr)가 12일 서울 삼성동 오크우드호텔에서 개최한 ‘RSA-Netwitness와 함께하는 가을산책’이라는 세미나에서 이같이 밝혔다.

조 차장은 ‘APT 지능형 지속공격에 대한 현실적 대응방안’이라는 주제발표에서 “기존의 수동적인 정보보안보다는 능동적인 대응, 즉 공격의 탐지·제거를 위해 자동탐지 보다는 사람에 의한 모니터링 탐지와 이를 수집·분석하는 보안 프로세스에 더 많은 투자를 해야 한다”고 말했다.

이와 같이 능동적으로 네트워크의 트래픽과 패턴 등을 수집하고 분석한 결과를 IPS, IDS에 포함시켜야 하고, 이를 위해 모든 네트워크 트래픽을 저장 및 모니터링함으로써 알려지지 않은 악성코드와 제로데이 공격을 탐지하고 차단해야 APT 공격에 적절한 대응이 가능하다는 것.

조남용 RSA 차장은 “현대캐피탈 정보유출, 농협 전산망 마비, SK컴즈 회원 정보유출 사건 등에서 보면 모두 완벽하고 허를 찌르는 공격이었다. 특히, SK컴즈 사건의 경우 해외에서도 완벽하게 허를 찌르는 공격으로 많이 알고 있다”고 설명했다.

이러한 사건에서 가장 주목해야 할 점은 해커들이 이러한 공격을 수행하기 위해 얼마나 많은 준비와 노력을 했는지 생각해봐야 하고, 이와 똑같은 공격은 다시 발생하지 않는다는 것이다.  

그는 “이러한 공격에 대해서 현재는 선제적으로 대응하기 위한 방법을 찾아내기 어렵다는 것이 문제이다. 앞서 말한 것과 같이 기존 보안 시스템을 우회하고 있고, 안티바이러스도 이러한 악성코드를 잡아내는 것이 30% 정도에 불과하기 때문에 보안관제에서도 이를 탐지하기는 어렵다”고 말했다.

하지만 그는 “결국은 해커와의 시간 싸움이다. 해커의 공격 징후는 오랜 시간 치밀하게 준비하기 때문에 미리 알 수 없다. 사전에 탐지가 되더라도 이를 분석하고 조치를 취하는 시간이면 해커가 이미 정보를 유출한 이후가 된다”고 주장했다.

따라서 이러한 공격을 막기 위해서는 사람에 의한 면밀한 네트워크 분석과 모니터링을 통한 탐지·차단이 필요하고, 이를 위해서는 조직의 업무 프로세스에 이러한 체계가 마련되어야 한다는 것이다. 

조 차장은 “이러한 문제 해결을 위해서 RSA의 ‘NetWitness’와 같은 네트워크 분석 플랫폼이 네트워크 상황을 명확히 파악해 그에 따른 적절한 정책을 제시할 수 있다”고 밝혔다.

RSA의 NetWitness는 Session 기반 네트워크 분석 플랫폼으로 알려지지 않은 악성코드, 제로데이 공격을 탐지하고 최신 탐지 정책에 대해 실시간 업데이트가 가능한 네트워크 보안위협 탐지·분석 솔루션이다.

특히, 이 솔루션은 비즈니스 및 보안에 따라 인프라를 유연하게 확장할 수 있고, 언제나 안전하고 중단없는 레코딩 프로세스가 가능하며, 데이터가 레코딩 및 처리될 때마다 실시간 분석이 가능하다는 것이 장점이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>