2011.08.05

지능적 지속 위협(APT)의 대두••• 보안 우선순위 ‘지각변동’

Ellen Messmer | Network World
SBIC(Security for Business Innovation Council)는 고도로 목표 설정이 되어 있고, 철저히 조사를 거쳤으며 재정적으로도 충분히 뒷받침이 된 특화된 공격들이 일반화되고 있다고 보고했다. 또 이에 대하기 위해서는 보안에 대한 관점이 바뀌어야 한다고 주장했다.

오늘날 정보 보안 담당자들이 가장 걱정하는 것은 기업 정보들을 빼내려는 해커들의 온라인 침입이다. 실제로 소위 “지능적 지속 위협들”(Advanced Persistent Threats ; APT)이라고 불리는 것들이 만연해 있으며 수그러들 기색을 보이지 않고 있다. 그리고 이러한 현실은 IT로 하여금 네트워크 보안을 다시 생각하게 만들고 있다.

이베이(eBay), 코카콜라(Coca-Cola Company), SAP, 페덱스(FedEx Corp.), 존슨 앤 존슨(Johnson & Johnson) 및 노스롭 그루먼(Northrop Grumman) 등의 기업들에서 모인 최고 보안 책임자(CSO) 16명으로 이루어진 그룹인 SBIC는 “APT를 다루겠다는 말은 모든 것을 보호할 수 있다는 생각을 버린다는 것을 의미한다”라고 선언했다.

이 협의회는 최근 보고서 “고도화된 지속적 위협들이 주류가 될 때”(When Advanced Persistent Threats Go Mainstream)를 출간했다. 이 보고서는 대형 조직들이 맞는 문제들과 도전들을 간략히 설명하고 있다.

이러한 고도화된 지속적 위협(APT) 침투는 경쟁 기업들, 또는 조직적 범죄 집단, 어나니머스(Anonymous)과 같은 해커들과 마찬가지로 타 국가와 그들이 고용한 해커들에서 비롯될 수 있다. APT라는 용어는 미공군에서 중국 본토 어딘가로부터 발생한 것으로 추정되는 사이버 공격을 칭하기 위한 약칭으로 처음 사용된 것으로 추정된다.

SBIC의 보고서에 따르면, APT의 전체적 의미는 “고도로 목표 설정이 되어 있고, 철저히 조사를 거쳤으며 재정적으로도 충분히 뒷받침이 되고 특정 기관에 특화된 사이버 공격이다. 또 복수개의 벡터를 채용하고 ‘낮고 느린’ 기법을 사용하여 탐지를 피하는 것이기도 하다”라고 정의된다.

중요한 정보를 빼내기 위한 이 보이지 않는 침입 공격은 널리 퍼지고 있다. 구글, EMC의 RSA, 엡실론(Epsilon), 시티그룹(Citigroup), 워싱턴 포스트(The Washington Post), 에너지부 연구소, 오크리지 국립 연구소 및 북서태평양 국립 연구소를 포함한 몇몇 기업들과 국가 기관들이 이미 이 공격의 목표였었다.

SBIC의 회원인 노스롭 그루먼(Northrop Grumman)의 최고 CSO 티모시 맥나잇에 따르면, 최근 항공 우주 및 방위 업계는 정보를 훔치기 위해 침입할 가능성이 높은 12개의 분리된 그룹들을 선정하고, 이들로부터 어떻게 보호대책을 마련할지에 대해 토론했다.

16명의 CSO들은 보안 팀에게 다음과 같이 협회지를 통해 조언했다. “경계 위주의 관점(perimeter-centric view)에서 벗어나는 한편, 비즈니스 매니저와 밀접한 관계를 유지하면서 조직 내 “가장 중요한 부분”을 인지하고 이러한 “주요 자산”을 보호하라.”

그들의 보고서에서는 “주변부 강화에 집중하는 것은 지는 싸움이다. 오늘날의 조직들은 본질적으로 다공성 구조다. 기업 전체에 걸친 생명 주기와 전체 공급 체인의 데이터 전부를 보호하겠다는 생각을 바꿔라” 라고 기술돼 있다.

그리고 보고서는 다음과 같이 덧붙였다. “성공적인 방어의 정의는 ‘공격을 하지 못하도록 하는 것’에서 ‘가끔 공격이 들어오지만 그것을 가능한 빨리 인지하여 피해를 최소화 하는 것’으로 바꾸어야 한다. 조직이 이미 이와 같이 타협했다고 가정하라. 그리고 거기서부터 시작하라.”

