2015.12.29

벤더 기고 | 2016년 기업들에게 보안이 최우선 순위 과제가 된 이유

조셉 그린 | CIO KR
2015년에도 수많은 해킹 사고 소식이 각종 미디어를 통해 쏟아졌다. 2016년에도 공격 수가 기하 급수적으로 늘어날 것이며, 공격 경로도 지속적으로 증가할 것이다.

2016년 기업에게 있어 보안이 최우선 순위 과제로 자리잡게 된 이유는 한 마디로 기업들이 공격을 받고 해킹을 당하고 있기 때문이다. 예를 들어, 소니 픽처스엔터테인먼트는 1년 동안 공격을 당했다. 공격자들은 돈을 요구하지도 않았으며 그냥 100TB의 데이터를 훔쳐갔을 뿐이다. 지금도 위키리크스에서 소니픽처스 CEO의 이메일을 읽어볼 수 있다.

->2016 IT 전망 보고서 - IDG Deep Dive

공격은 전세계 전역에서 발생한다
전세계에서 가장 많은 해킹사고가 발생하는 지역은 미국이다. 하지만 미국만 공격받는 것이 아니라 각국의 모든 조직과 기업들이 공격받고 있다. 다른 국가의 해킹 사례가 드러나지 않는 이유는 미국에서처럼 공개적으로 보고해야 할 의무가 없기 때문인 경우가 많다. 홍콩 기업을 대상으로 하는 피싱 공격이 다수 이뤄지고 있는 것으로 보고되고 있으며, 말레이시아 항공의 경우 이미 큰 피해를 입은 바 있다. 호주에서도 대규모 공격 사례가 있었다.

뉴질랜드에서는 교통위반 벌금 메일을 빙자한 랜섬웨어가 등장했다. 교통 신호를 위반했다는 메일을 열어보면 크립토월(cryptowall) 3.0이 설치됐는데, 대부분의 파일이 암호화가 되고 이를 풀기 위해서는 공격자에게 특정 기한 내에 비트코인을 지불해야 했다.

한국만을 표적으로 한 악성코드인 다크서울(DarkSeoul)도 있다. 이는 지난 2013년 320 사이버테러 시 국내 주요 은행과 방송사 전산망을 마비시켰던 악성코드다. 2015년 11월 이의 변종이 유럽 내 운송 및 물류업계를 표적으로 한 공격에서 재등장했다.

2016년, 새로운 보안 플랫폼의 조건
이렇듯 기업을 대상으로 한 공격이 전세계 곳곳에서 지속적으로 발생하고 있지만 기업들의 보안 대응은 변화환 환경에 부응하지 못하고 있는 것이 현실이다.

오늘날 애플, 구글, 세일즈포스닷컴, 마이크로소프트 등 소위 잘 나가는 기업에게는 성공적인 플랫폼이 있다. 마이크로소프트는 윈도우 애저, 스카이드라이브, 원드라이브 등 자사만의 클라우드 플랫폼을 만들어가고 있으며, 아마존의 경우 인터넷 서점으로 시작했지만, 현재 그 플랫폼을 통해 각종 영역으로 확장해가고 있다.

사용자에게 이러한 ‘플랫폼’이란 하나의 기기에서 모든 서비스를 받을 수 있는 것을 의미한다. 특히 클라우드 시대가 도래하면서 사용자들은 자신의 기기를 통해 기업에 승인받지 않고, 관리 및 제어에서 벗어난 애플리케이션을 좀더 자유롭게 사용하고 있다. 이른바 섀도우IT(Shadow IT)가 증가하고 있는 것이다.

예를 들어, 박스(Box)와 같은 클라우드 스토리지 서비스의 경우, 접속 화면에서부터 보안 위협이 있지만 사용자들은 인지하지 못한다. 박스 서비스의 기본 옵션을 보면, 회사에서 접속할 수 있는 명단이 있으며 링크만 있으면 누구든지 접속할 수 있다. 보안팀에서 우려하는 것은 바로 이런 부분들이다.

클라우드 상에서의 보안 문제는 기존 보안 영역에서 다루던 방법과는 전혀 다른 새로운 방식이 필요하다. 팔로알토 네트웍스가 아페쳐(Aperture)를 통해 SaaS 앱을 모두 살펴볼 수 있도록 한 것도 바로 이 때문이다.

