APT 대응을 위한 가트너의 제언

현장속으로/세미나 2014.02.14 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


개정되는 개인정보보호법, 효과적으로 대응하려면

현장속으로/세미나 2013.12.23 16:30

지난 201312 3, 서울 잠실 롯데호텔에서 2014IT 보안 시장을 전망하는 Security Next Conference 2014가 열렸다. 점차 다각적이고 지능화되는 사이버 공격 위협 환경에서 정보 보안 현안과 해결방안에 대해 모색해보고자 하는 자리였다그 첫번째 순서로 개인정보보호 추진성과 진단 및 향후 과제라는 제목으로 안전행정부 한순기 개인정보보호과 과장의 키노트가 있었다.



20119월에 전격 시행된 개인정보보호법은 시간이 지남에 따라 점차 개정되어 왔다. 최근에는 이 법이 시행된지 2년만에 20138월 새로운 개정안이 발표되어 그에 따라 기업에서 새롭게 대응해야할 것들이 추가로 생기게 되었다. 그래서 이번 키노트 세션에서는 그동안 개인정보보호를 위해 정부에서 어떻게 해왔고, 앞으로 어떻게 해나갈지에 대한 소개가 이뤄졌다.

 

그간 개인정보 보호를 위한 많은 사업들이 추진되었다. 그 결과 개인정보보호에 대한 인식이 강화되었고, 개인정보보호위원회 설립 등 정책 추진을 위한 기본틀이 마련되었다. 또한 개인정보 보호법이 잘 시행되도록 정책적으로 여러가지가 이뤄졌고, 침해대응을 위한 공조체계가 구축, 운영될 수 있도록 하였다. 하지만 개인정보 보호를 위한 법의 경우 일반법과 특별법으로 이원화되어 있어 규제 피로도가 가중되었다. 한 가지 예로 미국의 경우 적절한 보호제도를 마련하여 사용자에게 고지를 하는 것이 중심으로 되어 있고유럽의 경우 개인정보의 중요성에 대한 인식이 높아 사전에 동의를 마련하는 것을 중심으로 법 체계가 되어 있는데우리나라는 이 두 가지를 모두 요구한다는 점에서 까다로운 점이 있었다. 이 밖에도 분야별로 개인정보보호를 위한 수준이 달라서 그 편차가 누적되어 갈수록 커지고 있다는 점, 그리고 개인정보보호에 대한 인식은 높아졌지만, 자율적 실천이나 자율적 문화는 저조한 수준으로 사회 전반적으로 법적 규제가 없는 경우 보호를 위한 노력이 부족하다는 한계가 있었다.



점점 변하고 있는 주변의 환경


그동안 우리 주변의 환경은 어떻게 변화하였을까. 크게 3가지 측면으로 볼 수 있다.

먼저 사회, 문화적 측면에서 보면 국민의 권익의식이 심화되고 고도화되었다는 점과 CCTV 급증, 영상정보 보호요구 증가라는 점이 있다. 개인정보 침해신고나 분쟁조정신청이 이전에 비해 증가하였고, 사생활 침해에 대한 의식이 이전에 비해 높아졌다. 또한 지능형 CCTV, 차량용 블랙박스 등 영상기기가 다양화되고 많아졌다. 현재 우리나라는 CCTV가 가장 많은 국가인데, CCTV가 많아짐에 따라 관제센터도 증가하면서 오남용 우려가 생겼다.

두번째로는 산업, 기술적 측면이다. 빅 데이터, 클라우드 컴퓨팅이 확산되었고, 침해기법은 점점 지능화, 고도화되어 가고 있으며, 개인정보 보호산업의 수요가 증가하고 있다. 빅 데이터는 익명화된 다량의 정보를 사용한다는 특성이 있지만, 오히려 익명화된 정보가 결합되면서 개인정보가 침해될 수 있다. 또한 모바일 기기 이용 증가에 따라 스미싱, 파밍 등 침해 기법도 다양해지고 있다.

세번째로는 국제적 동향을 볼 수 있다. 국가간 교역이나 클라우드 컴퓨팅의 활성화로 인해 개인정보의 국외이전이 확산되었다. 그런데 국가별로 규제가 모두 달라서 그에 따른 피해구제, 분쟁조정 관련 문제가 증가하고 있다. 또한 이러한 환경 변화에 대응하기 위해 국제 표준이 만들어지고 있고, 상호운용성의 개선이 이뤄지고 있다.

