[인터뷰] 아버네트웍스 김영찬 한국지사장
“분석과 조치의 신속성은 생명...3일이 7시간으로 줄기도”

[보안뉴스 문가용] 사전에 예방하느냐, 사후에 잘 처리하느냐의 문제는 아직도 팽팽하게 갈리고 있지만 분명한 건 사이버 공격이 계속해서 증가한다는 것과 피해 발생시 긴급하게 조치를 취할수록 피해가 줄어든다는 것이다. 특히, 시간과 피해가 비례하는 디도스 공격에 특화된 장비라고 한다면 실시간 분석 및 조치로 ‘예방’에 한없이 가까운 방어를 선보일 수 있어야 한다. 스펙트럼이 그런 제품이라고 아버네트웍스는 자신있게 설명한다. 이와 관련 본지는 아버네트웍스 김영찬 한국지사장과 인터뷰를 진행했다.

보안뉴스 : 이번 ISEC 2016 행사에 참여해 선보인 스펙트럼(Arbor Spectrum) 제품에 대해서 간략히 설명해 주세요.
김영찬 : 디도스 방어 툴로, 보안 사용자 및 관리자의 편의성과 가시성 그리고 신속성을 염두에 두고 설계되었고 실시간 워크플로우 및 분석을 통해 보안팀에 강력한 힘을 실어줄 것으로 기대되는 제품입니다. 시장에 존재하는 어떠한 분석 포렌식 솔루션들보다 빠르고 효율적으로 위협을 조사하고 증명할 수 있게 해주는 제품이라고 보시면 됩니다. 실시간으로 분석 덕분에 효율성이 높습니다.

보안뉴스 : 기존 포렌식 솔루션과의 차별성은 무엇인가요?
김영찬 : 아버네트웍스 스펙트럼은 비용을 많이 들여 투자한 수많은 탐지와 방어 솔루션들인 샌드박스, 파이어월, 엔드포인트, IPS/IDS SIEM 등등의 제품과 역시 고비용이며 효율성은 미미한 기존 포렌식 솔루션의 사각지대에 놓이는 장비라고 생각하시면 됩니다. 위협 첩보, 트래픽을 분석하고 직관적인 워크플로우를 통해 실시간으로 조사하고 증명하여 조치하는 솔루션이죠.

보안뉴스 : 실시간 분석과 조치란 매우 중요한 의미인데 어떻게 가능한가요?
김영찬 : 기존의 포렌식 솔루션들은 탐지와 방어 장비들을 통과하고 내부로 침입해 들어온 불순 트래픽에 감염된 장비가 기업 내부를 2차 공격하거나 정보를 탈취해 나간 후에 사후약방문 격으로 원인분석과 향후 대책을 마련하기 위해 사용되고 있습니다. 그에 반해 스펙트럼은 이런 보안장비들을 통과한 불량 트래픽에 숨겨진 이상 동향이 감지되면 즉각적인 조사와 증명을 통해 문제가 발생되기 전에 사전 예방을 할 수 있는 솔루션입니다.

실제로 포렌식 솔루션을 사용하고 있는 고객이 원인 분석을 위해 최소 3일에서 일주일 이상 걸렸던 업무를 스펙트럼으로 7분 이내에 조치할 수 있었다고 합니다. 이것은 초보자라도 운영이 쉽고 간단해서 원하는 결과를 쉽게 얻어낼 수 있었기 때문입니다. 분석과 조치의 신속성은 생명입니다. 모든 트래픽을 저장하고, 분석해내고, 대책을 마련해내는 방식보다는 트래픽의 헤더 부분만을 저장해 즉시 조사하고 대책을 마련하는 게 기업의 피해를 최소화 하는 데 도움이 될 것입니다.

실제로 기존 포렌식 솔루션을 가지고 있던 기업을 조사해보니 네트워크 엔지니어나 중간레벨 분석가까지는 하루에 문제점을 찾아내고 조치할 수는 없었고 상위레벨의 분석가 정도만 하루에 3건 정도를 분석할 수 있었습니다. 하지만 스펙트럼을 이용하여 테스트해 본 결과 확연한 차이가 나는 것을 알 수 있었습니다.

보안뉴스 : 최근 들어 지능형 보안 위협이 증가하고 있다는데 기업이 보안투자에 고려해야 할 사항이 무엇인지요?
김영찬 : 대부분 기업들은 FW, IPS등 탐지와 방어에 모든 투자와 보안 전략을 세우고 있고 그곳에 투자를 함으로써 기업의 보안은 완전하다고 생각하고 있습니다. 그렇지만 글로벌 캠페인 공격 등으로 빈번하게 사고를 당하고 있습니다. 대부분 기업들의 생각처럼 탐지와 방어 장비로 100% 효과를 볼 수 있다면 우리가 출시한 스펙트럼이나 기존 포렌식들 같이 좀더 구체적으로 회귀분석까지 하려는 솔루션이 필요없겠지요.

하지만 현실적으로 그렇게 완벽한 보안 솔루션은 없으며 최근 일어나고 있는 대부분의 보안 사고도 조사해보면 이러한 보안 장비들이 앞단에 구축되어 운영되고 있는 것이 사실입니다. 그래도 크고 작은 사고는 지속적으로 발생하고 있는 것이고요. 앞으로는 탐지와 방어에 추가되는 투자보다는 보안 관련 대책에 선두적인 기업들처럼 기존의 투자된 장비를 효과적으로 운영하면서 다음 단계인 Hunting toolkit, NBA, Forensics등 미리 찾고 방지하는 곳에 투자와 전략을 세우는 것이 바람직해 보입니다.

보안뉴스 : 글로벌 캠페인 공격이란 무엇인지요?
김영찬 : 지능형 위협입니다. 이것은 악성코드를 갖고 스마트한 적대적 인재들에 의해 잘 연합된 공격의 형태로 진행됩니다. 이런 공격 캠페인은 기업의 가장 큰 리스크로 대두되고 있습니다. 이런 툴과 기술을 가지고 연합공격을 한다면 기존 보안 솔루션으로는 방어하기가 불충분합니다.

실제로 작년에 발생한 첨단공격은 7개 이상의 툴킷을 사용했으며, 절반 이하가 중요한 약점을 이용하였고, 지능형 공격의 40%가 악성코드를 사용하지 않았고 20%가 디도스 공격에 관여를 했습니다. 60%의 기업이 이런 크리티컬한 이벤트를 조사하는 데 평균 3일 이상이 걸렸고, 캠페인 공격이 200일 이상 기업 네트워크에 상주하였다는 통계입니다. 이런 캠페인 공격이 사실임에도 불구하고 과소평가되고 있습니다. 공격자는 한번만 이겨도 목표를 달성하지만 기업은 항상 매번 이겨야 합니다.

보안뉴스 : 마지막으로 한국시장에서의 스펙트럼을 판매할 전략은 무엇인가요?
김영찬 : 모든 기업에서 필요한 솔루션입니다. 포렌식 솔루션을 고려하고 있는 고객이나, 보안관제 업무를 담당하는 곳, 기업 내 실시간으로 모니터링 하여 사전 예방을 계획하고 있는 기업을 시작으로 공공기관, 금융권 등으로 확장해 나갈 예정입니다. 보안 사고의 전후 과정에 필요한 모든 솔루션을 도입하여 운영하고 있는 기업에서조차 미진했던 실시간 조사와 증명을 통한 사전 예방조치로 보안 사고를 막을 수 있는 강점이 있는 스펙트럼이 보안사고 예방에 많은 도움을 줄 것으로 기대하고 있습니다.
[국제부 문가용 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>