2014.05.13

악성코드와의 전쟁, 지금은 사고와 기술을 현대화할 때

Antone Gonsalves | CSO
최근 수 천 개 기업의 네트워크 트래픽을 분석한 연구에 따르면, 이 기업들 가운데 상당수가 악성코드와 봇을 호스팅하고 있었다. 이에 대해 전문가들은 이제라도 기업들이 하루 빨리 악성 소프트웨어를 감지하는 등의 접근법을 현대화 할 필요가 있다는 결과라고 주장했다.

보안 업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)가 최근 공개한 이 보고서에 담긴 내용은 여러 CSO/CISO들을 고심하게 만들었다.

가장 불편했던 결과는 조사 대상 기업의 84%에서 악성코드에 의한 시스템 감염이 발견됐다는 사실과 약 3/4의 기업 네트워크에서 한 개 이상의 봇이 확인됐다는 점이었다.

물론 감염률 같은 특정 수치 자체만으로 위험 정도를 평가하기엔 무리가 있다. 모든 악성코드의 위험도가 동일한 것은 아니기 때문이다. 치명적인 하나의 악성코드가 어느 정도 대응책이 알려진 다수의 악성코드보다 위험할 수 있는 것이다.

포레스터 리서치의 애널리스트 타일러 쉴즈는 “악성코드 비율이나 악성코드 감염 수 등은 일부 모호함을 내포하는 개념들이다. 이러한 수치들은 어떻게 감염됐지, 어떤 악성코드가 시스템에 존재하는지를 정확히 이야기하는데 한계를 지닌다”라고 지적했다.

이번 2014 보안 보고서(2014 Security Report)가 말한 문제는 악성코드의 경향성이다. 체크포인트는 2시간 당 1회 이상 시스템 내부 인물이 악성코드를 다운로드하는 기업의 비율이 2012년 14%에서 이듬해에는 58%로 3배 이상 증가했다 밝혔다.

또한 이 보고서는 네트워크 내부에 봇이 존재하는 기업의 비율 역시 매년 63~73% 수준의 증가율을 보이고 있다고 언급했다. 바로 조치를 취하지 않아 1개월 이상 활성화되는 봇의 비율도 77%에 달했다.

시만텍의 정보보안 부문 상무인 브라이언 다이는 최근 월 스트리트 저널(The Wall Street Journal)과의 인터뷰를 통해 이번 연구가 안티-바이러스 소프트웨어와 같은, 전통적인 ‘서명 기반(signature-based) 보안’이 더 이상 유효하지 않음을 보여주는 결과라고 평가했다.

다이는 “이제 안티-바이러스 상품은 더 이상 시장 가치를 담보하지 못한다”라고 말했다.

다이가 20년 이상 백신 소프트웨어를 판매하는 회사의 인사라는 점에서 그의 발언은 더욱 의미가 깊다.

하지만 체크 포인트의 연구에서 확인할 수 있듯, 여전히 많은 기업들이 백신 소프트웨어 기술에 의존하고 있는 것이 시장의 현실이다. 이제는 변칙적인 악성코드 발생에 대비해 하드웨어와 소프트웨어, 네트워크 트래픽을 새롭게 바라볼 시점이다.

쉴즈는 “이제 좀더 적절한 감지 체계 구축에 투자할 때다. 10년 전 유효했던 방법론이 오늘날에도 그러할 것이란 생각은 버려야 한다”라고 조언했다.

오늘날 좀더 효율적인 방법론의 사례로는 출구 필터링(egress filtering) 등을 생각해볼 수 있다. 이는 한 네트워크에서 다른 네트워크로 이동하는 정보 흐름을 감시하고 제한하는 활동이다.

테스트 용으로 쓰이는, 잠재적 악성코드를 고립시키는 폭발실 테크놀로지(detonation chamber technology)나 침입 감지 시스템 등도 유용하게 선택해서 사용할 수 있다.

체크포인트의 보안 엔지니어링 부문 대표 켈먼 메그는 확인되지 않은 사이트에서 파일 다운로드를 제한하는 등 좀더 강력한 규정이 필요하며 이 역시 보안 수준을 높이는데 도움을 줄 것이라 조언했다. 그는 “실행 가능한 모든 파일들에 사전 승인을 요구하는 강력한 정책은 악성코드 감염률을 낮추는데 효과를 발휘할 것”이라고 말했다.

그는 “규정은 귀찮은 짐이 아니다. 진짜 짐은 발생한 문제 때문에 수 천 개의 기기를 정리하는 과정이다”라고 덧붙였다.

지난 해 수 천만 건의 고객 정보 및 신용 카드 데이터가 유출된 타깃(Target) 사태에서 확인할 수 있듯이, 기술 자체만으론 데이터를 보호할 수 없는 시대가 됐다.

파이어아이 같은 업체들이 제공하는 네트워크 모니터링 툴은 기업의 보안 담당자에게 데이터 유출이 일어나기 전 네트워크의 악성코드를 경고하는 역할을 수행할 수 있다. 그러나 이러한 기술 역시 그것이 전하는 경고에 대응하는 사람이 주의하지 않으면, 언제라도 제 2의 타깃 사태가 발생하는 것을 막아줄 수 없다. NTT 콤 시큐리티(NTT Com Security)의 평가 서비스 담당 이사인 크리스 카메조는 “기술은 우리를 돕는 도구다. 하지만 이것을 이용하는 것은 여전히 우리의 머리와 손이다. 테크놀로지가 전하는 소리에 언제나 귀를 기울여라”고 강조했다. ciokr@idg.co.kr



2014.05.13

악성코드와의 전쟁, 지금은 사고와 기술을 현대화할 때

Antone Gonsalves | CSO
최근 수 천 개 기업의 네트워크 트래픽을 분석한 연구에 따르면, 이 기업들 가운데 상당수가 악성코드와 봇을 호스팅하고 있었다. 이에 대해 전문가들은 이제라도 기업들이 하루 빨리 악성 소프트웨어를 감지하는 등의 접근법을 현대화 할 필요가 있다는 결과라고 주장했다.