 


개인정보보호를 위한 한국의 정책 방향


그럼 우리나라의 정책방향은 어떻게 되고 있을까?

SWOT 분석을 통해 전략을 보면 한국의 경우 강력한 정책 추진 의지와 선진 IT기술을 보유했다는 강점이 있다. 그러나 개인정보 보호에 대한 인식이 부족한 문화와 그에 따라 관련 인력이나 예산이 부족하다는 점은 약점이 되고 있다. 그리고 새로운 기술이 도입됨에 따라 침해가능성이 새롭게 생기고 있고, 침해 기술이 고도화되어 간다는 점은 위협이 되지만, 개인정보에 대한 인식이 향상되고, 기술 수요가 증가되고 있다는 점에서 새로운 기회가 되고 있다.


그래서 현재 정부에서는 '개인의 존엄과 가치가 존중 받는 선진 정보사회'라는 비전 하에 C.A.R.E라는 키워드를 만들었다. 일반국민, 산업계, 정부, 개인정보처리자 등 각 대상별 니즈를 고려하여 각 대상에게 알맞은 목표를 가지고 정책을 추진할 계획이라고 한다.



먼저 정부의 경우, 거버넌스 구조 선진화라는 목표를 가지고 있다. 세부적으로 보면, 현재 일반법과 특별법으로 중복 규제가 되고 있는 부분을 일반법을 중심으로 법체계를 정비할 계획이다. 또한 환경변화에 대응할 수 있도록 기준을 개선하고, 국제 상호 운용성을 제고하며, CCTV가 많이 생기는 환경을 고려하여 개인영상정보 보호, 관리체계를 구축할 계획이라고 한다.

두번째로 산업계에는 개인정보를 선제적으로 보호할 수 있는 기술을 ETRI 등을 통해 개발할 수 있도록 지원하고, 대한변호사협회와 협력하여 전문인력 양성/수급 체계를 구축할 계획이다. 또한 개인정보 보호 서비스 산업을 육성하여 산업계 전반적으로 선순환 생태계를 조성하고자 한다.

세번째로 개인정보처리자에게는 선제적, 자율적 보호활동을 활성화시키고, 전사적으로 개인정보 관리통제체계를 강화하도록 하며 전담체계를 마련하고, 전문역량을 강화하도록 할 계획이다.

그리고 마지막으로 개인정보보호법을 적용 받는 국민들의 의식을 강화하기 위한 방안들이 추진된다. 국민들에게 개인정보보호에 대한 홍보를 강화하고, 침해 예방 및 권리구제의 실효성을 높이기 위한 방안들이 추진된다. 대표적으로 현재도 118로 전화하면 권익침해 구제 지원센터의 도움을 받을 수 있도록 되어 있다. 이러한 것들이 좀 더 잘 홍보될 수 있도록 추진할 계획이라고 한다.



정부와 산업계에만 기대하기보다 일반 국민들도 관심 가져야


개인정보보호법의 시행, 그리고 개정에 따라 산업계에서는 기존에 하지 않았던, 규제에 맞게 대응하는 작업이 많이 필요해졌다. 그리고 정부 또한 새로 만들어지는 규제가 적절하게 적용될 수 있도록 개선을 하고 있다. 이러한 상황에서 일반 국민들 역시 그저 방관하고 바라볼 것만이 아니라 어떻게 새로 만들어지는 법이나, 산업계에서 어떻게 대응하는지 잘 확인하는 것이 좋을 것이다.


최근 개인정보 유출사고가 또 다시 발생하였다. 매번 잊을 만 하면 새로운 사고가 생기고 있다. 큰 규모의 기업이라서 막연히 잘 할 것이라고 믿었지만, 허술한 시스템 때문에 그런 사고가 발생한 것이다. 이러한 사고에 대응하기 위해 정부에서는 새로운 방안을 마련할 것이고, 산업계에서도 물론 일부 개선을 할 것이다. 하지만 우리도 우리의 개인정보를 스스로 지키기 위해 많은 관심을 가져야 하고, 평소에도 개인정보 보호 의식이 요구된다. 그래야 최근 발생한 개인정보 사고의 재발을 막을 수 있고, 우리의 정보도 지킬 수 있을 것이기 때문이다.


