데리 멘키 포티넷 수석 보안 전략가


▲ 데리 멘키 포티넷 수석 보안 전략가





"보안 위협은 특정 정부나 단체에서 해결할 수 있는 문제가 아니다. 국가 간 침해사고대응팀(CERT), 보안정책 및 컴플라이언스 등에 대한 공조가 절대적으로 필요하다."
통합위협관리(UTM) 업체인 포티넷의 데릭 멘키 포티가드 수석 보안 전략가는 최근 한국을 방문, 본지와 단독 인터뷰를 갖고 "한국은 브로드밴드가 발달되어 있고 주민번호와 이름으로 인증을 하다 보니 해커의 표적이 되기 쉽다"며 보안 위협 해결을 위해서는 국가 간의 협조가 절실히 필요함을 강조했다.
포티넷 포티가드센터는 보안 위협, 취약성 정보, 보안 연구에 대한 최신 정보를 제공하는 온라인 보안업데이트 센터다. 데릭 멘키 포티가드 수석 보안 전략가는 보안에 대한 최근 트렌드를 가장 빨리 읽어 내는 인물 가운데 한 사람으로 평가된다.
보안업계 가장 큰 화두인 모바일 및 지능형지속가능위협(APT)공격, 2012년 예측되는 보안 트렌드 등에 대해 직접 들어봤다.

올해는 어떤 보안 위협이 예측되나.

포티가드센터가 예측하는 2012년 보안 트렌드로는 스마트폰의 폭증에 따른 모바일 보안 위협 확산, 전력 및 유틸리티를 통제하는 스카다(SCADA) 시스템의 보안 위협 증가, 기업 혹은 국가가 배후에 있는 스폰서 공격 증가, 해킹을 통해 국가나 기관에 압력을 행사하는 핵티비즘의 성장 등이다.
모바일기기를 겨냥한 스파이웨어, 협박성 메일 등이 늘어나는 한편, 관리의 편의성 때문에 인터넷에 연결되면서 전력통제망에 대한 보안 문제가 대두될 것으로 전망된다. 또, '얼마를 주면 공격을 해주겠다'는 해커들이 출현하는 등 사이버범죄 조직의 산업화가 예상된다.

포티가드센터는 주로 어떤 일을 하는가.

고객들이 보안 위협에 사전에 대비할 수 있도록 바이러스, 해킹 공격 등 실시간 공격패턴을 분석, 연구·조사하여 안티 바이러스 엔진과 위협적인 공격에 대한 보안업데이트를 진행하고 있다. 웹 공격, 루트킷, 봇넷, 멀웨어 등 보안위협에 대한 연구를 주로 하고 있다. 봇은 어떤 프로토콜을 쓰는지, 공격을 어떻게 시도하는지를 연구 분석한다.
또 멀웨어 관련 악성코드가 어떻게 만들어지는지를 분석하고 안드로이드, 블랙베리, iOS 등 모바일 악성코드 샘플에 대한 연구도 진행하고 있다. 160여명의 연구원을 두고 있으며 데이터센터 내 실시간 보안 자동 업데이트를 위한 80개 이상의 배포서버를 두고 있다. 포티가드 웹 포털(www.fortiguard.com) 사이트를 통해 보안 정보, 교육 내용, 비디오, 조언 등을 제공하고 있다.

복합적인 공격 방어는'UTM'이 효과적

여타 보안연구소와의 차별화된 강점은.

포티가드센터의 가장 큰 업무 중 하나가 제로데이 공격을 분석하고 대응시간을 당기는 것이다. 제로데이 공격은 보안패턴이 개발되기 이전에 활동을 하고 마이크로소프트, 어도비 등 범용적인 SW의 보안 취약성에 집중되어 있어 문제다.
SW업체들이 자체 프로그램을 수정하는데 빠르면 6개월에서 늦으면 2년까지 걸리는데 포티가드센터는 공격이 발견되면 14일 이내 패턴을 개발해 대응한다.
지난해 이슈화된 스턱스넷, APT공격도 제로데이 공격의 일종이며, 한국에서 일어난 대형 고객정보유출사고의 경우도 4개 제로데이 공격을 통해 진행된 것으로 분석됐다. 포티가드센터의 차별화된 강점은 제로데이 공격에 대응하는 속도 및 숫자다. 경쟁사인 P사의 경우 2008년 이후 제로데이 공격을 발견해 먼저 대응한 게 15개 정도인데 반해, 포티넷은 130개를 먼저 발견해 대응했다. 포티넷은 UTM 보안장비의 엔진을 비롯해 URL필터링, 스팸메일차단, DB보안, 인증 등 모든 보안 기능을 자체 기술로 개발, 구현한다. 따라서 복합적인 보안 기술 및 노하우가 축적되어 있다는 게 회사의 최대 경쟁력이고 보안 위협에 대한 분석이나 대응이 여타 회사들보다 빠를 수밖에 없다.

