기존 경계 보안의 한계 드러나…최적의 보안 모델 찾아야

[컴퓨터월드] 사이버 위협이 지속적으로 고도화되고 있다. 피싱 이메일, 랜섬웨어, 디도스, 크리덴셜 스터핑 등 각종 사이버 공격이 활개를 치고 있으며 지능형 위협(APT: Advanced Persistent Threat) 역시 계속되고 있다. 특히 기업들은 알려지지 않은 취약점을 노리는 이른 바 ‘제로데이(Zeroday) 공격’에 골머리를 앓고 있다.

사이버 위협이 고도화됨에 따라, 이에 대응하는 보안 모델도 역시 고도화되고 있다. ‘사이버 킬체인’부터 ‘사이버 위협 헌팅’, ‘엔드포인트 탐지 및 대응(EDR)’, 최근들어서는 ‘마이터 어택’과 ‘사이버 디셉션’까지 다양한 모델이 대두되고 있다. 고도화되는 사이버 위협에 대응하기 위해 기존 경계 보안은 물론, 새로운 대응방안이 출현하고 있는 것이다.

이처럼 하루가 멀다하고 나타나는 보안위협과 이에 대응하기 위한 보안 모델이 출현하면서 기업들은 많은 어려움을 겪고 있다. 시시각각 새롭게 출현하는 다양한 보안 모델 중 어떤 모델을 선택하고 구현해야 할지, 또한 예산은 어떻게 확보해야할지 등등 보안 담당자들의 고민이 깊을 수밖에 없다.


‘경계 보안’ 중심의 모델에서 벗어나라

최근 APT, 랜섬웨어, 피싱 이메일 등 사이버 위협이 고도화됨에 따라 이에 대응하기 위한 다양한 방안이 논의되고 있다. 특히 네트워크, 시스템의 취약점을 찾아 공격하는 ‘제로데이 공격’이 주요 공격 방식으로 자리 잡으면서, ‘사이버 킬체인’으로 대표되는 경계 보안 모델의 한계가 나타나기 시작했다. 이에 따라 기업들은 기존 네트워크 보안, 안티 바이러스 중심의 경계 보안 중심의 체계에서 벗어나 새로운 보안 체계를 구축해야 한다는 당면 과제를 안고 있다.

이런 상황에서 보안 업계는 ‘사이버 킬체인’을 비롯해 ▲사이버 위협 헌팅(Cyber Threat Hunting) ▲EDR 솔루션을 포함한 탐지 및 대응(Detection & Response) ▲마이터 어택(MITER ATT&CK) ▲사이버 디셉션(Cyber Deception) 등 다양한 보안 모델 및 기술에 주목하고 있으며, 클라우드 환경에서의 보안 모델에도 관심을 보이고 있다.

특히 네트워크를 넘어 엔드포인트에서 사이버 위협 대응 방안을 제시하는 ‘엔드포인트 탐지 및 대응(Endpoint Detection & Response)’, 사이버 공격자 기만 기술인 ‘사이버 디셉션’ 등 여러 모델에 주목하고 있으며, 데이터 분석 작업을 전제로 하는 ‘사이버 위협 헌팅’, 구축된 보안 체계의 유효성, 효율성을 분석하는 ‘마이터 어택’ 등에 대해서도 논의가 이뤄지고 있다.

하지만 국내 보안 시장은 아직까지 경계 보안 체계를 벗어나지 못하고 있다. 몇몇 기업 또는 기관이 선도적으로 EDR, 디셉션, 위협 헌팅 등을 도입하고 있을 뿐이다. 심지어 국내에서는 EDR 시장이 아직 개화되지도 않았지만, 해외에서는 이미 EDR을 넘어 통합 탐지 및 대응(XDR)으로까지 확장되고 있다.

보안 체계를 구축해야 하는 조직의 입장을 이해하지 못하는 것은 아니다. 현재의 보안 트렌드를 쫓아가기도 벅찬데, 새로운 기술, 보안 모델, 솔루션이 계속 등장함으로써 이를 소화하기가 쉽지는 않을 것이다.


APT 대응 방안으로 발표된 ‘사이버 킬체인’

물론 기존의 경계 보안이 완전히 무력화된 것은 아니다. 여전히 기업 보안 체계에서 많은 역할을 하고 있다. 일반적으로 보안 업계에서는 기존의 경계 보안 체계로 사이버 공격의 90%를 막을 수 있다고 말한다. 여전히 경계 보안 체계가 많은 사이버 위협에 대응하고 있다는 얘기다.

하지만 기업들의 고민은 나머지 10%에 있다. 보안은 수천, 수만 번의 사이버 공격을 막아도, 한 번만 뚫리면 모든 노력이 수포로 돌아간다. 이러한 관점에서 고도화되는 APT, 제로데이 공격은 기업 입장에서 고민이 될 수밖에 없다.

