2012.11.06

산업 스파이의 해킹에 대비하는 4가지 묘책

Righard Zwienenberg | CSO
악성코드는 매번 아주 빠른 속도로 변화를 거듭하고 있다. 스턱스넷(Stuxnet), 두쿠(Duqu), 플레임(Flame) 같이 군사 목적에 쓰일 수도 있는 첨단 악성 코드들이 속속 헤드라인을 장식하고 있는 것이 그 증거다.

ACAD/Medre.A 같이 산업 스파이 공격에 쓰이는 악성코드도 향후 부쩍 늘어날 전망이다. 악성코드에 대한 뉴스가 급증하는 이유는 무엇일까? 사실 새로운 소식은 아니다. 이전에도 이런 적이 있었다. 그러나 정보가 늘어나고 언론이 국가 주도의 악성코드 공격에 대해 다루면서 보안에 대한 대중 인식이 높아진 이후, 이런 소식들이 한층 정기적으로 등장하고 있다. 또 악성코드 공격을 발견하는 사례가 늘어난 데도 이유가 있다.

그러다 보니 "이런 공격으로부터 회사를 보호하려면 어떻게 해야 할까?"라는 질문을 하게 된다.

먼저 말해둘 내용이 있다. 현재 많이 쓰이는 보안 평가 기준으로는 이런 타깃 공격을 감지 못하는 경우가 대부분이다. 심지어 최신 안티 악성코드 솔루션으로도 이를 잡아내지 못한다. 안티 악성코드 소프트웨어를 사용하지 말라는 의미는 아니다. 안티 악성코드 솔루션은 위협을 파악, 제거하는 '방어선'으로 큰 도움이 된다. 또 안티 악성코드 소프트웨어는 점차 똑똑해지고 있다. 새 소프트웨어들은 행동 감지를 통해서만 위협을 탐지할 수 있다. 이런 방식이 아니라도 서명 데이터베이스 업데이트와 위협 엔트리를 통해 네트워크가 공격에 영향을 받았는지 판단할 수 있다. 시스템이 손상되고 데이터가 누출된 경우에도, 최소한 문제가 있다는 사실을 파악해 적절한 피해 평가와 피해 경감 절차를 시작할 수 있다.

이런 공격들은 내부 정보에 의존하는 때가 많다. 해커들은 이런 내부 정보를 통해 환경으로 진입하는 지점을 완화시킨다. 따라서 지적 재산을 훔치려는 스파이 공격으로부터 기업과 자산을 보호하는 최선의 방법은 사전 대책과 추가 대책을 마련해 이행하는 것이다.

1. 데이터 정책: 핵심 정보에 접속할 수 있도록 허용된 사람을 조사해, 관리해야 한다. 많은 사람들이 이용하는 네트워크에 지적 재산이 들어있는 데이터를 연결해 놓은 경우가 많다. 이러면 아주 쉽게 접근을 할 수 있다.

2. BYOD:  BYOD를 비용절감 솔루션으로 판단하는 기업들이 많다. 그러나 BYOD를 통해 절감할 수 있는 비용보다 더 많은 문제를 초래하기도 한다. 기기가 어디에 있는지, 해당 기기에 어떤 소프트웨어가 설치되어 있는지, 사본을 다운로드 했는지 모르는 때가 많다. BYOD를 도입했다면 관리/유지 소프트웨어를 설치해 이런 부분을 관리해야 한다. 또 기기 관리 메커니즘(Device Control Mechanism)을 설치해 데이터 누출을 막아야 한다. 이는 USB 장치 삽입, 데이터를 암호화 기능을 제공한다. 추후 기업 환경에 위치한 다른 시스템에서 이 데이터를 사용할 때, 데이터는 7mdash로 해독되어 사용할 수 있는 상태가 된다. 그러나 장치 관리 메커니즘이 없는 시스템으로 복제를 하면 사용할 수 없는 상태로 남아 있게 된다.

