Offcanvas

리더십|조직관리 / 보안

강은성의 보안 아키텍트 | APT 공격, 어떻게 막을까?(2)

2015.04.10 강은성  |  CIO KR
지난 3월 25일에 CONCERT Forecast 2015가 열렸다. 이 행사는 320여 개 기업 정보보호조직이 가입해 있는 한국침해사고대응팀협의회(CONCERT)가 회원사 설문 조사를 통해 선정한 올해 사업계획과 고민에 대한 대책을 찾는 자리다. 올해 계획에는 표적 공격(APT: Advanced Persistent Threat), 고민에는 사람이 선정되었다고 한다.

표적 공격의 대상은 고객정보(개인정보, 금융정보 등), 산업기밀, 군사기밀, 국가기밀 등 다양하지만, 사회적 파장이 큰 고객정보가 데이터베이스에 대량으로 저장되어 있다고 가정하면, 고객 DB에 대한 범행은 크게 계정 및 권한이 있는 경우와 그렇지 않은 경우로 구분할 수 있다.

서버나 DB에 관한 권한이 없다 하더라도 고객 DB를 짧은 시간에 대량으로 훔칠 수 있는 지점이 바로 웹 서비스다. SQL 삽입공격과 같이 쉽게 사용할 수 있는 범행도구가 많아서 '탁월한 실력'을 갖추지 않더라도 웹을 통한 고객정보 범행이 가능하므로 보안실무자들이 늘 경계를 늦추지 말아야 한다.

권한을 갖고 범행을 저지르는 경우는 정당한 권한을 갖고 있거나 정당한 권한을 획득한다. 회사 외부나 사내 PC, USB, 서버 등 어디에서 접근하든 사내에 있는 여러 IT 인프라를 통해 DB까지 도달한다. 결국 네트워크 단에서 회사 침입을 막는 경계선 방어와 함께 이미 그 경계를 뚫고 들어왔거나 아예 회사 안에서 시작한 공격을 찾아내어 예방하는 내부망 보안이 표적 공격 방어의 핵심이라 할 수 있다. DB에 대한 최후의 방어막인 DB보안 솔루션은 잘 활용하면 여전히 중요한 역할을 하지만 별도의 제품 분류이므로 여기에서 다루지 않는다.

이런 관점에서 기업에서 활용할 만한 APT 대응솔루션을 검토해 보자.

APT 대응솔루션으로 시장에 가장 많이 알려져 있는 것은 파이어아이(FireEye)이다. 파이어아이는 한국 시장에서 기업보안 책임자에게 처음 역접속(reverse connection)을 보여주어 깊은 인상을 남겼다. 기존 안티바이러스 체계가 '알려진 위협'(Known threat)을 차단하고 있어서 '알려지지 않은 위협'(Unknown threat)을 통해 다양한 표적 공격이 발생하고 있다는 점에 불안해 하던 정보보호책임자들은 네트워크 보안제품의 1차 방어선을 뚫고 사내에 들어온 보안위협을 파이어아이의 관리자 화면을 통해 보면서 놀랐다. 뭔가 있으려니 하면서도 설마 했는데, 실제로 이런 상황이라고는 생각하지 못했기 때문이다. 여러 회사에서 PC 백신에 진단되지 않는 악성코드가 내부까지 들어 온 경우가 생각보다 많았다. 파이어아이는 표적 공격 방어에 대한 핵심과 기업 정보보호 조직의 고민을 잘 짚었다.

기술적으로 보면 파이어아이는 네트워크 경계선에서 내부로 들어오는 웹, 이메일 등의 프로토콜의 페이로드(Payload)를 인라인(in-line) 또는 미러링(mirroring)을 통해 수집하여 가상기계(VM: Virtual Machine)에서 분석하여 악성 행위를 하는 코드를 탐지/차단한다. 게다가 백신의 내장, 타 회사의 보안장비와의 연계 등 자체 제공하지 못하는 부분을 타 회사 제품과 연계하여 제공하는 전략은 그것 때문에 구매를 하지는 않는다 하더라도 제품의 안정감을 주는 데 한 몫을 한다. 세계적으로도 시장 점유율이 높아서 글로벌 보안위협 동향을 제공해 줄 수 있다는 점도 이 회사의 장점이다. 국내 여러 종류의 APT 대응솔루션이 나와 있지만 본격적으로 이 시장을 만든 것은 파이어아이라고 해도 과언이 아니다. 보안에 관심이 있는 대기업 중에 작년에 한번쯤 파이어아이를 검토한 회사들이 상당히 많을 것이다.