▲ 록히드마틴이 제시한 ‘사이버킬체인’(출처: 록히드마틴)

‘사이버 킬체인’은 특정 표적을 대상으로 장기간 지속적으로 진행되는 APT 공격의 피해를 최소화하는 데 목적을 두고 있는 보안 모델이다. 적군의 미사일이 발사되기 전에 이를 탐지해 선제 타격하는 공격형 방위시스템인 ‘킬체인’을 사이버 보안 분야에 적용한 것으로, 사이버 공격이 계획된 하나의 절차에 따라 시행된다는 점을 토대로 공격자의 입장에서 공격 단계를 파악하고 각 단계별 적절한 보안 기술과 조치를 취함으로써 위협 요인들을 무력화 또는 지연시키는 다단계 방어 전략이다.

미국 군수기업인 록히드마틴은 주요 사이버 공격 행위를 7단계로 구분했다. 공격자는 ▲정찰(Reconnaissance) ▲무기화(Weaponization) ▲전달(Delivery) ▲취약점 공격(Exploit) ▲설치(Installation), 명령 및 제어(Command and Control), 목표 시스템 장악 및 탈출(Action and exfiltration)의 7단계에 걸쳐 공격을 감행하게 된다. 단계별 공격행위는 <표 1>과 같다.

▲ <표 1> ‘사이버 킬체인’ 단계별 공격 행위

사이버 킬체인 모델을 구축하기 위해서는 각 공격 단계별 계층화된(Layered) 보안 솔루션이 요구된다. 방화벽(FW), 침입 방지/탐지 시스템(IPS/IDS), 웹 애플리케이션 방화벽, APT 대응 솔루션(샌드박스) 등의 솔루션이 필요하다. 하지만 기존 경계 보안을 위한 솔루션은 알려진 공격에 대한 탐지만 가능하기 때문에 선제적으로 방어할 수 있는 대책이 필요하다는 지적이다.

<솔루션 소개>
이메일 공격에 대한 선제적인 대응으로 ‘사이버 킬체인’ 구현
시만텍 ‘이메일 시큐리티닷클라우드’ 및 ‘엔드포인트 프로텍션’

▲ 시만텍 사이버 킬체인 모델 구현 솔루션(출처: 시만텍)

시만텍은 사이버 킬체인의 침입단계에서 약 65% 공격이 이메일을 이용한다는 점에 주목해, ‘시만텍 이메일 시큐리티닷클라우드(Symantec Email Security.Cloud)’를 통해 사이버 킬체인을 구현하고 있다. 시만텍 ‘이메일 시큐리티닷클라우드’는 스피어피싱 공격을 차단하기 위해 링크 추적 및 격리 기술을 통해 이메일에서 웹으로 연결되는 위협을 효과적으로 차단한다. 첨부된 파일 또한 머신러닝 엔진, 샌드박스 분석, 첨부파일 격리 등으로 안전한 이메일 사용을 보장한다.

사이버 공격자는 중요 데이터 확보를 위해 계정 탈취, 수평이동, 내부 검색을 위해 액티브 디렉토리(AD) 공격을 수행한다. 엔드포인트에서 액티브 디렉토리를 보호해 공격자의 첫 번째 이동을 차단하는 것이 중요한데, ‘시만텍 엔드포인트 위협 방어 포 액티브 디렉토리(Symantec Endpoint Threat Defense for Active Directory)’는 도메인 난독화를 통해 액티브 디렉토리를 보호하고 악성 프로세스를 중지시켜 공격 확산을 조기에 방지한다.

‘시만텍 엔드포인트 프로텍션(Symantec Endpoint Protection)’에 통합된 EDR 솔루션은 엔드포인트에서 사이버 킬체인 전반에 걸친 방어를 수행하며, 특히 비영리연구개발기관 마이터(MITRE)에서 제공하는 사이버공격 메트릭스의 중요 전략, 전술, 기술과 매칭되는 중요 이벤트를 분석할 수 있는 위협 헌팅과 이메일 네트워크 등과 연계한 상관관계 분석 자료를 제공해 기업 전반에 걸친 보안 위협 가시성 확보는 물론 엔드포인트 격리, 위협 파일의 삭제 등 빠른 대응 역량을 제공한다.

이글루시큐리티 관계자는 사이버 킬체인을 구현하기 위해 기업 내외부에 걸쳐 폭넓은 가시성을 확보할 필요가 있다고 강조한다. 공격자는 정체를 숨기며 지속적인 공격을 수행하므로 특정 포인트 솔루션 도입만으로는 공격을 막기 힘들다는 것이다.

이에 방화벽, IPS, VMS 등 네트워크 보안 장비와 시그니처 기반 엔드포인트 탐지 솔루션은 물론, 기업 내부 시스템에서 일어나는 행위를 통합적으로 파악하고 각 단계별로 가장 효율적인 대응을 하기 위한 솔루션이 요구된다는 것. SIEM과 위협 인텔리전스 등이 대표적이다.

