[컴퓨터월드] 네트워크 및 보안 솔루션 전문기업 오픈베이스가 지난달 21일 서울 양재동 본사 교육장에서 고객사를 대상으로 한 유지보수(Maintenance, MA) 세미나를 개최했다. MA 세미나는 오픈베이스가 제공하는 솔루션을 사용하거나 서비스를 지원 받는 고객 등 실제 사용자들이 참석하는 기술 중심의 세미나로, 오픈베이스는 지난 2003년부터 올해까지 14년 동안 관련 세미나를 진행해왔다. 이번 세미나에서 고객들에게 전하고자 하는 바는 무엇이었는지, 오픈베이스 MA 세미나를 찾아가봤다.

21회차를 맞은 ‘오픈베이스 MA세미나’는 오픈베이스의 유지보수 고객을 대상으로 진행되는 세미나로, 매년 전·후반기 두 번씩 진행되고 있다. 특히 오픈베이스는 세미나를 통해 자사가 공급하고 있는 솔루션의 단순 홍보가 아닌, 고객이 궁금해 하는 IT업계의 이슈와 그에 대한 해결방안을 함께 제시하고 있다.

총 네 개의 세션으로 진행된 이번 오픈베이스 MA세미나에서는 최근 화두가 되고 있는 보안 이슈들을 비롯해 오픈베이스가 보유 및 서비스하고 있는 다양한 솔루션들의 활용사례들이 공유됐다.

오픈베이스는 애플리케이션 전송 컨트롤러(Application Delivery Controller, 이하 ADC) 기반 네트워크 전문 기업으로 출발했지만, 현재 보안 분야로 사업영역을 확장해 나가고 있다.

‘애플리케이션을 보호하라’
신은수 F5네트웍스 부장

애플리케이션의 진화는 결국 웹의 진화라 볼 수 있다. 결국 애플리케이션의 핵심은 웹이다. 웹은 단순히 콘텐츠를 보여주는 것을 넘어서고 있다. 웹을 통해 게임, 채팅, 사이트정보 등 많은 것이 제공되고 있다. 이제는 모든 것이 웹화(化)돼 있다. 웹에 대한 중요성 역시 높아지면서 웹에 대한 보안 역시 비례해서 중요해지고 있다.

인터넷을 사용하는 데에는 여러 가지 애플리케이션과 프로토콜이 필요하다. 가장 중요한 건 웹이다. 이처럼 웹이 변화하면서 공격자들 역시 변화하는 웹을 주목하고 있다. 웹 환경의 변화로 인해 기존 취약점을 활용하거나 새로운 취약점을 찾기 용이하기 때문이다.
웹소캣 역시 최근 많이 사용되고 있다. 클라이언트가 웹소캣을 써야한다고 요청을 보내면 웹서버는 프로토콜을 바꿔 웹소캣 통신을 열어 반응하게 되고, 클라이언트와 서버는 데이터를 웹소캣으로 주고받게 된다.

문제는 웹에 자주 사용되는 공격, 즉 DDoS, 겟플러딩(Get Flooding) 공격 등이 웹소캣에서도 마찬가지로 응용될 수 있다는 점이다. 웹소캣도 결국 서버가 주체이므로 겟플러딩 공격을 통해 서버가 다운되는 등의 상황이 발생할 수 있다.

웹 보호에 문제없다고 해서 웹소캣도 문제가 없다는 보장은 없다. 따라서 회사 보안담당자는 웹소캣 사용 시 사내 보안장비가 이러한 플러딩 공격을 막을 수 있는지 고민해야 한다.

웹방화벽은 웹 보안의 가장 기본 솔루션이다. SQL인젝션, 등 각종 보안의 밑바탕이 된다. 이러한 방화벽들은 웹공격에 대해서 잘 방어한다. 문제는 웹소캣에 기반을 둔 공격을 막을 수 있는가이다.

웹의 발전에 따라 웹 스크래핑(Web Scrapping)과 무작위 대입 공격(Brute Force Attack) 등도 문제가 되고 있다. 웹 스크래핑은 정상적인 이용자가 아닌 봇이 꾸준히 사이트의 정보를 가져가는 것으로, 시스템에 부하를 줄 수도 있다. 정상 사용자를 기반으로 시스템의 스펙을 선정했는데 자동화된 트래픽이 지속적으로 들어온다는 것은 시스템 운영자 입장에서는 골칫거리다.

기존 보안의 관점에서 이러한 공격은 특정 정보를 이용해 차단하는 방식으로 진행했다. 특정 IP 대역이나 공격에 사용된 IP를 막는 단순한 방식은 차단하더라도 쉽게 우회가 가능하고 얼마든지 바꿔가며 공격할 수 있다. 무작위 대입 공격의 경우도 10초에 하나의 값만 입력하는 등 시스템이 정상사용자와 비정상사용자를 가늠하기 쉽지 않다.