하지만 기업 보안실무 입장에서 보면 파이어아이는 비싸고, 악성코드가 설치된 PC의 분석 등 후속 조치를 자체적으로 해야 하기 때문에 일정 규모 이상의 보안 예산과 보안 조직을 갖춘 기업이 아니면 접근하기 쉽지 않다. 또한 USB를 통해 직접 PC에 접속하는 보안 공격이나 다양한 기술로 VM을 통과하는 악성코드를 탐지할 수 없다는 한계도 있다. 파이어아이가 맨디언트(Mandiant)를 사는 등 발빠르게 변신을 꾀하고 있으니 앞으로 어떤 솔루션을 낼지 기대해 볼만 할 것 같다.

국내 APT 대응 솔루션 중에서는 안랩의 MDS(Malware Defense System)가 많이 알려져 있다. 몇 년 전에 미국 시장에 진출했지만 국내에서는 그다지 눈에 띄지 않았는데, 이번에 찾아 보니 시장에서 활동이 없지는 않았다. MDS 역시 네트워크 트래픽의 페이로드를 분석하여 악성행위를 탐지하는 제품이다. MDS는 안랩이 갖고 있는 악성코드 시그니처를 이용해 정상인 파일과 악성인 파일을 사전에 거른 뒤에 VM에서 악성행위를 분석한다. 다른 APT 대응솔루션에 비해 MDS의 가장 큰 특징은 PC에 설치되는 MDS 에이전트가 있다는 점이다. 가트너의 분류에 따르면 페이로드 분석과 엔트포인트 행위 분석의 두 분류에 해당하는 제품이다.

안랩의 안티바이러스 제품인 V3와는 다른 MDS 에이전트는 네트워크 단에서 암호화나 안티 VM 기술 등을 이용해 VM을 통과한 악성코드를 PC 단에서 탐지하거나 실행을 보류시키고, MDS가 분석할 수 있도록 네트워크 단으로 보내는 기능을 한다. 분석 결과 악성행위를 하는 코드들을 삭제 또는 차단하는 것도 에이전트의 몫이다.

PC에 에이전트가 있어서 악성코드를 직접 처리하여 보안실무자의 관리 부하를 크게 줄여 주는 것은 보안 조직의 규모가 작거나 운영할 보안 제품이 많은 보안 조직에서는 중요한 요소다. 결국 네트워크 단에서의 악성행위 탐지율이 어느 정도인지, 네트워크와 엔트포인트의 MDS 모듈의 협업의 효과가 APT 대응 솔루션의 도입 목적을 충족시킬 정도로 Unknown threat을 탐지ㆍ차단하는지가 도입 여부를 결정하는 기준이 될 것이다. PC에 에이전트를 하나 더 올려야 하는 것은 PC에서 돌아가는 보안 프로그램이 많은 각 회사의 입장에서는 부담인데, MDS 에이전트의 역할이 그 부담 이상의 실익이 있는지 필드에서 좀더 확인될 필요가 있어 보인다.

기업에서 활용할 만한 APT 대응솔루션을 찾다가 나루시큐리티의 EPS ConnecTome이라는 제품을 알게 되었다. 이 제품은 네트워크 단에 설치되어 라우터를 통해 오가는 모든 트래픽을 분석한다. 별도의 센서를 내부망 스위치에 연결하면 내부망에서만 오가는 트래픽을 포함한 사내에 오가는 모든 트래픽을 분석할 수 있다. 가트너의 네트워크 행위 분석과 네트워크 포렌식 분류에 해당하는 제품이다. (EPS는 가트너의 같은 네트워크 포렌식 제품으로 분류될 수 있는 RSA사의 NetWitness와는 달리 페이로드를 저장하지 않아서, 저장용량이 크게 줄고 검색속도가 빠르다는 장점이 있다. 페이로드의 저장 여부에 관해서는 회사에 따라 선호도가 갈릴 수 있다)