<솔루션 소개>
AI 기반 통합보안관리솔루션(SIEM)으로 사이버 킬체인 모델 구현
이글루시큐리티, ‘스파이더 TM AI에디션(SPiDER TM AI edition)’

▲ 이글루시큐리티 ‘스파이더 TM AI에디션’ 구동화면 및 사이버 킬체인 대시보드(출처: 이글루시큐리티)

이글루시큐리티는 보안 경보 및 분석의 효율성을 높이는 AI 보안관제 솔루션 ‘스파이더 TM AI에디션(SPiDER TM AI edition)’을 제공하고 있다. 이글루시큐리티는 보안 관리자들이 위협에 대한 탐지·대응시간을 단축시킬 수 있도록, 머신러닝 알고리즘 학습을 위한 220개 이상의 특징(Feature)과 80개 이상의 위협 탐지 모델을 ‘스파이더 TM AI에디션’에 적용했다. 보안 관리자들은 이러한 위협 탐지 모델을 활용해 위협이 사이버 킬체인의 어떤 단계에 있는지를 직관적으로 확인함으로써, 보다 빠르게 공격에 대응할 수 있다.


전통적인 차단 성격을 벗어난 ‘탐지 및 대응’ 솔루션

사이버 공격이 점차 고도화, 지능화되면서 기존 ‘차단’이라는 예방적 성격을 가진 보안 제품들을 우회하기 시작했다. 이에 전 세계적으로 ‘차단과 예방’ 중심의 전통적인 경계 보안 패러다임에서 벗어나 ‘이미 위협은 조직 내부로 침투해 있다’는 점을 전제로 침투한 위협에 빠르게 대응하는 방안을 찾기 시작했다.

특히 대부분의 사이버 공격은 엔드포인트에서 시작한다는 점에 주목했다. 엔드포인트에서 시작된 공격은 조직 내 중요 정보를 탈취하기 위해 측면이동으로 감염범위를 확대하고 정보를 수집한다. 이런 공격을 탐지하기 위해선 엔드포인트에 대한 가시성을 확보해야 하며, 엔드포인트로부터 다양한 정보를 수집하고, 이를 분석해 위협을 탐지 및 대응할 수 있어야 한다는 것이다.

이런 개념에서 등장한 EDR은 ETDR(Endpoint Threat Detection & Response)이라는 이름으로 가트너에 의해 2013년 소개됐다. 이후 본격적으로 시장의 관심을 받기 시작했고 2015년 EDR로 명칭이 변경됐다. 가트너의 초기 EDR 개념에 따르면, ‘EDR’은 엔드포인트의 행위와 이벤트를 기록하고 수집된 데이터를 기반으로 다양한 기술을 활용해 공격을 탐지하고 대응하는 솔루션이다. 가트너가 제시한 EDR의 네 가지 주요 기능은 <그림 4>과 같다.

▲ <그림 4>가트너가 제시한 EDR의 주요 기능 4가지(출처: SK인포섹)

EDR은 엔드포인트에서 프로세스, 네트워크 트래픽, 레지스트리, 파일, 사용자등 다양한 정보를 수집해 가시성을 확보한 후, 수집된 정보를 기반으로 행위분석, 머신러닝, 침해지표(IOC: Indicator Of Compromise) 탐지 등의 기술로 위협을 탐지할 수 있어야 한다. 특히 가트너에서는 파일 기반의 악성코드 뿐만 아니라 파일 없이 실행되는 악성코드에 대한 탐지도 가능해야 한다고 규정하고 있다. 또한 위협이 발견된 엔드포인트를 격리하고 위협을 제거할 수 있는 대응 역량도 요구한다.

초기 EDR 시장에 진출한 기업들은 ▲독립된 EDR 솔루션을 제공하는 기업 ▲EPP제품에 EDR 기능을 추가해 제공하는 기업 ▲기존 보안 제품에 EDR 기능을 추가해 제공하는 기업 등 3가지로 분류할 수 있다.

먼저 독립된 EDR 솔루션을 제공하는 기업은 주로 스타트업이 주를 이루고 있다. 독립형 EDR 제품을 제공하는 국내기업은 아직 없으며, 사이버리즌(Cybereason) 등의 글로벌 기업이 대표적이다. 두 번째는 EPP를 기반으로 EDR을 제공하는 기업이다. 글로벌 기업은 시만텍, 트렌드마이크로 등이며, 국내기업은 안랩, 이스트시큐리티 등을 꼽을 수 있다. 마지막으로 기존 보안 솔루션을 기반으로 EDR 솔루션을 제공하는 기업이다. DLP에 EDR 기능을 통합한 디지털가디언, NAC과 EDR을 통합한 지니언스 등이 대표적이다. EDR 시장에 진출한 네트워크 보안 기업도 마지막 분류에 해당된다.

EDR은 시장이 급성장할 것으로 예상되는 분야다. 가트너는 2015년 2억 3,800만 달러(약 2,890억 원)에 달한 글로벌 EDR시장이 2020년 15억 달러(약 1조 8,210억 원)로 연평균 45% 이상 성장할 것으로 전망했다. 또 다른 시장조사기관 디 인사이트 파트너스도 2017년 7억 8,550만 달러(약 9,535억 원)에서 2025년 58억 7,160만 달러(약 7조 1,280억 원)로 성장할 것으로 예측했다.