새로운 플랫폼의 시대에는 데이터의 ‘양’ 또한 중요하다. 구글의 피터 노빅이 말했듯이 구글의 검색엔진이 마이크로소프트의 빙보다 나은 이유는 알고리즘이 아니라 좀더 많고 최적화된 데이터 때문이다. 플랫폼이란 하나의 서비스로 정보가 갖고 있는 힘을 사용자에게 제공하는 것을 의미하며 팔로알토 네트웍스가 2016년 보안 플랫폼을 위해 데이터에 집중하고 있는 이유다.

공격 시나리오를 기반으로 한 방어 모델 구축
공격 방법과 횟수가 늘어나고 공격 경로도 지속적으로 증가하는 상황에서 완전한 방어란 불가능하다는 말은 부인하기 어려운 현실이다. 실제로 어떤 개별 회사도 모든 공격을 완벽히 방어할 수는 없으며 이는 팔로알토 네트웍스 또한 마찬가지다. 대신 팔로알토 네트웍스는 사전 방어(Prevention)를 중심으로 보안을 강조한다.

팔로알토 네트웍스 연구팀이 분석한 결과, 실제 공격이 이뤄지는 공격 시나리오 자체는 그리 많지 않았다. 현재 공격자들이 실행하는 공격 시나리오는 전세계적으로 500~5,000개를 넘지 않을 것으로 추정한다. 수십 만 이상의 공격들이 이런 공격 시나리오를 반복할 뿐이다.

이렇게 공격 라이프사이클을 이해하면 이에 기반을 둔 방어 모델을 구축할 수 있다. 공격의 기술이나 악성코드가 비록 새로운 것이라고 하더라도 어느 지점에 어떤 방식으로 침투 시도가 있을 것인지 어느 정도 예측이 가능해지는 것이다. 또한 공격 라이프사이클 각 단계에서 정확히 대응하도록 함으로써 보안 사고를 최소화할 수 있다.

한편 이런 사전 방어 전략은 예전부터 존재해왔으며, 당시에는 유일한 해결책이기도 했다. 현재의 방어 모델인 다양한 위협에 대한 즉각적인 탐지와 신속한 대응은 구체적인 공격에 초점을 맞춘 포인트 솔루션이 등장한 이후에서야 나온 전략이다.

위협 정보 공유를 통한 방어 전략이 최선
사전 방어 전략이 전부라는 것은 아니다. 사전 방어 전략을 통해서는 전체 공격 가운데 95% 정도를 막을 수 있으며, 보다 효과적인 방어를 위해 방화벽과 엔드포인트 보안 등이 유기적이고 능동적으로 운영되는 통합 보안 플랫폼이 필요하다.

팔로알토 네트웍스가 2016년 이를 위해 제시하는 전략은 ‘팔로알토 네트웍스 엔터프라이즈 보안 플랫폼(Palo Alto Networks Enterprise Security Platform)’이다. 이는 차세대 방화벽과, 차세대 위협 인텔리전스 클라우드, 차세대 엔드포인트 보안 이라는 3가지 요소로 구성된 강력한 방어 체계를 제공한다.

특히 첨단 공격에 대한 신속한 대응을 위해서는 최적의 보안 인텔리전스에 주목할 필요가 있다. 이를 통해 보안 관리자들이 각 단계에서 공격자들의 행동을 정확하게 파악할 수 있기 때문이다. 이를 위해서는 위협 지표 정보인 흔적지표(IOCs)를 공유하는 것이 중요하다. 2014년 이후 팔로알토 네트웍스는 시만텍, 인텔, 포티넷과 함께 CTA(Cyber Threat Alliance)를 설립해 최신 위협 정보를 서로 공유함으로써 보안 제품에 반영하는 협력체계를 갖추고 있다. CTA는 회원사 모두가 정보를 공유해 위협을 파악하도록 하고 있으며, 결과적으로 기업 고객은 아무런 불편 없이 최신 위협 정보가 반영된 제품을 사용할 수 있다.

*조셉 그린부사장은 팔로알토 네트웍스 아태지역 시스템엔지니어링 사전 영업 부문을 이끌고 있으며, 특히 기술전도사 역할에 초점을 맞추고 있다. 2014년 팔로알토 네트웍스에 합류하기 전에는 주니퍼 네트웍스를 포함해 네트워크 보안 분야에서만 19년 동안 근무했다. ciokr@idg.co.kr
 



2015.12.29

벤더 기고 | 2016년 기업들에게 보안이 최우선 순위 과제가 된 이유

조셉 그린 | CIO KR
2015년에도 수많은 해킹 사고 소식이 각종 미디어를 통해 쏟아졌다. 2016년에도 공격 수가 기하 급수적으로 늘어날 것이며, 공격 경로도 지속적으로 증가할 것이다.

