대용량이란 많은 양의 정보만을 뜻하지 않아

많은 걸 담을 수 있는 그릇보다 촘촘한 거름종이가 더 절실

[보안뉴스 문가용] 길을 가다가 지나가는 사람 열 명 정도를 붙잡고 대용량이 무엇인지 물어보라. 아마 열 명이 각기 다른 답을 내놓을 것이다. 이 기사에 한해서는 대용량을 다음과 같이 정의하고자 한다. “매일 전세계적으로 생산되는 엄청난 양의 정보 중 사용이 가능한 정보를 고르고 캐내는 것.”

이런 정보들을 잘만 활용하면 조직 내 생산성을 높이고 판매 실적을 향상시키며 가격을 낮추는 것까지는 널리 알려진 사실이었다. 하지만 최근 들어 이런 대단위 정보들이 제공하는 리스크 및 취약점에 관한 다각도의 시각 덕분에 보안도 강화할 수 있다는 사실이 새롭게 조명 받고 있다.

대용량은 위의 정의에 따라 굉장히 많은 수의 정보를 처리하게 되어 있고, 이에는 당연히 여러 가지 보안 및 위협에 관한 것들도 존재하기 마련이다. 각종 보안 사건들이 입수되면 이 정보들을 서로 연결해 비교해보는 것도 가능해지고, 이렇게 되면 여러 가지 공격들의 우선순위를 매기는 것도 가능해진다. 대용량이 있으면 조각난 정보들을 의미 있게 묶어낼 수 있고, 이렇게 의미를 가지고 묶인 정보들은 보안 전문가들에게 유용한 재료가 된다.

오늘날의 복잡한 네트워크 환경에서 APT를 비롯한 여러 사이버 공격을 박멸하려면 누군가 시간과 돈을 투자해 다양하고 쉴새 없이 이루어지는 공격들을 미리 조사하고 감지할 뿐만 아니라 근원지를 추적해서 찾아내야 한다. 이런 공격적인 수비가 먼저 펼쳐져야지 지금처럼 공격에 대응한 수비만으로는 ‘박멸’에 근접할 수도 없다.

이에 대한 여섯 가지 방법을 제시하고자 한다. 모두 정보 피드와 관련이 있다.

1. DNS 피드

DNS 피드에는 새로 등록된 도메인, 스팸에 자주 활용되는 도메인, 새로 생성된 도메인 등의 정보가 포함된다. 이 정보는 전부 블랙리스트와 화이트리스트로 구분해 정리하고 추가 분석을 위해 널 라우팅 처리되고 로그 저장을 해야 한다.

네트워크의 DNS 서버를 활용해 밖으로 나가는 쿼리들을 확인하면 서버 주소가 없는 도메인을 파악할 수 있다. 이런 도메인을 하나라도 발견했다면 DGA(도메인 생성 알고리즘)의 가능성을 먼저 염두에 두어야 한다. 또 하나, 공격자를 추적하는 사건 대응 팀에는 유용한 정보가 하나 더 있기 마련인데, 바로 LAN 정보다. 가능한 한 확보하라.

2. C2 시스템

C2 혹은 C&C 정보는 블랙리스트를 확고하게 결정하는 데에 도움을 준다. 그리고 이 C2 관련 정보는 마음만 먹으면 얼마든지 구할 수 있다. 그리고 어떤 경우에라도 알려진 C2 네트워크에 절대 접근해서는 안 된다. 혹시 사건 대응 팀이 사이버 범죄에 대한 추적을 감행하고 있다면 허니팟(침입자를 속이는 소프트웨어)이 설치된 시스템을 활용해 C2 서버로부터의 공격을 유인하는 것도 가능하다.

3. 위협에 관한 정보

도메인 주소가 안전한지 아닌지 어느 정도 판단할 수 있도록 도움을 주는 IP 주소 및 도메인의 명성(혹은 악명)에 대한 피드도 존재한다. 이런 피드를 제공하는 자는 정보를 go나 no go와 같은 2진수로 제공하지만 최근에 와서는 위협수위 경고도 함께 제공하는 경우가 늘어나고 있다. 즉 단순히 위험하다 안 하다의 답을 넘어 등급까지도 함께 사용자에게 날아온다는 것이다. 이 등급 정보를 받은 사용자는 어느 정도로 기민하게 이 위협에 대응해야 할지 결정할 수 있게 된다.

4. 네트워크 트래픽 로그

네트워크 트래픽의 전부나 일부 정보를 제공하는 자들은 대단히 많다. 현장에서 실제로 대용량을 활용해 위협을 미리 감지한다고 해도 매일의 할 일과 여러 가지 잡다한 사건들 속에 흐지부지되기 십상이다. 이런 복잡다단한 상황 속에서 트래픽 정보를 순서대로 정리한 로그는 어떤 면에선 기본 중의 기본정보다. 트래픽 로그만 살펴도 정보 유출의 흔적을 발견할 수 있는 경우가 꽤 된다.

5. 한 군데 정도는 하니팟을 설치하라

특정 네트워크를 노리고 침입하는 멀웨어를 잡아내는 데 하니팟이 굉장히 유용해질 수 있다. 하니팟에서 가져온 정보의 가치는 어마어마하다. 특정 네트워크나 시스템을 노리고 들어오는 공격의 경우 다른 백신이나 방지 소프트웨어로부터 감지된 적이 없는 것이고, 그렇기에 하니팟에서 잡힌 정보는 고유성과 희귀성을 모두 갖게 되기 때문이다. 즉 아직 세상이 전혀 알지 못하는 공격을 겪게 될 가능성이 높다.

6. 정보의 질을 확인하라

마지막으로 피드라고 다 믿으면 안 된다는 걸 강조하고 싶다. 이런 피드 역시 곳에 따라 유로로 거래되는 만큼 분명 정보의 질에 차이가 있기 때문이다. 피드를 취급하고 정보를 평가하는 기능을 누군가, 혹은 어디 부서에선가는 수행해야 한다. 다음은 평가 항목의 일례다.

- 최근 정보는 언제 생성된 것인가?

- 평가를 위한 유의미한 샘플 확보가 가능한가?

- 새로운 피드가 매일 얼마나 추가되는가?

- 정보의 전부 혹은 일부를 무료로 제공받는 게 가능한가?

- 이 정보를 수집하는 데 시간이 얼마나 소요되었는가?

- 정보 제공자의 규모는 어느 정도나 되는가?

- 정보 제공자와 어떤 조건으로 계약을 맺고 있는가?(1년 이상 장기 계약은 추천하지 않는다)

앞으로도 계속해서 정보유출 사건이나 해킹 사건은 헤드라인을 장식할 것이 분명하다. 아무리 침입을 막고자 애를 써도 공격자는 늘 현존하는 방어책을 뚫을 수 있는 새로운 공격법을 고안하기 마련이다. 이런 때 대용량을 적절히 활용한다면 다양한 각도에서 이뤄지는 공격을 마찬가지로 다양한 각도에서 방어할 수 있을 것이다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>