A-1. 고급기술 정보나 고객정보 등 정보자산 보호가 우선인지, 서비스의 연속성을 유지하는 것이 우선인지 등 공격으로부터 지켜야 할 자산이나 인프라에 대한 우선순위를 결정해야 합니다. 그 다음 벤더별 특징 및 장단점을 파악하고 가능한 예산범위 내에서 가장 효과적인 솔루션을 선택하는 것이 바람직합니다. APT 공격은 특정 목적을 달성하기까지 지속적으로 이뤄지기 때문에 단계적으로 진행되기 마련입니다.

네트워크 솔루션, 포렌식 솔루션, 이벤트관리 등 다른 보안 솔루션들과 협업을 통해 다계층에서 위협 정보를 실시간 수집하고 분석이 이뤄져야 APT 공격에 효과적으로 대응할 수 있습니다. 그러나 보안장비나 솔루션은 위협요소나 공격 가능성을 최소화하는 역할을 하는 것이고, 이를 활용해 모니터링 및 이상징후를 찾아내는 것은 사람입니다.

담당인력의 수준에 따라 위협여부 판단, 보안시스템 운영 정책·임계치·경고 설정 등 실제 상황에서 차이가 나고, 솔루션을 통해 수집되는 정보를 어떻게 분석하느냐에 따라 솔루션의 효과도 차이가 나게 됩니다. 내부 보안정책과 보안조직 등이 뒷받침 될 수 있는지도 고려해야 할 것입니다.

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

A-2. APT 공격에 대한 효율적인 대응전략은 무엇보다 탐지가 우선이라고 할 수 있습니다. 또, APT는 특정 국가를 넘어서서 발생하는 경우가 많으므로 많은 악성코드 샘플에 대한 분석 및 지원이 가능한 업체의 제품을 선택하는 것이 좋습니다.

(김 석 노브레이크 대표/ostoneo@gmail.com)

A-3. 완벽한 방어가 불가능한 APT 공격이기 때문에 지속적인 보완이 가능한지 검토할 필요가 있습니다. 우선 △어떤 방식으로 다양한 APT 패턴을 수집하는가? △어떤 방식으로 지속적인 업데이트를 지원하는가? △어떤 검증방법으로 악성코드를 탐지, 차단하는가? △정탐과 오탐의 비율과 주로 오탐이 발생하는 과정이 무엇인가? △APT 솔루션의 단점을 보완하는 보완통제는 존재하는가? 등을 검토해야 합니다.특히 단점을 보완하기 위해서는 탐지되지 않은 악성코드와 행위를 찾아야 하는 것이니 네트워크 기반의 IDS/IPS나 End Point의 백신 같은 HIDS가 필요합니다.

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-4. APT는 너무도 다양한 공격방식을 사용하기 때문에 결국 행위 기반 분석이 필요합니다. 이를 위한 가상화 기반 샌드박스 분석 기능이 가장 중요하며 암호화된 트래픽의 복호화를 위한 Proxy 장비의 구매도 같이 검토되어야 할 것입니다.

A-5. APT 방어와 같은 전문화된 솔루션은 이를 운영하는 인력 또한 전문지식을 요구합니다. 또한 기업 서비스 특성이 각기 다르기 때문에 시스템에서 제공하는 기능 외 서비스에 특화된 기능들이 요구될 수도 있습니다. 그렇기 때문에 솔루션 도입 뿐 아니라 운영방안에 대한 부분도 충분히 고려되어야 합니다.

(강정훈 11번가/jhkang@sk.com)

A-6. APT 대응 솔루션 선택 시에는 새로운 악성코드에 얼마나 빠르게 대응할 수 있는지, 얼마나 많은 분석 데이터를 갖고 있는지도 중요하지만 실제로 그러한 솔루션 하나를 도입해서 모든 악성코드를 막을 수 있을지 생각해보는 것이 좋습니다.

APT 대응 솔루션과 함께 검토하면 좋을 것 같은 솔루션은 외부에서 유입되는 파일들을 관리하는 ‘외부유입파일관리 솔루션’, 외장매체를 제어하는 ‘매체제어’, N/W 트래픽 관리 및 방화벽 솔루션이 있으며, 이를 통해 악성코드가 유입되는 경로를 효과적으로 관리할 수 있습니다.

(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>