보안 업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)가 최근 공개한 이 보고서에 담긴 내용은 여러 CSO/CISO들을 고심하게 만들었다.

가장 불편했던 결과는 조사 대상 기업의 84%에서 악성코드에 의한 시스템 감염이 발견됐다는 사실과 약 3/4의 기업 네트워크에서 한 개 이상의 봇이 확인됐다는 점이었다.

물론 감염률 같은 특정 수치 자체만으로 위험 정도를 평가하기엔 무리가 있다. 모든 악성코드의 위험도가 동일한 것은 아니기 때문이다. 치명적인 하나의 악성코드가 어느 정도 대응책이 알려진 다수의 악성코드보다 위험할 수 있는 것이다.

포레스터 리서치의 애널리스트 타일러 쉴즈는 “악성코드 비율이나 악성코드 감염 수 등은 일부 모호함을 내포하는 개념들이다. 이러한 수치들은 어떻게 감염됐지, 어떤 악성코드가 시스템에 존재하는지를 정확히 이야기하는데 한계를 지닌다”라고 지적했다.

이번 2014 보안 보고서(2014 Security Report)가 말한 문제는 악성코드의 경향성이다. 체크포인트는 2시간 당 1회 이상 시스템 내부 인물이 악성코드를 다운로드하는 기업의 비율이 2012년 14%에서 이듬해에는 58%로 3배 이상 증가했다 밝혔다.

또한 이 보고서는 네트워크 내부에 봇이 존재하는 기업의 비율 역시 매년 63~73% 수준의 증가율을 보이고 있다고 언급했다. 바로 조치를 취하지 않아 1개월 이상 활성화되는 봇의 비율도 77%에 달했다.

시만텍의 정보보안 부문 상무인 브라이언 다이는 최근 월 스트리트 저널(The Wall Street Journal)과의 인터뷰를 통해 이번 연구가 안티-바이러스 소프트웨어와 같은, 전통적인 ‘서명 기반(signature-based) 보안’이 더 이상 유효하지 않음을 보여주는 결과라고 평가했다.

다이는 “이제 안티-바이러스 상품은 더 이상 시장 가치를 담보하지 못한다”라고 말했다.

다이가 20년 이상 백신 소프트웨어를 판매하는 회사의 인사라는 점에서 그의 발언은 더욱 의미가 깊다.

하지만 체크 포인트의 연구에서 확인할 수 있듯, 여전히 많은 기업들이 백신 소프트웨어 기술에 의존하고 있는 것이 시장의 현실이다. 이제는 변칙적인 악성코드 발생에 대비해 하드웨어와 소프트웨어, 네트워크 트래픽을 새롭게 바라볼 시점이다.

쉴즈는 “이제 좀더 적절한 감지 체계 구축에 투자할 때다. 10년 전 유효했던 방법론이 오늘날에도 그러할 것이란 생각은 버려야 한다”라고 조언했다.

오늘날 좀더 효율적인 방법론의 사례로는 출구 필터링(egress filtering) 등을 생각해볼 수 있다. 이는 한 네트워크에서 다른 네트워크로 이동하는 정보 흐름을 감시하고 제한하는 활동이다.

테스트 용으로 쓰이는, 잠재적 악성코드를 고립시키는 폭발실 테크놀로지(detonation chamber technology)나 침입 감지 시스템 등도 유용하게 선택해서 사용할 수 있다.

체크포인트의 보안 엔지니어링 부문 대표 켈먼 메그는 확인되지 않은 사이트에서 파일 다운로드를 제한하는 등 좀더 강력한 규정이 필요하며 이 역시 보안 수준을 높이는데 도움을 줄 것이라 조언했다. 그는 “실행 가능한 모든 파일들에 사전 승인을 요구하는 강력한 정책은 악성코드 감염률을 낮추는데 효과를 발휘할 것”이라고 말했다.

그는 “규정은 귀찮은 짐이 아니다. 진짜 짐은 발생한 문제 때문에 수 천 개의 기기를 정리하는 과정이다”라고 덧붙였다.

지난 해 수 천만 건의 고객 정보 및 신용 카드 데이터가 유출된 타깃(Target) 사태에서 확인할 수 있듯이, 기술 자체만으론 데이터를 보호할 수 없는 시대가 됐다.

파이어아이 같은 업체들이 제공하는 네트워크 모니터링 툴은 기업의 보안 담당자에게 데이터 유출이 일어나기 전 네트워크의 악성코드를 경고하는 역할을 수행할 수 있다. 그러나 이러한 기술 역시 그것이 전하는 경고에 대응하는 사람이 주의하지 않으면, 언제라도 제 2의 타깃 사태가 발생하는 것을 막아줄 수 없다. NTT 콤 시큐리티(NTT Com Security)의 평가 서비스 담당 이사인 크리스 카메조는 “기술은 우리를 돕는 도구다. 하지만 이것을 이용하는 것은 여전히 우리의 머리와 손이다. 테크놀로지가 전하는 소리에 언제나 귀를 기울여라”고 강조했다. ciokr@idg.co.kr

X