한편으론 EDR 솔루션의 한계도 나타나고 있다. 기존 네트워크 보안 솔루션 중심의 보안 환경이 엔드포인트로 확장되면서 보안 담당자가 모니터링해야할 데이터가 기하급수적으로 늘었다는 것이다. 특히 글로벌 시장에서는 EDR 시장이 성장함에 따라 보안 관제 시장도 함께 성장하고 있다. EDR을 운영하기 위해서는 관제 인력이 더 필요하다는 것을 시사하고 있다.

EDR은 특히 엔드포인트에 국한되기 때문에 더욱 고도화되는 사이버 위협에 적절하게 대응할 수 있는지에 대한 지적도 있다. 이런 이유로 글로벌 시장에서는 EDR을 넘은 차세대 탐지 및 대응 기술로 MDR, XDR 개념이 등장하고 있다.

MDR은 매니지드 보안 서비스(MSS)에서 대응 기능을 강화한 것으로 인식되고 있다. 고객 환경을 분석해 보안관리 대상을 선정하고 맞춤형 보안 솔루션을 운영하는 MSS에 위협 탐지 및 대응 역량을 강화해 서비스를 제공한다는 개념이다.

글로벌 기업인 팔로알토네트웍스와 트렌드마이크로는 XDR 개념을 강조하고 있다. 엔드포인트 뿐만 아니라 네트워크, 클라우드 전반에서 위협 탐지 및 대응을 할 수 있어야 한다는 것이다.
 

사이버 위협을 ‘사냥’하라

최근 EDR과 유사한 보안 솔루션은 모든 사이버 위협을 사전에 방어할 수 없다는 것을 가정하고, 위협이 이미 조직 내부에 존재한다는 관점에서 접근하고 있다. 이런 측면에서 ‘사이버 위협을 어떻게 하면 빠르게 탐지하고 대응할 수 있는가’에 초점을 맞춘 보안 모델이 ‘위협 헌팅(Threat Hunting)’이다.

‘위협 헌팅’은 조직내 어떤 위협이 존재하는지 모르는 상태에서 숨어있는 위협을 찾아내 대응한다. 우선적으로 보안 담당자는 조직 내 시스템이 해킹당한 것을 가정해 침투경로에 대한 가설을 세운다. 이후 시스템 환경이나 프로세스를 조사해 위협을 유추한다. 이 유추 과정에서 악성코드를 발견하면 즉시 대응하고 추가 피해 여부를 조사하게 되며, 이후 정보 습득 단계에서는 어떤 사이버 위협이었는지를 기록해, 향후 위협 인텔리전스로 활용한다.

위협 헌팅은 클라이언트 레벨에서 네트워크 레벨까지 모든 로그를 수집하고 수집된 로그를 타임라인 별로 식별 가능한 환경에서 다양한 분석 방법을 동원해 이뤄진다. 위협 헌팅을의 가장 중요한 전제 조건은 바로 데이터다. 데이터는 시·공간적 가시성을 확보할 수 있도록 전 영역에 걸쳐 수집돼야 하며, 수집된 여러 이벤트들은 위협 분석을 위해 지리적, 시계열, 네트워크 토폴로지, 피벗, 시각화 분석 기능 등의 다양한 접근이 가능해야 한다. 분석을 통해 나온 각 단계별 특징(Feature)은 시나리오를 통해 생성된 경보를 기반으로 정기적인 분석이 가능하다.

<솔루션 소개>
정적 분석 및 파일 인텔리전스 활용해 사이버 위협 헌팅
리버싱랩스, ‘타이타니움클라우드’ 파일 평판 서비스 및 ‘A1000’ 멀웨어 분석 플랫폼

▲ 리버싱랩스 연동 사례(출처: 리버싱랩스코리아)

리버싱랩스는 기존의 경계 보안 체계로 탐지되지 않은 멀웨어로부터 조직을 보호하기 위해 다양한 솔루션을 제공하고 있다. 특히 리버싱랩스 고유의 정적분석 기술을 통해 기존 파일 및 외부로부터 유입되는 신규 파일을 분석하고, 파일 인텔리전스를 기반으로 위협을 식별한다. 조직은 해당 데이터를 바탕으로 조직 내 위협에 대한 가시성을 확보하고 알려지지 않은 멀웨어에 대한 대응 역량을 향상시킬 수 있다.

리버싱랩스의 ‘타이타니움클라우드(TitaniumCloud)’ 파일 평판 서비스는 80억 개 이상의 굿웨어와 멀웨어 파일에 대한 리치 콘텍스트와 분류를 제공하는 파일 인텔리전스 DB다. 클라우드식 수집 방식에 의존하지 않고, 다수의 안티바이러스 벤더사와 다양한 멀웨어 인텔리전스 소스로부터 파일을 수집 후 체계화한다. 모든 파일은 리버싱랩스만의 고유한 파일 디콤포지션 기술을 거쳐 처리되며, 바이러스토털(VirusTotal) 대비 약 4배 이상의 파일 분석, 2.5배 이상의 최신 파일 분석 데이터를 제공한다.