F5네트웍스가 강조하는 것은 ‘기기 지문(Device Fingerprint)’혹은 ‘브라우저 지문(Browser Fingerprint)’이다. 우리가 지문을 신분조회용으로 사용하는 이유는 고유한 정보라는 인식이 있기 때문이다. 브라우저 지문 역시 마찬가지다. 웹사이트에 접속했을 때 자바스크립트를 통해 OS환경, 해상도, 브라우저 버전, 사용 언어 등 여러 정보를 체크한다.

백만 명이 똑같이 크롬 브라우저를 사용해 접속하더라도 이러한 고유정보는 전부 다르게 나타난다. IP나 헤더값 등 눈에 보이는 것만 가지고는 구분도 어려울뿐더러 정상 사용자가 차단되는 경우가 발생한다.

F5는 차단이나 웹스크래핑을 막기 위해 자바를 사용하고 있다. 미국 특허 등록된 CSHUI 기술을 통해 마우스의 움직임이나 키보드의 눌림을 감지해 실제 사용자인지 아닌지를 구분한다.
오늘 세션을 통해 얘기하고 싶은 것은 세 가지다. ‘브라우저를 믿지 말라’, ‘고객을 믿지 말라’, ‘하나만 보고 판단하지 말라’이다. 이 세 가지를 명심해야 효과적인 웹 보안이 가능하다.

맨디언트 침해조사 사례
임한주 오픈베이스 보안영업본부 차장

맨디언트는 2004년 캐빈 맨디아(Kevin Mandia)가 설립한 회사로, 케빈 맨디아와 초기 창업자들은 모두 미 공군 CERT 출신이다. 초기에는 FBI, NSA, CIA 등 미국 주요 정부기관을 대상으로 교육 트레이닝, 침해사고대응, 컨설팅 업무를 했다. 이후 국가관련 침해사고를 중심으로 침해사고 조사를 하던 중 해커그룹들이 국가기관 망뿐만 아니라 일반 대기업들을 대상으로도 공격한다는 사실을 확인한 후 사업영역을 확대했다. 2013년 파이어아이에 인수됐고, 현재 캐빈 맨디아는 파이어아이의 CEO를 맡고 있다.

맨디언트는 국내에는 잘 알려져 있지 않지만 해외에서는 그 기술력을 인정받고 있다. 현재 전 세계 17개 국가에 사무소를 두고 있으며 약 370여 명의 컨설턴트가 침해사고 발생 시 조사 및 컨설팅 업무를 진행하고 있다.

맨디언트는 고객사의 상황에 맞춘 네 가지 영역에서 서비스를 제공하고 있다. ‘조직이 위험한가’를 판별하기 위해 실제 공격과 방어를 진행해보는 ‘래드티밍’ 서비스, ‘조직이 침해를 당한 것인가’ 혹은 ‘침해가 일어난 후 실질적 대응’을 위한 CA·IR 서비스, ‘앞으로 무엇을 해야 하는가’를 위한 컨설팅 서비스 등이다.

최근 맨디언트가 진행한 두 가지 침해조사 사례를 알아본다. A사는 단기간에 급성장한 기업으로, 국내에 이어 해외서비스 발표를 앞둔 상황이었다. B사는 꾸준히 성장해 온 회사로 높은 보안수준을 유지해왔다.

A사가 직면한 문제는 해외사업 진출로 자산과 관리영역이 늘어나는 데 반해 보안담당자가 없다는 것이었다. 이에 반해 B사는 보안 관련 조직과 시스템을 갖추고 있었으나 협력업체로부터 보안 침해가 의심된다는 제보를 받게 됐다. A사는 보안조직·인력·전문성이 없다는 것이 문제였으며, B사는 보안수준을 높게 유지하고 있었고 국내 컨설팅을 통해 분석해보았음에도 침해를 찾아내지 못하는 상황이었다.

맨디언트 컨설팅 결과 양사 모두 침해가 발견되는 등 문제점이 발견됐다.

A사의 경우 2개월 동안 500대의 자산을 전수조사한 결과 이미 조사 2년 전부터 해커가 침투했다는 점이 발견됐다. 300개의 실행파일이 감염돼 있었고, 전체 자산 10%가 침해를 받은 상태였다. 주요 소스코드, 서버 주위에 백도어가 이미 설치돼 있었던 것이다.

B사의 경우 3개월간 500대 자산의 전수조사를 진행했다. B사 역시 3년 전 최초침해가 발생했고, 10%의 자산이 침해돼있다. 콜백 신호를 약 다섯 군데에 뿌리고 있었고 15기가 데이터가 유출된 상황이었다. 국내 컨설팅 업체가 조치했었음에도 그 다음날 재침입한 흔적이 발견됐다.

