• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

아는 사람만 아는 숨은 실력자 록히드 보안팀의 배포 2015.08.06

사내에서만 사용해왔던 강력한 보안툴, 오픈소스로 업계에 풀어

모듈화를 기반으로 한 적응력 및 선제 방어 기능이 탁월


[보안뉴스 문가용] 세계적인 우주항공 및 방위산업체인 록히드 마틴(Lockheed Martin)이 자신들의 보안 노하우가 담겨 있는 툴을 오픈소스로 공개한다. 이는 록히드 마틴 사내에서 지난 3년 동안 사용해온 것으로 이름은 라이커보스(Laika BOSS), 주요 기능은 멀웨어 탐지이다. 보안팀에서 악성 공격 및 파일을 보다 더 원활히 분석할 수 있도록 해준다.

 

▲ “큰 일도 작은 것부터 시작하지” 영화 <프로메테우스>의 대사가 생각나는 록히드 마틴의 
   라이커보스(출처 : 프로메테우스 공식 홍보 사이트).


록히드의 사이버보안팀은 사실 아는 사람만 아는 업계의 숨은 실력자다. 선제 방어를 의미하는 사이버 킬 체인(Cyber Kill Chain)이라는 걸 처음 개발한 것도 다름 아닌 이 팀이다. 그러므로 라이커보스 역시 킬 체인이라는 방어 철학에 충실한 솔루션이라고 볼 수 있다.


라이커보스는 제일 처음 사이버 보안부서 내에서만 사용되었다. 록히드사의 자산과 인프라를 보호하는 게 그 목적이었고, 효과가 입소문처럼 퍼져 다른 부서에서도 점점 사용자가 늘어났다. 록히드사는 아예 외부 고객들과 연계된 고객담당 부서나 영업 부서에도 이 툴을 적용시켰고, 그것도 모자라 이제는 세상에 공짜로 이 툴의 비밀을 알리려고 한다. 이유는 단 하나, 혼자 가지고 있기엔 너무 강력해서.


“기업 고유의 영업 비밀만 아니라면 얼마든지 우리가 알고 있는 것들을 세상과 공유하자는 게 저희 회사의 철학입니다.” 록히드 측의 설명이다. “라이커보스는 그런 저희의 철학 상 감춰둘 수 없는 요소 중 하나라고 판단했습니다. 이 툴이 있으면 위협 분석가 혹은 멀웨어 분석가들의 일이 한결 쉬워질 것입니다.”


라이커보스가 다른 멀웨어 탐지 툴들과 비교했을 때 우위에 설 수 있게 해주는 장점은 무엇일까? 파일의 각 요소들을 세분화하는 능력이라고 록히드사의 네트워크 방어 담당인 아담 졸먼(Adam Zollman)은 말한다. “트래픽 전체를 관찰하는 게 아니라 각 요소들을 하나하나 들여다봅니다. 의미학적으로 뭔가 있는 거라면, 그것이 뭐든 세분화해서 분석합니다.”


이를 좀 더 쉽게 이해하기 위해 평범한 이메일 한 통을 분석한다고 치자. 이메일은 크게 본문과 첨부파일로 나눌 수 있다. 라이커보스가 이메일을 분석할 때는 본문을 먼저 분석하고, 첨부파일을 떼어내 따로 분석한다. 이때 첨부파일조차도 요소요소로 나눠 따로따로 분석한다. 분석의 모든 절차는 독립적인 모듈에서 따로 진행되기 때문에 분석 툴이 ‘감당 못하는’ 경우는 거의 없다고 보면 된다.


“이런 세분화가 가진 장점은 그럼 무엇일까요? 각 모듈마다 딱 한 가지 일만 잘 하면 된다는 겁니다. 하나의 모듈이 문제 전체에서 감당해야 하는 부분이 굉장히 작기 때문에 해커들이 아무리 변화무쌍하게 움직여도 각 모듈의 입장에선 크게 달라지지 않습니다. 역사도 길게 띄엄띄엄 보면 얼마나 역동적으로 변합니까? 하지만 매일매일 살아가는 사람 입장에서는 그 변화가 그리 크게 와닿지 않죠.”


이런 세분화 덕분에 같은 위협 첩보라고 해도 더 깊게 분석할 수 있고, 보다 더 짜임새 있는 분석결과를 얻어낼 수 있다. 네트워크의 패턴 분석이나 로그 분석과는 차원이 다르다고. “또한 모듈화되었기 때문에 첩보분석을 통해 얻어낸 결과들을 네트워크 트래픽의 겉면이 아니라 속속들이 적용할 수 있습니다. 그것 역시 라이커보스가 갖는 차별성이죠.”


록히드사의 보안 팀은 최초 20개 모듈로 구성되었던 라이커보스를 현재 100개 모듈로까지 늘렸다. “저희 내부에서만 이렇게 빠른 발전이 있었습니다. 오픈소스로 전환했을 때 얼마나 많은 모듈이 생겨날 지 상상도 할 수 없습니다. 기대감이 넘칩니다. 지난 수년 간 멀웨어를 잠입시키려는 해커들의 기발한 공격방법들을 수도 없이 접했습니다. 하지만 라이커보스의 유연성 혹은 세분화 능력 덕분에 안전하게 회사를 보호할 수 있었습니다. 어떤 경우는 변화를 쫓아가는 것뿐 아니라 예측마저도 가능했습니다.”


현재 이 툴은 깃허브(GitHub) 사이트를 통해 제공되고 있다.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>