특히 리버싱랩스의 ‘액티브 파일 디콤포지션’ 기술은 파일 당 3,000개 이상의 위협 인디케이터를 추출해 다양한 정보 및 행위기반의 특징을 도출한다. 위협 인디케이터를 추출하면, 이를 바탕으로 파일의 기능적 유사성을 판단해 악성코드를 식별하고 유사 정도에 따라 파일을 단계별로 분류한다.

‘A1000’ 멀웨어 분석 플랫폼은 고속 자동화 정적 분석을 통해 어드밴스드 헌팅과 조사를 지원한다. ‘타이타니움클라우드’ 파일 평판 서비스와 연동돼 80억 개 이상의 파일(모든 파일 형식 포함)에 대한 심층적 리치 콘텍스트와 위협 분류를 제공하며, 가시화, 자동화 워크플로우 연동 API, 멀웨어 검색 데이터베이스, 글로벌/로컬 YARA 규칙 매칭, 알람 구독 및 관리, 써트파티 샌드박스 도구 연동 등의 유연한 연동 환경을 제공한다.


공격자를 속이는 ‘사이버 디셉션’

최근 사이버 위협 헌팅을 구현하기 위한 기술로 주목받고 있는 것은 EDR과 ‘사이버 디셉션’ 기술이다. 방혁준 쿤텍 대표는 “오늘날에는 공격자가 목표를 정해서 APT 공격을 시도하면 결국 성공할 수밖에 없다. 사이버 보안과 관련해 공격자가 내부망에 침입하느냐의 문제가 아니라 이미 침입한 공격자를 어떻게 발견하고 조치를 취할 것인가에 대한 고민이 필요하다. 내부망에 침입한 공격자를 처리하기 위한 유용한 방법이 바로 공격자를 속이는 기만 기술인 ‘사이버 디셉션’이다”라고 설명했다.

사이버 디셉션 기술은 사이버상의 공격자가 서버 또는 시스템을 공격할 때 유인하는 함정으로 만들어졌던 허니팟(HoneyPoT)이 변화한 형태다. 허니팟이란 비정상적인 접근을 탐지하기 위해 의도적으로 설치해 둔 시스템으로, 공격자들을 유인해 걸려들게 하는 일종의 덫이다. 공격자는 공격에 취약하게 구성된 시스템 자원에 접근한 것이지만 실제 시스템에 침입한 것이라 착각하게 되고, 허니팟은 이를 통해 공격자를 추적하고 공격자에 대한 정보를 수집한다. 초기의 허니팟은 보안담당자가 공격에 대한 정보를 수집할 수 있어 방어 기능 강화에는 유용했지만, 라이선스 문제와 복잡성, 대규모 네트워크나 다양한 시스템에 대한 한계가 있어서 보안 분석가에게만 매우 제한적으로 사용됐다.

▲ ‘디셉션그리드’ 아키텍처(출처: 쿤텍)

사이버 디셉션 기술은 수 분 내 실제 자산과 유사한 가짜 자산으로 구성된 네트워크를 구성하고 공격자를 유도한다. 디셉션 기술의 특징은 네트워크 위협 탐지나 EDR 등에서 발생되는 많은 로그 데이터로 인한 오탐에 대한 문제가 없다는 것이다. 규모가 큰 조직의 경우 때로는 수억 건에 다다르는 로그 데이터로 실제 악성코드 로그가 있다고 해도 보안 담당자가 발견하기 어렵다. 하지만 디셉션 기술은 오탐이 있을 수 없다. 공격자가 가짜 자산에 접근(정찰, 연결시도, 연결, 연결후 활동, 악성코드 설치)하는 모든 과정만을 탐지하기 때문이다.

방혁준 대표는 디셉션 기술이 효과를 발휘할 가능성이 높은 이유에 대해 “사이버 공격자는 조직 내 주요 자산을 찾기 위해 ‘측면 이동’을 하게 된다. 이 때 조직 내 구성된 가짜 자산으로 이동하면 디셉션 기술에 걸려드는 것이다. 더불어 조직 내 네트워크 환경 전반에 대한 가시성을 확보하고 이상 징후를 탐지하기 때문에 내부 위협자를 찾아내는 것에도 효과적이다”라고 설명했다.