정부의 개선된 법과 산업계의 적절한 대응, 그리고 일반 국민들의 의식 향상으로 우리의 개인정보가 더 잘 지켜질 수 있는 미래를 기대해본다.






대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


전문가가 말하는 지능적인 APT에 맞서는 방법

현장속으로/세미나 2013.12.09 18:12

11월 18일부터 19일까지 "제 7회 국제 통합 정보보호 구축전략 컨퍼런스(ISEC 2013)"가 코엑스 컨퍼런스룸에서 열렸다. 이 컨퍼런스를 통하여, 각 분야의 보안 실무자는 사회적 이슈인 정보보호의 최신 트렌드를 공유하고 보안 업체로부터 가이드와 솔루션을 제공받을 수 있다. 

APT공격이 지능화되고 피해가 증가함에 따라 APT 대응의 중요성이 높아지는 가운데 트랙B에서 진행하는 안랩 오상언 차장의 "위기로 다가온 APT, 어떻게 맞설 것인가?"를 들어보았다. 그는 APT솔루션이 APT공격에 어떻게 대응하는지와, 안랩 TrusWatcher(글로벌 제품명 안랩 MDS)에서 이루어지는 수집(Collection), 분석(Analysis), 모니터링(Monitoring), 대응(Response)의 4가지 측면을 설명했다. 다음은 주요 내용.

지난 4년 동안 이슈가 된 DDOS공격(2009,2011,2013), 금융기관 해킹 사고(2011), 개인정보유출(2011,2012), 전산망 마비 (2013), J언론 해킹사고(2012)등의 보안문제 가운데, 악성코드에 관하여 많은 논의가 이루어지고 있다. 그렇기 때문에 APT공격에 대하여 무엇을(What), 어떻게(How), 할(DO) 것인지가 중요하다. 

APT솔루션이 APT에 대응하는 4가지 방법

대부분의 APT솔루션은 파일을 모은 후 분석하고, 모니터링한 후, 악성코드가 발견되면 그것에 대응을 한다. APT솔루션이 처음으로 하는 파일 수집(Collection)은 웹이나 FTP 메일등과 같이 네트워크 유입경로를 지나가는 모든파일을 수집하고, 실행파일인 PE파일과 문서형파일인 Non-PE파일로 구분을 하는 것이다. 분석(Analysis)은 가상머신을 이용하여 행위분석을 하는 것이다.  

안랩 APT솔루션인 은 컨텐츠 분석을 추가적으로 수행한다. 이러한 분석을 통하여 Anti-VM에 어떻게 대응할 것인지 방향을 정하고, 지능적으로 악성코드를 탐지하고, 오탐을 최소화할 수 있어야한다. 모니터링(Monitoring)은 APT솔루션이 가상머신을 채택하고 있기 때문에 악성의 여부를 가시성있게 보여줘야한다. 대응(Response)은 악성코드가 발견되면 디스크를 포맷하거나 Malware를 치료나 삭제를 하는 것이다.

안랩의 TrusWatcher는 APT공격에 탐지 및 대응에 특화한 보안 솔루션으로, 다른 APT솔루션과 마찬가지로 수집, 분석, 모니터링, 대응의 4단계로 APT를 막는다. 

<수집>

실제 인터넷과 내부의 pc간의 통신하는 모든 서비스 프로토콜에 대해서 장비가 기본적으로 인식하고 수집된 파일내에서 PE파일과 NON-PE파일로 구분한다. 대부분 인터넷 프로토콜을 인식하여 파일을 수집할 수 있는 지가 중요하다.

<분석>

안랩 TrusWatcher는 모든 정보를 시그니처 기반으로 탐지한다. 시그니처 방식을 채택하는 이유는  고객사의 PC에 유입되는 파일에 악성코드, 신종악성코드, 변성악성코드가 있을 위험이 있기때문에, 모든 파일을 최대한 빨리 악성과 정상인지를 구분하기 위해서이다. 탐지한 파일 중에서 악성파일도, 정상파일도 아닌 알려지지 않은 파일도 발견된다. 이러한 파일은 가상머신에서 행위 기반으로 탐지를 하게된다. 하지만 가상머신은 고객사의 PC와 동일하게 세팅을 할 수 없으므로 오탐이 발생할 가능성이 있다. 

