• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

체계적인 해커조직의 공격을 방어하기 위한 스텝바이스텝 2015.08.17

해커의 입장에서 되팔아 수익을 낼 수 있는 정보에 대한 파악

유출되는 정보 중에 해커들이 진짜 노렸던 정보는 2%에 불과


[보안뉴스 주소형] 실력 있는 해커조직들에게는 공통적인 특징이 있다. 일단 그들은 언제나 정확한 타깃이 있다. 또한 기술적으로나 금전적으로나 모두 탄탄한 기반을 갖고 있다. 때문에 그들은 상당히 방대한 양의 정보를 적은 노력을 들여 빼낼 수 있다.


하지만 해커들 입장에서는 단지 많은 양의 정보를 빼내는 것이 중요한 게 아니다. 그들의 최종 목표는 해당 정보를 되팔아서 수익을 내는 것이다. 주로 해커조직들이 좋아하는 정보는 타깃 기업이 보유하고 있는 이메일, 고객정보, 지적재산, 통제된 데이터 등이다. 그런데 사실 이 같은 정보는 그들이 현재 해킹하고 있는 정보의 2%에 불과하다. 그 2% 정보를 위해 나머지 98%에 달하는 내부 워크스테이션이나 웹 사이트 등과 같은 네트워크를 공격하고 있다. 대부분의 해커조직들이 진짜 원하는 정보들과 이들이 연결되어 있기 때문이다.

 


이제 해커조직들이 노리고 있는 정보가 무엇인지 알고 어떤 경로를 통해 접근 하는지도 아는데 도대체 왜 아직까지 제대로 방어하지 못하느냐는 질문을 던지는 이들이 있다. 그런데 이게 현실에서는 말처럼 쉽지가 않다. 어디서부터 어떻게 해당 전략을 수립해야 할지 막막하기 때문이다. 이런 상황에서 보다 촘촘한 방어를 위해서는 단계별로 차근차근 실행할 수 있는 전략이 필요하다. 이에 4단계의 가이드라인을 준비했다.


1단계. 데이터를 분류해라

가장 먼저 각 기업에서 자사가 보유하고 있는 정보 중에 해커들이 노릴 만한 정보가 무엇인지 파악해야 한다. 즉 암시장 등에 되팔아서 돈이 될 수 있는 정보가 무엇인지, 해커의 입장에서 생각해 보라는 것. 이게 끝이 아니다. 이들에 대한 위험도, 민감도, 컴플라이언스 요구사항 등에 따라 등급을 매겨야 한다. 이 같은 정보는 각 기업마다 다를 것이다. 각자 가지고 있는 정보들이 다르기 때문이다.


해커들이 노릴만한 2% 정보를 파악했으면 이제 그들에 대한 관리가 필요하다. 분류별로 각기 다른 맞춤 보안 프로그램을 사용하고 주기적인 백업은 필수다. 취약점은 계속 나오기 때문에 해당 정보들에 대한 패치를 우선시해야 할 것이다.


2단계. 호스트 기반(host-level)의 감지전략을 수립해라

다양한 위협들에 대한 감지 전략을 선택할 때 호스트를 기반으로 해야 한다. 이를 위해서는 안티바이러스 기술에게 다시 한 번 기회를 주어야 할 필요가 있을 것이다. 보안에 대해 조금이라도 관심이 있는 이라면, 아마 여러 번 안티바이러스 솔루션에 대한 조롱과 비판을 들어봤을 것이다. 한물 간 기술이라고 말이다. 그래서 안티바이러스 기술을 불신하고 무시하고 있는 이들이 많다는 것을 알고 있다.


하지만 최근 안티바이러스 기술은 여러 단계 진화했다. 그저 악성 바이너리들을 매칭 하는 수준에서 나아가 이제 안티바이러스 기술들은 호스트 기반 침입 방지 시스템(host-level intrusion prevention system, HIPS)과 URL 매칭이 가능해졌다. 뿐만 아니라 IP 블랙리스팅(blacklisting)도 할 수 있고 대부분의 안티바리어스 제품들은 호스트 상태에 대한 모니터링까지 가능해졌다. 안티바이러스에 대해 갖고 있던 편견을 조금 허물고 한 번 다시 고려해 볼 필요가 있다.


3단계. 데이터를 단계별로 암호화해라

중요한 데이터를 아직도 암호화시키지 않는 곳들이 많다. 하지만 데이터 암호화는 기본이다. 단순한 데이터 암호화보다는 어떻게 암호화를 하느냐도 중요하다는 것을 간과해서는 안 된다. 일단 데이터 암호화에도 이제 종류가 있다. 대부분의 보안전문가들조차 보통 데이터 암호화라 하면 디스크(disk) 암호화까지만 생각하고 있다. 하지만 이제는 파일 및 애플리케이션 등을 기반으로 더욱 촘촘하게 암호화 시킬 필요가 있다. 암호화를 여러 단계 만들어 두라는 것이다.


원하는 정보에 접근하기 까지 한 개의 강력한 암호 툴보다 여러 단계의 암호화 툴이 보다 효율성이 높을 수 있다는 것을 생각해야 한다.

 

4단계. 2% 정보와 98% 정보를 띠어두어라 

해커조직들이 탐낼 만한 그 2%의 정보들과 나머지 98%를 분류해야 한다. 현재는 거의 대부분이 함께 연결되어 있는데 이들을 아예 다른 아키텍처를 사용하여 따로 떼어두어야 한다는 것이다. 물론 이는 금전적인 투자가 동반되어야 가능한 일이기도 하다. 하지만 꼭 필요한 과정이다. 언젠가는 이 두 가지 정보들을 분류해야 하는 날이 올 것이다.


또한 지금은 그 2% 정도의 정보 보안을 위해 굳이 98%의 정보들까지 모두 강력한 인증 등을 걸어두고 있는데 여기에 투입되는 예산들을 장기적으로 계산해보면 하루라도 빨리 결정하는 것이 현명할  판단으로 보인다. 예를 들어 단순 수치상으로 따져보아도 100개를 관리를 하는 것보다 2개를 관리하는 것이 더 쉽고 관리 성공률도 높다.

글 : 제프 쉴링(Jeff Schilling)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>