▲ 방혁준 쿤텍 대표

<인터뷰>
“APT 대응 위해 공격자 관점에서 생각해야”
방혁준 쿤텍 대표

“APT 공격에 효율적으로 대응하기 위해선 공격자의 관점에서 생각해 볼 필요가 있다. 정교한 공격자가 이메일, 취약한 IoT 장비(의료기기, SCADA PLC, 악성하드웨어 등) 등을 이용해서 간단히 방어망을 뚫고 내부에 자산을 확보할 경우 첫째 내부 자산을 학습하는 과정, 그리고 측면 이동을 하게 될 것이다. 이런 공격자의 행위를 이용해 대응하는 기술이 ‘사이버 디셉션’이다. 가짜 네트워크상에 실제와 동일한 또는 설계된 자산을 배치, 공격자가 오인 접근하도록 유도해 공격자를 조기에 탐지하는 방법이다.”

방혁준 쿤텍 대표는 고도화되는 사이버 위협에 대응하기 위한 방안으로 ‘사이버 디셉션’ 기술을 제시하며 이같이 설명했다.

방혁준 대표에 따르면 APT 공격 등 고도화된 사이버 위협이 증가하면서, 기존 경계선 보안 체계에서 기업 내부에 침투한 공격자를 탐지할 것인가로 보안 시장의 트렌드가 변하고 있다. 이런 측면에서 EDR, 위협 헌팅 등 다양한 기술이 등장하고 있다는 설명이다.

특히 ‘사이버 디셉션’ 기술은 수 분 내 실제 자산과 유사한 가짜 자산을 네트워크에 구성하고, 공격자를 유도할 수 있다는 것이 특징이다. 기존의 APT대응 방법인 네트워크 위협탐지나, EDR 등에서 발생되는 많은 로그 데이터로 인한 오탐도 문제가 없다. 대기업의 경우 때로는 수억 건에 이르는 로그(이벤트)로 실제 악성코드의 로그가 있다고 해도 발견하기 어렵다. 하지만 디셉션 기술은 오탐이 없는 구조로, 공격자가 가짜 자산에 접근(정찰, 연결시도, 연결, 연결후 활동, 악성코드 설치)하는 모든 과정만 정확하게 탐지한다.

디셉션 기술을 구현하는 것은 간단하다. 디셉션용 어플라이언스를 각 스위치에 연결한 다음, 가짜 자산에 IP를 할당하고 배치만 하면 가짜 네트워크를 구성할 수 있다. 추가적으로 공격자를 유도할 수 있는 미끼(파일 등)를 내부 실제 자산에 배치하면 효과를 향상시킬 수 있다. 가짜 자산으로 구성된 네트워크는 어플라이언스 장비 내 모두 구성된다.

방혁준 대표는 현재 국내에서는 디셉션 기술에 대해 POC를 진행하고 있는 단계라고 설명했다. 글로벌 시장은 2015년부터 폭발적으로 성장하고 있지만, 국내는 아직 개화되지 않았다는 것이다.

방혁준 대표는 “쿤텍은 ‘디셉션그리드(DeceptionGRID)’ 제품을 국내 공급하고 있다. ‘디셉션그리드’는 디셉션 기술 분야에서 가장 앞선 제품이며, 가트너 등 많은 리서치 기관에서 최고의 제품으로 선정한 바 있다. ‘디셉션그리드’는 IoT, IIoT, 의료기기 등 다양한 장비의 가짜 자산을 지원하는 것이 특징이며, 글로벌 시장에서 금융, 국방, 발전소 등 다양한 레퍼런스를 보유하고 있다”고 설명했다.

마지막으로 방 대표는 “보안 모델 구현에 있어 가장 유의해야할 사항은 가격과 내부 평가다. 우선 공격자 입장에서 생각해보고 기술을 이해하는 것은 생각보다 쉬운 일이다. 공격자의 기술을 이해하는 것은 어렵지만 그들의 행위를 이해하는 것은 매우 간단하며, 어려운 기술을 통해 악성코드를 내부 자산을 확보하지만 그들이 공격 대상을 위해 내부 자산을 탐색하고 학습하는 것은 너무 당연한 일이다. 그리고 취약한 자산에 대해 공격하는 것도 자연스럽다. 그리고 이러한 공격자의 행위를 고려해 적합한 보안 방법론과 도구를 평가해 보는 것이 필요하다. 정확한 평가를 위해 시간을 아끼지 않을 것을 권유한다”고 말했다.


마이터, ‘마이터 어택’ 기반 보안 솔루션 평가 시스템 제공

지난해 말 취약점 DB인 CVE를 감독하는 비영리 기관인 마이터 코퍼레이션이 보안 솔루션에 대한 평가 기준을 새롭게 발표했다. ‘어택(ATT&CK: Adversarial Tactics, Techniques, and Common Knowledge)’이라는 보안 솔루션 평가 시스템에 APT3 해킹 단체의 공격방법 중 알려지고 연구된 기법을 평가기준으로 적용한 것이다.

마이터는 보안 솔루션의 설정, 해킹팀이 APT3의 공격을 어떻게 활용했는지, 더불어 보안 솔루션이 해당 공격에 어떻게 대응했는지 등을 상세하게 문서화해 공유했다. 더불어 이 결과를 웹사이트를 통해 공개함으로써 누구나 열람할 수 있도록 제공했다.