APT공격과 그 대응방법은.

현대캐피탈, 싸이월드 가입자 정보유출사고 등은 모두 APT공격에 의해 발생했다. APT공격은 오랜 기간 준비를 하여 공격자가 특정 목표를 정해두고 이뤄진다. 3~5만 달러만 지불하면 공격 대상에 맞춰진 커스텀 악성코드를 만들어 주는 공장들이 매우 많다. 악성코드가 만들어지면 C레벨의 권한을 가져오기 위한 분석 단계를 거친다. 그리고 공장에서 정한 통신채널을 이용해 사회공학적 기법, 피싱, URL링크가 첨부된 이메일 발송 등의 방법으로 원하는 정보를 갈취하게 된다.
APT공격은 사후 패턴이 추가되는 시그니처 방식의 대응으로 한계가 있는 것은 분명한 사실이다. UTM 장비는 다양한 위협에 대한 보안 기능을 제공한다. 축적된 도메인 정보와 효율적인 데이터 마이닝 기법을 기반으로 평판이 나쁜 악성 IP는 의심해 차단하고, 후차적으로는 다양한 분야별 보안 기술을 활용한다. 공격을 방어하는 방식이 하나에 의해 결정되는 것이 아니기 때문에 악성코드가 들어오는 채널, 침입 유형별 전 방위적인 위협에 대응하는데 큰 역할을 할 수 있다.

모바일 보안위협 역시 이슈가 되고 있다.

전 세계적으로 모바일 보안위협이 문제가 되고 있다. 2월 말 샌프란시스코에서 개최되는 세계최대 보안행사인 RSA컨퍼런스에서도 주요 토픽 중 하나가 모바일 위협이다. 얼마 전 캐나다 은행의 한 CSO를 만났는데 모바일 위협을 우려해 안드로이드 대신에 취약성이 적은 블랙베리만 내부적으로 허용하기로 했다고 들었다. 그만큼 기업들은 모바일 보안위협에 대한 고민이 많다. 모바일 기기의 경우 개인적인 것이라 완벽한 통제가 힘들다는 문제도 있다.
모바일 보안솔루션의 경우 안드로이드 진영의 업체들과 웹 형식으로 개발해 구현할 수 있다.
웹 모드의 보안기능 구현은 가능하나, 단말 제조사의 협력이 필요한 터널 모드의 보안기능 구현은 루트 계정을 완벽히 알지 못하면 할 수 없다. 또, 모바일 보안 관련 포티넷의 UTM 장비인 포티게이트는 Wi-Fi를 통해 지나가는 악성코드의 감염을 막을 수 있다. 포티게이트 캐리어버전의 SW도 있지만 3G, 4G 접속에 대한 보안은 통신사에서 담당해야 한다.

모바일 위협 대응에 집중 투자 필요

포티가드센터는 올해 어떤 부분에 집중할 계획인가.

올해는 모바일 위협 대응, 각국 정부들과의 협력, IP 평판기능 강화, 바이러스 방어 엔진 개선 등에 투자를 집중할 계획이다. 이 중 모바일 위협은 갈수록 증가하고 있다.
모바일 멀웨어는 2010년 대비 지난해 83%나 증가한 것으로 조사됐다. 실제 포티가드센터에서 수집한 모바일 악성코드 샘플이 지난해 9월 이전에 열 개 내외였으나 10월 이후부터 200개로 늘어났다. 또한 지난해부터 바이러스 방어 엔진(CPRL: Compact Pattern Recognition Language) 개선에 많은 투자를 쏟고 있다. 포티넷의 바이러스 방어 엔진은 알려진 패턴에 대해 100% 진단율로 VB100 국제 보안인증을 획득했을 뿐만 아니라, 한 번도 알려지지 않은 패턴에 대해서도 90% 이상의 높은 진단율을 검증받은 바 있다.

한국의 경우 최근 대형 보안 사고가 많았다. 대응방안을 조언한다면.

현대캐피탈 사고를 비롯해 3,500만 가입자 정보가 유출된 싸이월드 사고 등 한국에서 최근발생한 보안 사건들을 알고 있다. 보안 위협은 하나의 정부나 단체에서 해결할 수 있는 문제가 아니다. 국가 간 침해사고대응팀(CERT), 보안정책 및 컴플라이언스 등에 대한 공조가 필요하다고 본다. 그리고 세계적으로 해킹 시도, 해커들에 대한 법률적 강화 움직임이 많지 않지만, 이슈를 제기하고 법률적 차원에서 강화를 위한 협력이 필요하다고 생각된다. 보안 정책, 제도 등이 실행되기 위한 노력과 사회적인 보안 인식의 개선도 이뤄져야 할 것이다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지