CISO이자 이베이의 글로벌 사기, 위험 및 보안 부국장인 데이브 컬리네인은, APT 문제가 지금 당장 모두의 걱정거리 중 가장 상위에 있다는 점에는 의심에 여지가 없다고 말했다.

협회의 보고서는 이에 대한 대책으로 “상위 단계 지능 수집 및 분석”, “능동적 스마트 모니터링”, “개선된 접근 제어”, “효과적인 사용자 교육에 대한 진지한 접근” 등을 포함하는 7개의 권고안을 제시하고 있다.

최종 사용자들은 종종 스피어 피싱 기술의 타깃이 된다. 해커들은 이 기술을 이용하여 희생자들로 하여금 악성코드가 포함된 위험한 첨부파일을 열게 한다, 이는 기기를 위험에 빠트리고 해커들이 조직 네트워크에 보다 깊숙이 침투할 수 있는 기반을 마련해준다.

컬리네인은 스피어 피싱 시도를 정확하게 탐지할 수 있는 더 나은 제품들이 당장 요구되고 있다고 말했다. 그는 “적들은 오늘날의 스팸 필터링이 어떻게 작동하는지 모두 알고 있다”라고 지적했다.

은행을 포함한 일부 기업들은 스피어 피싱을 탐지하기 위한 접근법을 사내에서 개발하고 있다.  파이어아이(FireEye)나 댐볼라(Dambolla)와 같은 네트워크 공격 탐지 도구들을 통해 얻은 정보들을 이용해 이메일을 분석하고 있는 것이다.

그러나 대개의 기업들에게 있어 지속적인 사내 솔루션 개발은 부담스럽기 마련이다. 따라서 컬리네인은 첨단 기술 업계에서 스피어 피싱 탐지를 보안 제품의 혁신 분야로 간주했으면 한다고 밝혔다.

컬리네인은 또 클라우드 컴퓨팅 플랫폼의 보급이 APT에 관한 문제를 보다 더 복잡하게 만드는 것처럼 보인다며, IT 보안 담당자들이 클라우드 사용에 관한 계약 협상에 보다 능동적으로 참여해야 할 필요가 있다고 조언했다. ciokr@idg.co.kr



2011.08.05

지능적 지속 위협(APT)의 대두••• 보안 우선순위 ‘지각변동’

Ellen Messmer | Network World
SBIC(Security for Business Innovation Council)는 고도로 목표 설정이 되어 있고, 철저히 조사를 거쳤으며 재정적으로도 충분히 뒷받침이 된 특화된 공격들이 일반화되고 있다고 보고했다. 또 이에 대하기 위해서는 보안에 대한 관점이 바뀌어야 한다고 주장했다.

오늘날 정보 보안 담당자들이 가장 걱정하는 것은 기업 정보들을 빼내려는 해커들의 온라인 침입이다. 실제로 소위 “지능적 지속 위협들”(Advanced Persistent Threats ; APT)이라고 불리는 것들이 만연해 있으며 수그러들 기색을 보이지 않고 있다. 그리고 이러한 현실은 IT로 하여금 네트워크 보안을 다시 생각하게 만들고 있다.

이베이(eBay), 코카콜라(Coca-Cola Company), SAP, 페덱스(FedEx Corp.), 존슨 앤 존슨(Johnson & Johnson) 및 노스롭 그루먼(Northrop Grumman) 등의 기업들에서 모인 최고 보안 책임자(CSO) 16명으로 이루어진 그룹인 SBIC는 “APT를 다루겠다는 말은 모든 것을 보호할 수 있다는 생각을 버린다는 것을 의미한다”라고 선언했다.

이 협의회는 최근 보고서 “고도화된 지속적 위협들이 주류가 될 때”(When Advanced Persistent Threats Go Mainstream)를 출간했다. 이 보고서는 대형 조직들이 맞는 문제들과 도전들을 간략히 설명하고 있다.

이러한 고도화된 지속적 위협(APT) 침투는 경쟁 기업들, 또는 조직적 범죄 집단, 어나니머스(Anonymous)과 같은 해커들과 마찬가지로 타 국가와 그들이 고용한 해커들에서 비롯될 수 있다. APT라는 용어는 미공군에서 중국 본토 어딘가로부터 발생한 것으로 추정되는 사이버 공격을 칭하기 위한 약칭으로 처음 사용된 것으로 추정된다.