그렇기 때문에 안랩 TrusWatcher는 행위 기반 탐지와 동시에 평판기반 탐지를 한다. 행위 기반 탐지와 편판 기반 탐지 후, 위협과 잠재적인 위협, 정상으로 분류가 된다. 이에 따라 시그니처 기반의 탐지를 통하여 알려진 악성코드를 필터링더라도 평판기반으로 오탐을 최소화할 수 있다.

안랩 TrusWatcher는 파일이 실행하기 전과 연관 행위 종료 후 사이에서 프로세스, 파일, 네트워크, 레지스트리에 대하여 실시간으로 분석한다. 분석한 정보를 악성인지 여부만 탐지하는 것이 아니라 클라우드, 시그니처, 평판 기반 탐지를 종합적으로 연관 분석하여 실질적으로 오탐을 줄인다. 

하지만 타사는 파일이 시작되는 전과 후의 변화에 따라 악성 여부를 판단한다. 즉, 평판 기반 탐지를 하지 않기 때문에 레지스터나 프로세스의 변화만 보고 악성 여부를 판단하여 오탐이 발생할 가능성이 크지만, 안랩 TrusWatcher는 행위분석 외에 크라우드, 평판분석, IP/URL Filtering, 시그니처 방식의 다차원 분석을 통해 오탐을 최소화한다.

앞의 내용은 정적 지능형 컨텐츠 분석의 내용이다. 그럼 가상머신의 엔진 속에서 동적 지능형 컨텐츠 분석은 어떻게 할까? 파일이 실행되면 exe 파일과 DLL#1, DLL#2, DLL#3의 파일이 생긴다. 정상 파일의 경우 exe에서 DLL#1로 갔다가, 다시 exe에서 DLL#2로 가고, 다시 exe에서 DLL#3으로 탐지 한 후 파일이 열린다. exploit 파일의 경우 exe에서 DLL#1으로 갔다가, 특정 시간 이후에, 메모리의 heap 영역에 shell code를 만든 후 exe에서 DLL#2로, 다시 exe에서 DLL#3으로 가는 정상행위를 하다가 exploit이 발생하면 shell code로 점프를 한다. 안랩은 악성코드 분석을 디버깅 프로그램을 통해 한다. 문서파일이면 컨텐츠파일 분석을 하고, exploit이 발생하면 shell code 영역으로 점프를 하여 탐지하고 분석한다.

ROP gadget이란 악성코드 제작자가 정상적인 코드를 악성 shell code로 재사용하는 것이다. 이러한 ROP를 탐지하는 것이 안랩의 동적 콘텐트 분석 엔진(DICA)이다. DICA는 ROP gadget에 의하여 발생하는 가능한 모든 트리거를 모니터링하여 shell code로 실행하는 메모리 영역을 실시간으로 검사한 후, 메모리 영역의 악성 shell code 여부를 판단한다. 또한 DICA 엔진을 통하여 APT에 활용되는 비실행형 악성코드를 탐지가 가능하다. 요즈음 아래한글,워드, 아래한글같은 비실행형 코드를 통하여 APT공격이 이루어지고 있다. 

안랩 TrusWatcher는 워드파일이 수집되면 DICA 엔진으로 동적 컨텐츠 분석을 수행하고, 그 후 실행파일에 대하여 실시간으로 모니터링하고 평판분석하여 오탐을 최소화한다. 타사는 워드나 pdf 파일에 대하여 탐지가 가능하나, 많이 사용되는 아래한글에 대해서는 정확하게 탐지할 수 없다. 아래한글파일이 들어오면 워드파일이라 인식하고, 워드파일로 분석한다. 그러다보니 아래한글파일의 분석결과가 워드파일로 분석되어 보안담당자에게 혼락을 줄 수 있고, 실행 전과 후의 변화로 악성여부를 판단함으로 오탐이 발생할 가능성이 크다. 