맨디언트가 강조하는 것 중 하나는 침해를 발견하는 것만큼이나 그 이후의 대처가 중요하다는 것이다. 이는 공격자의 습성 때문이다. 어떤 공격자도 한 가지 방법, 또는 하나의 악성코드를 사용하거나, 하나의 백도어로 침투하지 않는다. 언제나 백업을 만들어두는 게 공격자들의 특성이다. 조치가 취해지고 난 후에도 모니터링하고 있다가 방식을 바꿔 다시 침입한다. 때문에 보다 중요한 것은 조치 후 재침입을 어떻게 방어할 것인가이다. 맨디언트가 여기에 많은 시간을 쏟는 이유이다.

두 경우 모두 최초 진입 후 2년 동안 서서히 데이터를 탈취하고 있었다. 침해된 자산은 10%였지만 전수조사 없이는 이를 파악하지 못했을 것이다.

현재 보안의 창과 방패 패러다임이 바뀌고 있다. 이전까지는 공격을 먼저 받으면 그 이후에 차단하고 치료해왔다. 지금은 빨리 찾고 먼저 대응하는 것으로 바뀌고 있고 또 그래야만 한다.

보안솔루션을 도입하는 이유는 ‘예방’에 있다. 그래서 종류, 위치, 목적 등이 다양하다. 사람으로 따지면 갑옷인 셈이다. 하지만 정작 사람 몸속에 바이러스가 이미 들어가 있다면 어떠할까. 외부의 갑옷들이 효과 있을까? 이를 찾아내는 게 급선무다. 그 서비스를 제공하는 게 맨디언트다.

와이어데이터 분석, 모니터링 넘어 통찰력을 가져라
박이삭 오픈베이스 전략기술본부 과장

와이어데이터는 네트워크를 통해서 전송되는 모든 데이터를 의미한다. L2~L7통해 전달되는 모든 데이터가 포함된다. 기존에는 데이터를 수집하기 위해 각각의 전용솔루션 필요했다. 하지만 이러한 데이터에는 공통점이 있다. 네트워크 통해 전송된다는 점이다.

네트워크를 통해 전송되는 와이어데이터 안에는 해당 정보가 모두 포함돼 있고, 와이어데이터 분석으로 이러한 데이터의 활용이 가능하다.

이러한 와이어데이터를 사용할 경우 세 가지 장점 있다. ▲에이전트 설치나 인프라의 변경이 필요하지 않다는 점 ▲단일 소스 데이터라는 점 ▲연계분석이 가능하다는 점 등이다.

예를 들어 네트워크정보와 서버정보의 연계로 서버의 로드밸런싱 기능을 적용했을 때 해당 서버에서 얼마나 처리되는지를 확인함으로써 서버 자원이 분산처리 되고 있는지 알 수 있다.
와이어데이터 분석을 통해 IT인프라 운영, IT품질개선, 보안 모니터링, 비즈니스 활용에 사용한 사례를 공유해 본다.

첫 번째 사례는 인프라 운영 활용 사례다. 서비스 업데이트 후 결제서비스의 중단 현상이 발생했다. 해당 고객사의 경우 클라이언트와 서버를 각각 다른 서버로 연계 구성했고, 클라이언트 쪽에서 결제서비스를 통해 데이터를 전송해도 서버 쪽에서 데이터가 전송되지 않았다.

와이어 데이터 분석을 위해 해당구간의 네트워크를 세 구간으로 나눠 분석했다. 분석 결과 방화벽 정책 누락으로 업데이트 서비스에 정책이 적용되지 않아 클라이언트에서 서버 쪽으로 데이터가 전송되지 않은 것이었고 조치를 통해 서비스를 성공적으로 제공할 수 있었다.

두 번째는 애플리케이션 연계분석 사례다. 해당 고객사는 두 개 파일전송 솔루션을 사용했다. A솔루션의 경우 클라이언트-서버 간 에이전트를 설치 후 전송하는 방식이었다. 설치가 필요하다는 번거로움으로 웹 형태의 전송솔루션으로 교체를 원했다. 문제는 웹 전송 솔루션의 품질이 기대에 미치지 못했다는 점이었다.

와이어데이터 분석을 통해 확인해보니 패킷 개수에서 차이가 났다. 패킷의 개수가 많이 소요된다는 것은 웹방식 서비스에서 속도가 저하되는 원인으로 볼 수 있다. 이 근거로 B솔루션의 품질개선 필요하다는 요청이 가능했고, B솔루션 개발사는 품질개선작업에 들어가 해당사이트의 솔루션을 대체할 수 있었다.