2016년 기업에게 있어 보안이 최우선 순위 과제로 자리잡게 된 이유는 한 마디로 기업들이 공격을 받고 해킹을 당하고 있기 때문이다. 예를 들어, 소니 픽처스엔터테인먼트는 1년 동안 공격을 당했다. 공격자들은 돈을 요구하지도 않았으며 그냥 100TB의 데이터를 훔쳐갔을 뿐이다. 지금도 위키리크스에서 소니픽처스 CEO의 이메일을 읽어볼 수 있다.

->2016 IT 전망 보고서 - IDG Deep Dive

공격은 전세계 전역에서 발생한다
전세계에서 가장 많은 해킹사고가 발생하는 지역은 미국이다. 하지만 미국만 공격받는 것이 아니라 각국의 모든 조직과 기업들이 공격받고 있다. 다른 국가의 해킹 사례가 드러나지 않는 이유는 미국에서처럼 공개적으로 보고해야 할 의무가 없기 때문인 경우가 많다. 홍콩 기업을 대상으로 하는 피싱 공격이 다수 이뤄지고 있는 것으로 보고되고 있으며, 말레이시아 항공의 경우 이미 큰 피해를 입은 바 있다. 호주에서도 대규모 공격 사례가 있었다.

뉴질랜드에서는 교통위반 벌금 메일을 빙자한 랜섬웨어가 등장했다. 교통 신호를 위반했다는 메일을 열어보면 크립토월(cryptowall) 3.0이 설치됐는데, 대부분의 파일이 암호화가 되고 이를 풀기 위해서는 공격자에게 특정 기한 내에 비트코인을 지불해야 했다.

한국만을 표적으로 한 악성코드인 다크서울(DarkSeoul)도 있다. 이는 지난 2013년 320 사이버테러 시 국내 주요 은행과 방송사 전산망을 마비시켰던 악성코드다. 2015년 11월 이의 변종이 유럽 내 운송 및 물류업계를 표적으로 한 공격에서 재등장했다.

2016년, 새로운 보안 플랫폼의 조건
이렇듯 기업을 대상으로 한 공격이 전세계 곳곳에서 지속적으로 발생하고 있지만 기업들의 보안 대응은 변화환 환경에 부응하지 못하고 있는 것이 현실이다.

오늘날 애플, 구글, 세일즈포스닷컴, 마이크로소프트 등 소위 잘 나가는 기업에게는 성공적인 플랫폼이 있다. 마이크로소프트는 윈도우 애저, 스카이드라이브, 원드라이브 등 자사만의 클라우드 플랫폼을 만들어가고 있으며, 아마존의 경우 인터넷 서점으로 시작했지만, 현재 그 플랫폼을 통해 각종 영역으로 확장해가고 있다.

사용자에게 이러한 ‘플랫폼’이란 하나의 기기에서 모든 서비스를 받을 수 있는 것을 의미한다. 특히 클라우드 시대가 도래하면서 사용자들은 자신의 기기를 통해 기업에 승인받지 않고, 관리 및 제어에서 벗어난 애플리케이션을 좀더 자유롭게 사용하고 있다. 이른바 섀도우IT(Shadow IT)가 증가하고 있는 것이다.

예를 들어, 박스(Box)와 같은 클라우드 스토리지 서비스의 경우, 접속 화면에서부터 보안 위협이 있지만 사용자들은 인지하지 못한다. 박스 서비스의 기본 옵션을 보면, 회사에서 접속할 수 있는 명단이 있으며 링크만 있으면 누구든지 접속할 수 있다. 보안팀에서 우려하는 것은 바로 이런 부분들이다.

클라우드 상에서의 보안 문제는 기존 보안 영역에서 다루던 방법과는 전혀 다른 새로운 방식이 필요하다. 팔로알토 네트웍스가 아페쳐(Aperture)를 통해 SaaS 앱을 모두 살펴볼 수 있도록 한 것도 바로 이 때문이다.