SBIC의 보고서에 따르면, APT의 전체적 의미는 “고도로 목표 설정이 되어 있고, 철저히 조사를 거쳤으며 재정적으로도 충분히 뒷받침이 되고 특정 기관에 특화된 사이버 공격이다. 또 복수개의 벡터를 채용하고 ‘낮고 느린’ 기법을 사용하여 탐지를 피하는 것이기도 하다”라고 정의된다.

중요한 정보를 빼내기 위한 이 보이지 않는 침입 공격은 널리 퍼지고 있다. 구글, EMC의 RSA, 엡실론(Epsilon), 시티그룹(Citigroup), 워싱턴 포스트(The Washington Post), 에너지부 연구소, 오크리지 국립 연구소 및 북서태평양 국립 연구소를 포함한 몇몇 기업들과 국가 기관들이 이미 이 공격의 목표였었다.

SBIC의 회원인 노스롭 그루먼(Northrop Grumman)의 최고 CSO 티모시 맥나잇에 따르면, 최근 항공 우주 및 방위 업계는 정보를 훔치기 위해 침입할 가능성이 높은 12개의 분리된 그룹들을 선정하고, 이들로부터 어떻게 보호대책을 마련할지에 대해 토론했다.

16명의 CSO들은 보안 팀에게 다음과 같이 협회지를 통해 조언했다. “경계 위주의 관점(perimeter-centric view)에서 벗어나는 한편, 비즈니스 매니저와 밀접한 관계를 유지하면서 조직 내 “가장 중요한 부분”을 인지하고 이러한 “주요 자산”을 보호하라.”

그들의 보고서에서는 “주변부 강화에 집중하는 것은 지는 싸움이다. 오늘날의 조직들은 본질적으로 다공성 구조다. 기업 전체에 걸친 생명 주기와 전체 공급 체인의 데이터 전부를 보호하겠다는 생각을 바꿔라” 라고 기술돼 있다.

그리고 보고서는 다음과 같이 덧붙였다. “성공적인 방어의 정의는 ‘공격을 하지 못하도록 하는 것’에서 ‘가끔 공격이 들어오지만 그것을 가능한 빨리 인지하여 피해를 최소화 하는 것’으로 바꾸어야 한다. 조직이 이미 이와 같이 타협했다고 가정하라. 그리고 거기서부터 시작하라.”

CISO이자 이베이의 글로벌 사기, 위험 및 보안 부국장인 데이브 컬리네인은, APT 문제가 지금 당장 모두의 걱정거리 중 가장 상위에 있다는 점에는 의심에 여지가 없다고 말했다.

협회의 보고서는 이에 대한 대책으로 “상위 단계 지능 수집 및 분석”, “능동적 스마트 모니터링”, “개선된 접근 제어”, “효과적인 사용자 교육에 대한 진지한 접근” 등을 포함하는 7개의 권고안을 제시하고 있다.

최종 사용자들은 종종 스피어 피싱 기술의 타깃이 된다. 해커들은 이 기술을 이용하여 희생자들로 하여금 악성코드가 포함된 위험한 첨부파일을 열게 한다, 이는 기기를 위험에 빠트리고 해커들이 조직 네트워크에 보다 깊숙이 침투할 수 있는 기반을 마련해준다.

컬리네인은 스피어 피싱 시도를 정확하게 탐지할 수 있는 더 나은 제품들이 당장 요구되고 있다고 말했다. 그는 “적들은 오늘날의 스팸 필터링이 어떻게 작동하는지 모두 알고 있다”라고 지적했다.

은행을 포함한 일부 기업들은 스피어 피싱을 탐지하기 위한 접근법을 사내에서 개발하고 있다.  파이어아이(FireEye)나 댐볼라(Dambolla)와 같은 네트워크 공격 탐지 도구들을 통해 얻은 정보들을 이용해 이메일을 분석하고 있는 것이다.

그러나 대개의 기업들에게 있어 지속적인 사내 솔루션 개발은 부담스럽기 마련이다. 따라서 컬리네인은 첨단 기술 업계에서 스피어 피싱 탐지를 보안 제품의 혁신 분야로 간주했으면 한다고 밝혔다.

컬리네인은 또 클라우드 컴퓨팅 플랫폼의 보급이 APT에 관한 문제를 보다 더 복잡하게 만드는 것처럼 보인다며, IT 보안 담당자들이 클라우드 사용에 관한 계약 협상에 보다 능동적으로 참여해야 할 필요가 있다고 조언했다. ciokr@idg.co.kr

X