와이어데이터는 보안 영역에서도 활용이 가능하다. 보안 탐지는 세 가지 활용 방안이 있다. 첫 번째는 확장자를 와이어데이터로 탐지하는 것이다. 랜섬웨어가 실행될 경우 특정 확장자를 생성하는데, 이를 블랙리스트로 만들어 확장자가 생성되거나 이러한 확장자에 접근할 때 탐지하는 방식이다. 이상행위 탐지 가능을 이용해 화이트리스트를 제외한 알려지지 않은 확장자의 접근을 막을 수도 있다. 블랙리스트에 포함되지 않은 변종 랜섬웨어의 탐지가 가능하다.

세 번째는 특정유형 탐지다. 랜섬웨어가 실행될 때 생성되는 파일의 패턴을 구분지어 탐지하는 방식이다.

이러한 방법을 고객사 보안모니터링에 적용한 사례가 있다. 해당 고객사는 보안 모니터링과 보안장비의 연계를 통한 보안 강화를 원했다. 와이어데이터를 수집해 알려지지 않은 확장자, 접근한 서버가 무엇인지, 얼마나 접근했는지, 어떤 확장자에 접근했는지 등의 정보를 수집할 수 있었다.

진화하는 랜섬웨어 대응 방안
박병하 보안기술본부 차장

랜섬웨어가 진화하고 있다. 랜섬웨어의 시작은 가짜 백신으로부터 출발했다. 바이러스에 감염됐으니 치료하라며 돈을 요구하는 방식이었다. 다음으로 나타난 형태가 바탕화면을 잠그고 돈을 요구하는 형태였다. 그리고 최근의 랜섬웨어 형태로 발전했다.

초기에는 대응법도 단순했다. 삭제, 윈도우 안전모드 조치 등으로 대응할 수 있었다. 하지만 근래 들어 돈을 내지 않을 수 없을 만큼 그 수법이 정교해지고 있다.

랜섬웨어 등장 초기인 2008년~2012년까지만 하더라도 1년에 약 세 개가 유포됐지만, 최근 들어 그 수가 기하급수적으로 늘어나고 있다.

랜섬웨어침해대응센터의 통계에 따르면 지난해 랜섬웨어 실질 감염자수는 전 년 대비 두 배 이상 늘었고 피해금액 역시 세 배 늘었다. 감염되더라도 신고사례가 절반 이하로 추정돼 실질적인 피해액은 두세 배 이상일 것으로 예측된다.

랜섬웨어에 대한 복구 및 대응절차가 나와 있지만, 사실상 사후 조치할 수 있는 방식은 거의 없다. 일부 복호화키가 공개돼 있는 경우 암호화된 파일을 복구할 수도 있지만 변종이 많고 복호화 자체도 쉽지 않은 게 현실이다.

랜섬웨어의 대응 단계는 크게 세 가지다. 사전대응, 실시간대응, 백업 등이 그 것이다. 샌드박스 장비나 차세대 방화벽 등을 통해 랜섬웨어의 유입을 막거나, 미끼폴더 등을 이용해 랜섬을 방어하는 실시간 대응, 이 모든 것이 불가할 때를 대비한 백업 등이다.

보안 관계자들은 랜섬웨어가 결국 APT 기획공격으로 발전할 것으로 전망하고 있다. 최근 인터넷나야나 사태로 가시적 성공사례가 나오며 이러한 전략이 확산될 것으로 예측된다. 인터넷나야나 사태는 국내 최초 기획형 랜섬웨어 공격으로 볼 수 있다. 공격자는 회사의 직원과 연봉, 서버 개수 등을 근거로 50여억 원을 요구했다.

공격당한 서버는 150여 대로 모두 리눅스 서버였다. 해당 랜섬웨어 코드를 시스템에 다 올려놓은 후 토요일 새벽 한시에 동시 실행하게끔 조치했다. 이 시각은 엔지니어의 대응이 가장 어려운 시각으로, 이번 공격이 철저히 호스팅업체 서비스를 상정한 타깃공격임을 알 수 있다.

랜섬웨어의 탐지가 어려운 이유는 무엇일까? 우선적으로 코드에 우회기능이 삽입돼있기 때문이다. 가상머신 환경이나, OS 버전을 감지해 가상환경에서는 동작하지 않도록 하는 방식이다. 가상머신 기반의 보안분석장비에서는 이를 거르기가 어렵다. 메모리에 상주하면서 암호화를 진행하는 메모리형 랜섬웨어의 경우도 백신 기반의 제품이 탐지하지 못한다.

오픈베이스는 랜섬웨어뿐만 아니라 다방면의 보안 대응을 위해 사전예측·예방·탐지·대응이라는 네 단계의 제품라인업을 갖추고 있다.