김창오 블루코트코리아 컨설팅/기술이사

[컴퓨터월드] 최근 몇 년간 사이버 세상은 APT(Advanced Persistent Threat) 공격으로부터 진통을 겪고 있다. APT공격을 막는 것이 보안 활동의 마지막 단계라고 생각하는 경우도 있을 만큼 현재의 보안 트렌드를 이끌고 있음은 자명한 사실이다.

인터넷 환경의 현실은 다양한 보안 위협에 지속적으로 노출되어 왔으며 점점 진화하는 공격방법에 대해 여러 가지 대응방법들이 제안되고 있다.

2013년 보안시장에서 빼 놓을 수 없는 솔루션은 APT전용 방어 솔루션일 것이다. APT 전용 솔루션은 과거 알려진 패턴에 대해 제공되는 룰에 대해서만 탐지 및 방어를 하도록 설계된 솔루션의 한계를 넘어 스스로 분석하고 탐지하는 기능을 탑재함으로써 새로운 보안솔루션의 트렌드를 형성하였다. 이후 약 1년이 지나는 동안 새로운 기술을 접한 보안담당자들은 반복되는 사고와 학습의 과정에서 좀더 체계적인 관리와 완벽한 가시성을 확보하고자 하는 갈증을 느끼고 있다.

APT 공격방어를 위한 ATP
(Advanced Threat Protection) 대응 전략의 필요성

사회공학적인 방법이 동원되는 정교하고 지능화되는 공격에 보다 효과적으로 대응하기 위해서는 보안의 대응활동에 있어서도 포괄적이고 체계적인 대응전략(ATP : Advanced Threat Protection)이 필요하다고 하겠다.

갈수록 지능화되고 정교해지는 APT(Advanced Persistent Threat) 공격에 보다 효과적으로 대응하기 위해 블루코트는 ATP(Advanced Threat Protection) 대응 전략의 구현을 위한 다양한 포토폴리오를 구성하고 있다.

협업구조로 이루어진 다계층 ATP 대응 전략의 시스템 구축을 통해 APT를 비롯한 지능화되고 정교해진 정보유출 및 해킹공격에 보다 정확하고 능동적인 방어가 가능하다는 것이다.

가장 근간이 되는 보안 웹 게이트웨이


먼저 ATP 대응시스템 구축의 가장 근간이 되는 것은 보안 웹 게이트웨이 솔루션이다. 보안 웹 게이트웨이의 경우 웹(HTTP/S) 애플리케이션 제어를 통해 비인가 사이트 및 악성코드 감염사이트 접속 차단과 암호화된 웹 사이트 및 메일에 대한 제어가 가능하다.

내부 사용자의 악성코드 감염은 악성코드에 감염된 사이트 접속 후 자신도 모르게 악성코드가 다운되는(Drive-by-Download) 경우가 가장 일반적인데 악성코드 감염을 사전에 차단함으로써 선제적인(네거티브데이)대응이 가능하다.

또한 보안 웹 게이트웨이의 경우 화이트리스트 기반의 정책 설정을 통해 허용된 웹 사이트 및 애플리케이션 외에 모든 사이트 및 애플리케이션 접속을 차단함으로써 알려지지 않은 많은 악성코드 감염사이트 및 C&C 서버의 잠재 위협으로부터 내부 사용자를 보호할 수 있다.

블루코트 보안 웹 게이트웨이 솔루션의 특징은 HTTP/S 트래픽의 헤더 및 바디제어가 가능하다는 것이다. 이를 통해 완벽한 URL/URI에 대한 설정, GET/Post/Put 등의 Method 제어, 파일 업/다운로드 등에 대한 다양한 설정 및 컨트롤이 가능하다. 일반적으로 APT 공격이 발생하면 내부 감염 봇 PC는 외부 C&C 서버와 통신 후 데이터 유출을 위해 Post/Put 통신을 수행한다.

따라서, 검증되지 않는 웹 사이트/IP에 대해 Post와 Put 통신만을 차단하더라도 우리는 APT 공격에 대해 적극적으로 대응할 수 있게 된다. 보안 웹게이트웨이는 듀얼 안티바이러스 엔진을 탑재한 CAS(Contents Analysis system)와의 연동을 통해 보다 강력한 악성코드 차단기능을 제공한다.