보안 업계는 마이터가 ‘협업적’이고 ‘열린’ 평가 환경을 마련함으로써 기존의 평가 시스템이 도태될 가능성이 높다고 주장한다.

보안 솔루션 평가 프레임워크가 변화함에 따라 글로벌 기업들도 마이터 어택 프레임워크를 수용 및 적용하기 시작했다. 대표적인 예로 파이어아이를 들 수 있다. 파이어아이는 ‘파이어아이 엔드포인트 시큐리티’에 마이터 어택 프레임워크를 적용했다. ‘파이어아이 엔드포인트 시큐리티’는 단일 에이전트에서 예방 및 EDR 기능을 제공하는데, 보안 담당자에서 주요사항을 알릴 시 마이터 어택 기법을 참조해 제공한다.

파이어아이 위협 인텔리전스는 특정 TTP(전술, 기법, 절차)에 대한 이해도를 높이기 위해 마이터 어택 프레임워크를 개별 APT 행위자에 매핑하는 방식을 적용했다. 파이어아이의 ‘베로딘 시큐리티 인스트루먼테이션’의 경우 마이터의 기법과 전술로 개별 공격을 추적하며, 마이터 어택 프레임워크에 대한 특정 보안 통제의 효율성의 범위를 시각화하기 위한 마이터 어택 대시보드까지 갖추고 있다.

스티브 레드지안(Steve Ledzian) 파이어아이 아태지역 부사장 및 CTO는 “보안을 제대로 하려면 많은 부분들이 제대로 갖춰져야 한다. 먼저 조직은 보안에 대한 노력이 보안 효율성으로 곧장 이뤄지지 않는다는 것을 염두해야 한다. 단순히 보안 모델을 적용하고 실행하는 것만으로 충분하지 않으며, 제대로 작동하고 있는지 테스트해야 한다. 테스트는 전반적인 효과를 측정, 관리 및 개선시킬 수 있는 방향으로 시행돼야 한다”고 강조했다.

▲ 베로딘의 유효성 검증 프로세스(출처: 베로딘)

이어 “파이어아이는 베로딘(Verodin) 인수를 통해 ‘시큐리티인스트루먼트플랫폼(SIP)’을 제공하고 있다. 베로딘 ‘SIP’는 장비의 잘못된 구성, IT 환경 변화, 진화하는 공격자 전술 등으로 인해 발생할 수 있는 보안 효과상의 갭을 파악하는 기술이다. 파이어아이의 위협 인텔리전스를 장착한 베로딘 플랫폼은 이미 알려진 위협뿐 아니라 새로 발견된 위협을 기준으로 보안 환경을 측정하고 테스트함으로써 침입이 발생하기 전에 보안 통제 상의 위험을 파악해 진화하는 위협 환경에 맞춰 방어 태세를 신속하게 조정할 수 있도록 지원한다”고 설명했다.
 

국내 시장, 클라우드 보안 모델에 주목

한편 국내에서는 클라우드 보안 분야에도 많은 관심을 보이고 있다. 클라우드 환경이 빠르게 확대됨에 따라 클라우드 보안 모델이 기존 온프레미스 보안 모델을 대체하고 있다는 것이다. 특히 국내 금융산업분야에 대한 클라우드 이용 규제가 완화됨에 따라 클라우드로의 전환이 가속화되고 있다. 이에 클라우드 보안 모델도 더욱 확산될 것으로 전망된다.

아마존 웹 서비스(AWS)와 안랩은 금융권 클라우드 시장을 선점하기 위해 공동으로 ‘한국 금융기업을 위한 AWS 클라우드 보안 백서’를 발간해 규제 내에서 더욱 안전한 클라우드 환경을 제공하기 위한 관리적, 기술적 보호대책 등의 가이드라인을 제시하고 있다. 더불어 클라우드 활용범위 확대, 리스크 관리, 클라우드 보호 및 내부통제, 규제 준수 등을 위한 ‘안랩 클라우드 보안 프레임워크’를 소개하고 있다.

클라우드 보안 역시 기존 온프레미스와 마찬가지로 PDCA(Plan-Do-Check-Act)원칙이 준용된다. 각 영역별로 살펴보면, 클라우드 플랜 영역에서는 계획 & 조직 관점에서 클라우드 전환을 통해 최선의 IT 인프라 운영방안을 식별하고 다양한 시각에서 클라우드 전환 계획의 수립, 전환을 위한 투자관리, 클라우드 아키텍처 정의, CSP와의 의사소통, 적절한 클라우드 접근정책 관리방안 수립 등이 이뤄져야 한다.

그 다음으로는 IT 전략 실현을 위한 클라우드 솔루션 식별, 개발 또는 해당 솔루션 도입과 경영목적 달성을 위한 시스템 변경 및 유지관리를 포함하는 클라우드 IT자원 관리가 이뤄져야 한다. 체크 영역에서는 컴플라이언스 및 지원 관점에서 클라우드 서비스를 실질적으로 제공하기 위해 클라우드를 둘러싼 컴플라이언스 식별 및 서비스 연속성 관리, 인증 대응을 포함 클라우드 법적 준거성 확보 및 거버넌스 관리가 필요하다. 마지막으로 액트 영역에서는 보안 및 연속성 관리, 사용자에 대한 서비스 지원, 원격 관제를 포함하는 IT사고관리, SLA관리, 클라우드 통제(법적, 전자적 증거수집) 및 관제운영 관리가 요구된다.