3. 핵심 인프라 보호: 지적 재산이 위치한 네트워크와 기업 네트워크를 분리하여, 접속할 필요가 있는 사람만 네트워크에 접속하도록 해야 한다. 그러나 여기에서 그쳐서는 안 된다. 네트워크에 접속할 수 있는 사람, 해당 네트워크에 접속할 수 있는 물리적 장소에 접근할 수 있는 사람을 판단해 기록으로 남겨야 한다. 해당 장소에 접근할 수 있는 사람들에 대한 보안 허가 체계를 갖췄으면, 회사 외부 인원들을 대상으로 이를 점검해야 한다. 예를 들어, 보안 관련 회사의 직원들이다. 또 협력업체가 유지보수를 위해 사용하는 특정 하드웨어도 대상이 된다. 회사 하드웨어가 제대로 작동하는지 감시하기 위한 하드웨어에 연결할 때 사용하는 노트북 컴퓨터도 대상이 될 수 있다.

4. 예기치 못한 행동 모니터링: 가장 까다로운 업무다. 뭘 살펴야 하는지 모르기 때문이다. 최근 산업 스파이 공격인 ACAD/Medre.A 사례의 경우, 악성코드가 SMTP를 통해 중국의 한 이메일 주소로 청사진 사본을 발송했다. 이런 코드들은 기업의 메일 서버(Mail Transfer Agent)를 이용한다. 다른 기능을 구축할 이유가 없다. 따라서 방화벽과 경고 시스템을 제대로 설정했다면, 이메일 전송을 감지해 예방할 수 있었다. 수만 건의 청사진이 누출됐다. 따라서 많은 기업들이 기본적인 감시 대책을 수립해 이행하지 않았다고 가정할 수 있다. 다른 경우라면, 포트가 단일(또는 소수) IP 주소로 빈번하게 접속되는 경우가 뭔가 잘못됐음을 알려준다.

지적 재산을 훔치려는 타깃 공격으로부터 스스로를 보호하는 방법에 정답은 없다. 소규모 공격이라면 오랜 기간 눈치를 채지 못할 수도 있다. 어쩌면 영영 그럴 수도 있다. 정보를 수집해 공부하고, 보안 벤더의 웹사이트를 방문해야 한다. 최근 등장한 위협들의 원리를 파악해 스스로를 보호하기 위해서다. 또 지적 재산이 해커의 손에 넘어가지 않도록 만전을 기해야 한다.

*Righard Zwienenberg는 24년간 안티-악성코드 업계에 몸담은 베테랑으로 ESET의 연구 담당 펠로우다. ciokr@idg.co.kr



2012.11.06

산업 스파이의 해킹에 대비하는 4가지 묘책

Righard Zwienenberg | CSO
악성코드는 매번 아주 빠른 속도로 변화를 거듭하고 있다. 스턱스넷(Stuxnet), 두쿠(Duqu), 플레임(Flame) 같이 군사 목적에 쓰일 수도 있는 첨단 악성 코드들이 속속 헤드라인을 장식하고 있는 것이 그 증거다.

ACAD/Medre.A 같이 산업 스파이 공격에 쓰이는 악성코드도 향후 부쩍 늘어날 전망이다. 악성코드에 대한 뉴스가 급증하는 이유는 무엇일까? 사실 새로운 소식은 아니다. 이전에도 이런 적이 있었다. 그러나 정보가 늘어나고 언론이 국가 주도의 악성코드 공격에 대해 다루면서 보안에 대한 대중 인식이 높아진 이후, 이런 소식들이 한층 정기적으로 등장하고 있다. 또 악성코드 공격을 발견하는 사례가 늘어난 데도 이유가 있다.

그러다 보니 "이런 공격으로부터 회사를 보호하려면 어떻게 해야 할까?"라는 질문을 하게 된다.

먼저 말해둘 내용이 있다. 현재 많이 쓰이는 보안 평가 기준으로는 이런 타깃 공격을 감지 못하는 경우가 대부분이다. 심지어 최신 안티 악성코드 솔루션으로도 이를 잡아내지 못한다. 안티 악성코드 소프트웨어를 사용하지 말라는 의미는 아니다. 안티 악성코드 솔루션은 위협을 파악, 제거하는 '방어선'으로 큰 도움이 된다. 또 안티 악성코드 소프트웨어는 점차 똑똑해지고 있다. 새 소프트웨어들은 행동 감지를 통해서만 위협을 탐지할 수 있다. 이런 방식이 아니라도 서명 데이터베이스 업데이트와 위협 엔트리를 통해 네트워크가 공격에 영향을 받았는지 판단할 수 있다. 시스템이 손상되고 데이터가 누출된 경우에도, 최소한 문제가 있다는 사실을 파악해 적절한 피해 평가와 피해 경감 절차를 시작할 수 있다.