CAS는 ICAP을 이용하여 보안 웹 게이트웨이와 연동하며 외부에서 유입되는 웹트래픽에 대한 상세검사를 수행하게 된다. 2개 이상의 안티바이러스(Kaspersky, MacAfee, Sophos)를 동시에 구동시킬 수 있어 트래픽의 실시간 검사에서 정확히 악성코드를 탐지하고 차단할 수 있으며, 검사과정에서 발견된 악성코드 및 악성코드 사이트/네트워크는 클라우드 상의 웹펄스 시스템으로 피드백이 전달된다.

해당 사이트는 악성코드(Malicious) 전파 사이트로 분류되며 이후 다른 사용자들에게 탐지 패턴이 공유가 되어 추가적인 피해가 발생하지 않도록 정보를 공유한다.
 

악성코드에 대한 실시간 분석/대응도 필요

또한, 블루코트 ATP 포토폴리오에는 악성코드에 대한 실시간 분석/대응을 위한 샌드박스 기능을 제공하는 솔루션 연동을 제공하고 있다. 블루코트는 자사가 공급하는 샌드박스 솔루션인 MAA(Malware Analysis Appliance)를 이용하거나 또는 기업에서 이미 도입 후 운용중인 다른 3rd Party APT 제품을 같이 연동할 수 있다. MAA 솔루션의 경우 x86서버 기반의 샌드박스 emulator를 기본 제공하며 이를 통해 EXE, DLL 등의 실행파일과 네트워크 접속 서비스 수행 등을 체크한다.

또한 IntelliVM 기능을 이용하여 실제 윈도우 시스템을 가상환경에서 동작시키면서 파일 및 레지스트리 변경을 체크하고, 보다 다양한 파일을 지원한다.

또한 샘플 파일 및 URL에 대한 테스트 수행결과에 대한 PCAP, 파일저장, 스크린샷 기능 등을 제공한다. 샌드박스 기능을 제공하는 MAA 솔루션은 CAS와의 연동뿐만 아니라 네트워크 포렌직 및 보안분석을 제공하는 Security Analytic 솔루션과도 연동기능을 제공하고 있다.

네트워크 포렌직 및 분석기능 제공하는 보안분석 솔루션
ATP 대응시스템 구축의 마지막 단계는 네트워크 포렌직 및 분석기능을 제공하는 Security Analytic(보안분석) 솔루션의 도입이다. 침해사고 발생시 대부분의 기업은 침입증거(로그)는 있으나 이에 대한 상세 분석이 가능한 정보를 가지고 있지 못하다.

SA솔루션의 경우 네트워크에 흐르는 모든 패킷을 손실없이 저장하고 검색을 위한 PCAP파일을 생성한다. 지속적인 모니터링 및 사이버위협 탐지, 사고대응 및 데이터 유출 그리고 분석을 위해서 SA 장비 자체의 실시간 모니터링을 제공하며 L2~L7 레벨의 분석과 상세 애플리케이션 분류 기능을 사용할 수 있다. 캡쳐 트래픽의 경우 Playback 기능을 이용하여 다시 재현해 볼 수 있는 기능을 제공한다.

또한 블루코트의 SA 솔루션은 다른 보안제품과 상관관계 분석 제공을 통해 보안 침해사고에 대한 보다 명확한 분석이 가능한 데이터를 제공할 수 있다. APT / IPS / SIEM 등의 제품과 API 연동을 수행하는 경우 해당 시스템 로그테이블에 SA 솔루션의 아이콘이 생성되며 연동결과 선택시 SA솔루션에 저장된 데이터를 자동으로 호출함으로써 정확한 원인분석이 가능한 방법을 제공한다.

지능화되는 공격 방어 위해서 다계층 협업방어 시스템 구축 필수

최근의 해킹 및 APT 공격은 점점 진화하고 있으며 이에 따라서 단일 솔루션만으로 갈수록 정교해지고 지능화되는 공격을 막는 것은 거의 불가능하다. 보안 침해사고의 특성상 999개의 공격을 아무리 잘 막아도 1개의 취약점으로 사내보안이 뚫린다면 기존의 차단은 무용지물이 된다.

앞서 설명한 것과 같이 악성코드 사전 차단에서부터 웹 애플리케이션 제어, 실시간 악성코드 차단, 암호화 트래픽의 가시성 확보, 다른 보안솔루션과의 상관 관계분석에 이르기까지 보다 체계적인 방어시스템 구축에 대한 고민이 매우 필요한 시점이다.