업계 관계자들은 클라우드 상에서 PDCA원칙을 적용할 때, 두 가지 사항을 고려해야 한다고 강조한다. 먼저 클라우드 특성에 따른 요구사항을 고려해야 한다는 것이다. 클라우드 특성에 따른 요구사항에는 온프레미스 환경과 동일한 정보보호 요건이 적용돼야 하는 전제가 깔려있기 때문에, 규제에 대한 각 통제항목 별로 대응이 이뤄져야 한다. 외부에 위탁한 클라우드로의 전환에 따른 조직 재구성 및 정책적 변화가 선행돼야 한다. CSP에 대한 안전성, 건전성 평가와 더불어 클라우드 보안성 검토결과에 따른 대응(SLA관리체계 등) 등 보안정책 변화가 적용돼야 한다는 것이다. 이런 관점에서는 관리적 대응으로 인적보안, 자산관리, 서비스 위탁업무 관리, 침해사고 관리, 서비스 연속성 관리 등이 각각 솔루션 및 서비스로 조치돼야 한다.

두 번째는 클라우드 구성환경 관점에 따른 요구사항 대응이 필요하다. 클라우드 구성환경 관점에 따른 요구사항에는 클라우드 서비스에 대한 안정성 확보 요건이 적용돼야 하는 전제가 깔려있기 때문에, 규제에 대한 기술적 보안방안 마련과 클라우드 특성을 고려한 방어체계 구현이 고려돼야 한다. 클라우드 서비스에 대한 안정성 확보 요건이 기술적으로 조치돼야 하기 때문에 클라우드 환경 특유의 새로운 위협대응 아키텍처가 설계돼야 하고, 보안 솔루션의 적용방안과 더불어 레거시 보안솔루션의 클라우드 버전 구축도 동시에 고려될 필요가 있다. 이런 관점에서는 기술적 대응으로서의 클라우드 운영관리, 데이터 보호 및 암호화, 네트워크 보안, 접근통제가 각각 솔루션 및 서비스로 조치돼야 한다.

이러한 클라우드 보안을 구현하기 위해선 클라우드 워크로드 보호 플랫폼(CWPP), 클라우드 보안 접근 중개(CASB), 클라우드 보안 형상 관리(CSPM) 등의 솔루션이 필요하다.

CWPP는 서버워크로드 중심의 보안 방어(protection)를 위해 특별히 설계된 솔루션으로, 가상환경 보호를 위한 서비스형 인프라(IaaS)의 워크로드 보호를 중점적으로 수행하며, 호스트기반 제어를 통해 익스플로잇 프로텍션(Exploit Protection)과 애플리케이션 화이트리스트(Application Whitelisting)를 목적으로 솔루션이 운용된다.

CASB는 이용하고 있는 클라우드 및 애플리케이션에 대해 가시화, 데이터 보호 및 거버넌스를 실현하는 솔루션으로, 서비스형 플랫폼(PaaS), 서비스형 SW(SaaS)의 데이터 프로텍션을 중점적으로 수행하며, 데이터 엑세스 제어 및 DLP 기능을 통해 위협 프로텍션(Threat Protection)과 데이터 유출 방지 목적으로 운용된다.

CSPM은 클라우드 서비스의 구성 위험 평가를 통해 클라우드 구성 문제를 관리하는 솔루션으로, 클라우드 모니터링 및 가시성 제공을 중점적으로 수행하며, 리스크 관리 등을 목적으로 운용된다.


조직 보안 환경을 진단하고 최적의 모델을 찾아라

고도화되는 사이버 위협에 대응하기 위해 다양한 보안 모델이 나오고 있다. 기존 경계 보안 체계로는 고도화된 사이버 위협을 막을 수 없기 때문이다. 공격자가 이미 조직 내 침투해 있다는 것을 가정하고, 빠르게 공격자를 탐지 및 대응하는 것이 최근 트렌드라고 할 수 있다.

하지만 보안 업계 관계자들은 입을 모아 “현재의 보안 체계를 진단하고, 취약한 부분을 보완할 수 있는 솔루션을 도입하라”고 조언한다. 최신 트렌드를 쫓기 보단 현재 기업 환경에 대해 진단하고, 필요한 솔루션이 무엇인지 분석하는 것이 선행돼야 한다는 얘기다. 기업의 보안 체계가 고도화되는 만큼, 솔루션이 효과적으로 운영되는지 점검할 필요성이 있다. 더불어 취약한 부분을 보완하고 고도화되는 사이버 위협에 대응할 수 있는 ‘효율적인’ 방안을 모색해야 한다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지