이런 공격들은 내부 정보에 의존하는 때가 많다. 해커들은 이런 내부 정보를 통해 환경으로 진입하는 지점을 완화시킨다. 따라서 지적 재산을 훔치려는 스파이 공격으로부터 기업과 자산을 보호하는 최선의 방법은 사전 대책과 추가 대책을 마련해 이행하는 것이다.

1. 데이터 정책: 핵심 정보에 접속할 수 있도록 허용된 사람을 조사해, 관리해야 한다. 많은 사람들이 이용하는 네트워크에 지적 재산이 들어있는 데이터를 연결해 놓은 경우가 많다. 이러면 아주 쉽게 접근을 할 수 있다.

2. BYOD:  BYOD를 비용절감 솔루션으로 판단하는 기업들이 많다. 그러나 BYOD를 통해 절감할 수 있는 비용보다 더 많은 문제를 초래하기도 한다. 기기가 어디에 있는지, 해당 기기에 어떤 소프트웨어가 설치되어 있는지, 사본을 다운로드 했는지 모르는 때가 많다. BYOD를 도입했다면 관리/유지 소프트웨어를 설치해 이런 부분을 관리해야 한다. 또 기기 관리 메커니즘(Device Control Mechanism)을 설치해 데이터 누출을 막아야 한다. 이는 USB 장치 삽입, 데이터를 암호화 기능을 제공한다. 추후 기업 환경에 위치한 다른 시스템에서 이 데이터를 사용할 때, 데이터는 7mdash로 해독되어 사용할 수 있는 상태가 된다. 그러나 장치 관리 메커니즘이 없는 시스템으로 복제를 하면 사용할 수 없는 상태로 남아 있게 된다.

3. 핵심 인프라 보호: 지적 재산이 위치한 네트워크와 기업 네트워크를 분리하여, 접속할 필요가 있는 사람만 네트워크에 접속하도록 해야 한다. 그러나 여기에서 그쳐서는 안 된다. 네트워크에 접속할 수 있는 사람, 해당 네트워크에 접속할 수 있는 물리적 장소에 접근할 수 있는 사람을 판단해 기록으로 남겨야 한다. 해당 장소에 접근할 수 있는 사람들에 대한 보안 허가 체계를 갖췄으면, 회사 외부 인원들을 대상으로 이를 점검해야 한다. 예를 들어, 보안 관련 회사의 직원들이다. 또 협력업체가 유지보수를 위해 사용하는 특정 하드웨어도 대상이 된다. 회사 하드웨어가 제대로 작동하는지 감시하기 위한 하드웨어에 연결할 때 사용하는 노트북 컴퓨터도 대상이 될 수 있다.

4. 예기치 못한 행동 모니터링: 가장 까다로운 업무다. 뭘 살펴야 하는지 모르기 때문이다. 최근 산업 스파이 공격인 ACAD/Medre.A 사례의 경우, 악성코드가 SMTP를 통해 중국의 한 이메일 주소로 청사진 사본을 발송했다. 이런 코드들은 기업의 메일 서버(Mail Transfer Agent)를 이용한다. 다른 기능을 구축할 이유가 없다. 따라서 방화벽과 경고 시스템을 제대로 설정했다면, 이메일 전송을 감지해 예방할 수 있었다. 수만 건의 청사진이 누출됐다. 따라서 많은 기업들이 기본적인 감시 대책을 수립해 이행하지 않았다고 가정할 수 있다. 다른 경우라면, 포트가 단일(또는 소수) IP 주소로 빈번하게 접속되는 경우가 뭔가 잘못됐음을 알려준다.

지적 재산을 훔치려는 타깃 공격으로부터 스스로를 보호하는 방법에 정답은 없다. 소규모 공격이라면 오랜 기간 눈치를 채지 못할 수도 있다. 어쩌면 영영 그럴 수도 있다. 정보를 수집해 공부하고, 보안 벤더의 웹사이트를 방문해야 한다. 최근 등장한 위협들의 원리를 파악해 스스로를 보호하기 위해서다. 또 지적 재산이 해커의 손에 넘어가지 않도록 만전을 기해야 한다.

*Righard Zwienenberg는 24년간 안티-악성코드 업계에 몸담은 베테랑으로 ESET의 연구 담당 펠로우다. ciokr@idg.co.kr

X