EPS ConnecTome을 설치하여 얻을 수 있는 기대효과는 무엇보다도 네트워크에 접속하는 사내의 모든 서버와 단말의 시스템, OS, 통신하는 소프트웨어 종류 등 IT 인프라를 파악할 수 있다는 점이다. 보안솔루션 도입이나 보안정책 시행의 기반이 되는 동시에 그것들의 효과를 평가하는 수단으로 활용할 수 있다. 또한 이렇게 모든 네트워크의 트래픽을 분석함으로써 평상시에 보이지 않던 APT 공격 행위를 식별할 수 있다. 범행자가 직원의 계정을 탈취했거나 직원이 악의적으로 직접 실행하든지, 아니면 악성코드를 이용하든 사내 적법한 소프트웨어를 사용하든지 네트워크를 통해 이상 행위를 탐지할 수 있고, PC를 통해 직접 들어온 공격이나 사내 직원을 통해 행해지는 유출 문제도 네트워크를 거치는 한 찾아 낼 수 있다. 네트워크 행위를 분석하는 방법은 Unknown threat을 찾아낼 수 있는 가장 광범위한 방법이다.

회사에 네트워크에 설치해 놓은 제품을 직접 보니 깔끔하게 설계된 화면, 상세 내역을 손쉽게 보게 하는 다양한 링크, 깊이 있는 분석을 위한 세부 화면, 필요 시 명령을 입력할 수 있는 창까지 보안솔루션의 관리자 화면 같지 않은 UI를 갖추고 있는 것이 매우 인상적이었다. 10여 명밖에 되지 않는 조그만 회사에서 네트워크 보안장비를 개발했다는 것 자체가 대단하다고 생각했는데, 제품의 기능이나 완성도, 관리 UI까지 역량의 최대치를 발휘한 게 아닐까 싶다. 가격도 '착해서' 다른 APT 대응솔루션에 비해 비용 부담이 훨씬 적다.

이 제품의 단점은 다른 네트워크 보안장비와 마찬가지로 EPS를 통해 이상행위를 탐지했을 때 그것을 직접 차단, 삭제할 수 있는 역량을 보안조직이 갖춰야 한다는 점이다. 도입한 곳이 많지 않아 레퍼런스를 중요하게 생각하는 기업에서는 도입하기가 쉽지 않을 수도 있겠다. 개인적으로는 보안제품을 웬만큼 도입한 기업에서는 한번쯤 도입을 검토해 볼 만한 매력적인 제품으로 보였다.

APT 대응솔루션은 법규의 직접적 강제 없이 기업에서 보안 위험을 줄이기 위한 필요성으로 인해 형성된 시장이다. 시장이 초기 단계이고, 보안 공격과 그에 대한 대응 기술이 계속 발전하고 있기 때문에 앞으로도 연구개발이 더 필요한 분야이기도 하다. 보안업체들이 기업 보안조직의 고민을 해결할 수 있는 제품을 낸다면 우리나라 보안솔루션의 새로운 지평을 열어 나갈 수 있는 제품군이 되지 않을까 싶다.

앞서 언급했듯이 표적 공격은 한두 개의 솔루션으로 방어할 수 없고, 자체 IT 인프라에 관한 상세한 분석, 보호 대상의 선정, 그것을 위한 여러 보호 기제의 구축, 이상 행위 발생 시 신속한 대응이 있어야 한다. APT 대응솔루션은 표적 공격에 대응하기 위한 회사의 전체 프레임워크의 일부라는 점을 염두에 두고 검토할 필요가 있다는 점을 다시 한번 강조하고 싶다.

*강은성 대표는 소프트웨어 개발자로 시작하여 국내 최대 보안전문업체에서 연구소장과 시큐리티대응센터장을 거치고, 인터넷 포털회사에서 최고보안책임자(CSO)를 역임한 국내 최고의 보안전문가다. 그는 대기업 임원으로서 기업보안을 책임졌던 리더십과 보안 현업에서 얻은 풍부한 관리적ㆍ기술적 경험, 수사기관과 소송에 대응했던 위기관리 경험을 토대로 실효성 있는 기업보안 거버넌스와 보안위험 관리, 정보보호대책을 제안하고 있다. 지금은 CISO Lab을 설립하여 기업 차원의 보안위험 대응 전략을 탐구하여 기업 보안컨설팅과 보안교육을 진행하고 있으며, 저서로 IT시큐리티(한울, 2009)와 CxO가 알아야 할 정보보안(한빛미디어, 2015)가 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.