새로운 플랫폼의 시대에는 데이터의 ‘양’ 또한 중요하다. 구글의 피터 노빅이 말했듯이 구글의 검색엔진이 마이크로소프트의 빙보다 나은 이유는 알고리즘이 아니라 좀더 많고 최적화된 데이터 때문이다. 플랫폼이란 하나의 서비스로 정보가 갖고 있는 힘을 사용자에게 제공하는 것을 의미하며 팔로알토 네트웍스가 2016년 보안 플랫폼을 위해 데이터에 집중하고 있는 이유다.

공격 시나리오를 기반으로 한 방어 모델 구축
공격 방법과 횟수가 늘어나고 공격 경로도 지속적으로 증가하는 상황에서 완전한 방어란 불가능하다는 말은 부인하기 어려운 현실이다. 실제로 어떤 개별 회사도 모든 공격을 완벽히 방어할 수는 없으며 이는 팔로알토 네트웍스 또한 마찬가지다. 대신 팔로알토 네트웍스는 사전 방어(Prevention)를 중심으로 보안을 강조한다.

팔로알토 네트웍스 연구팀이 분석한 결과, 실제 공격이 이뤄지는 공격 시나리오 자체는 그리 많지 않았다. 현재 공격자들이 실행하는 공격 시나리오는 전세계적으로 500~5,000개를 넘지 않을 것으로 추정한다. 수십 만 이상의 공격들이 이런 공격 시나리오를 반복할 뿐이다.

이렇게 공격 라이프사이클을 이해하면 이에 기반을 둔 방어 모델을 구축할 수 있다. 공격의 기술이나 악성코드가 비록 새로운 것이라고 하더라도 어느 지점에 어떤 방식으로 침투 시도가 있을 것인지 어느 정도 예측이 가능해지는 것이다. 또한 공격 라이프사이클 각 단계에서 정확히 대응하도록 함으로써 보안 사고를 최소화할 수 있다.

한편 이런 사전 방어 전략은 예전부터 존재해왔으며, 당시에는 유일한 해결책이기도 했다. 현재의 방어 모델인 다양한 위협에 대한 즉각적인 탐지와 신속한 대응은 구체적인 공격에 초점을 맞춘 포인트 솔루션이 등장한 이후에서야 나온 전략이다.

위협 정보 공유를 통한 방어 전략이 최선
사전 방어 전략이 전부라는 것은 아니다. 사전 방어 전략을 통해서는 전체 공격 가운데 95% 정도를 막을 수 있으며, 보다 효과적인 방어를 위해 방화벽과 엔드포인트 보안 등이 유기적이고 능동적으로 운영되는 통합 보안 플랫폼이 필요하다.

팔로알토 네트웍스가 2016년 이를 위해 제시하는 전략은 ‘팔로알토 네트웍스 엔터프라이즈 보안 플랫폼(Palo Alto Networks Enterprise Security Platform)’이다. 이는 차세대 방화벽과, 차세대 위협 인텔리전스 클라우드, 차세대 엔드포인트 보안 이라는 3가지 요소로 구성된 강력한 방어 체계를 제공한다.

특히 첨단 공격에 대한 신속한 대응을 위해서는 최적의 보안 인텔리전스에 주목할 필요가 있다. 이를 통해 보안 관리자들이 각 단계에서 공격자들의 행동을 정확하게 파악할 수 있기 때문이다. 이를 위해서는 위협 지표 정보인 흔적지표(IOCs)를 공유하는 것이 중요하다. 2014년 이후 팔로알토 네트웍스는 시만텍, 인텔, 포티넷과 함께 CTA(Cyber Threat Alliance)를 설립해 최신 위협 정보를 서로 공유함으로써 보안 제품에 반영하는 협력체계를 갖추고 있다. CTA는 회원사 모두가 정보를 공유해 위협을 파악하도록 하고 있으며, 결과적으로 기업 고객은 아무런 불편 없이 최신 위협 정보가 반영된 제품을 사용할 수 있다.

*조셉 그린부사장은 팔로알토 네트웍스 아태지역 시스템엔지니어링 사전 영업 부문을 이끌고 있으며, 특히 기술전도사 역할에 초점을 맞추고 있다. 2014년 팔로알토 네트웍스에 합류하기 전에는 주니퍼 네트웍스를 포함해 네트워크 보안 분야에서만 19년 동안 근무했다. ciokr@idg.co.kr
 

X