APT에 대응하는 솔루션이 많이 나오다보니, 악성코드 제작자 입장에서는 악성코드를 분석하는 엔진이 악성코드를 인식하게 못하도록 압축, 패킹, 가상머신이나 샌드박스가 우회하도록 하는 기술을 발전시키고 있다. 안랩은 이 부분을 정적분석과 동적분석을 통해 막고 있다. 정적분석의 방법으로 알집같은 압축 포맷을 해제하는 것이 중요한데, 알집의 압축 포맷을 해제하는 기술은 안랩만이 가지고 있다.

<모니터링>

대부분의 APT대응 솔루션들은 악성코드 탐지 분석에 대한 내용을 점수를 메기고 위험도를 평가한다. 고객사가 신종/변종 악성코드인지 알려진 악성코드인지 의심스러운 행위파일인지 알 수 있게 가시성을 확보하여야한다. 가상머신으로 나온 결과만으로 교정을 할 수 없기때문에, 보안담당자가 모든 파일을 훑어봐야해서 업무가 더 늘어날 수 있다. 하지만 안랩의 truswatcher은 레벨을 1부터 10까지 나눠서 레벨 1부터 3은 의심스러운 행위파일, 레벨 4부터 7은 알려진 악성코드, 레벨 8부터 10은 신종,변종 악성코드로 나누어 가시성을 확보한다.

<대응>

안랩 TrusWatcher은 에이전트 방식을 채택하고 있다. 실행 보류 기능이 있어, 정상 판정이 나야 실행이 허용되고, 악성 판정이 나면 실행 홀딩이 유지된다. 이처럼 실제 분석된 정보를 바탕으로 하여 에이전트롤 활용해 악성코드에 대응해야 한다.

이어서 미리 페이스북에 받은 질문에 대한 답변이 이어졌다.

Q1.

A. 이 부분은 안랩뿐만 아니라 모든 APT대응 솔루션 업체들의 숙제이다. 비슷한 경우로, 가상머신기반으로 실제 의심되는 파일을 분석하여 분석한 데이터를 봤을 때, 행위기반으로 본다는 것은 악성행위가 나타날 때마다 악성으로 판단할 수 있고, 연관분석을 한다 해도 분명이 오탐이 발생할 수 있다. IBS 시절에 맞춤화했던 것처럼 APT 대응솔루션도 어느 정도 악성코드에 대한 맞춤 기관이 필요하다. 

APT 대응솔루션 하나만으로 모든 APT공격을 차단할 수는 없다. 그러나 기존에 운영하던 방화벽 로그나 네트워크 패킷 분석 시스템 등과 조화하여 지능형 악성코드 시스템에 대하여 대응하고, 기존보안솔루션과 잘 연동하여 사용하는가가 중요하다. ESM/SIM이나 기타 빅데이터 솔루션과 연동하여 시나리오 베이스로 잘 모니터해야 한다.

Q2.  

A. 이 질문은 네트워크 포렌식 장비와 어떻게 연계를 할 수 있는지에 대한 것이다. APT 대응솔루션은 파일에 대하여 수집을 하고 기본적인 패킷 분석을 하지, full packet 이나 double packet에 대하여 실시간으로 정확한 패킷분석을 하지 못한다. 

패킷분석시스템과 APT 보안 솔루션과 함께 방화벽도 이용하여 APT대응을 해야 한다. APT대응솔루션을 통하여 의심스런 파일의 패킷 조합을 살펴서 파일 분석을 해야 한다. APT대응솔루션이 파일을 가상머신에서 돌리면 대부분의 방화벽은 의심되는 외부 IP와 통신하는 것을 탐지한다. APT대응솔루션으로 부터 나오는 파일에 대한 분석대응과 방화벽의 패킷분석 시스템의 분석로그를 조화시켜 APT에 대한 정확한 공격을 할 수 있다. Ahn

대학생기자 윤현정 / 동덕여대 컴퓨터학과 


배달의민족 앱 대표가 말한 좋은 회사 좋은 제품

현장속으로/세미나 2013.11.29 07:00

얼마 전 열린 2013/2014 잉글랜드 프리미어리그(EPL) 2라운드 카디프시티 대 맨체스터시티의 경기에서 카디프시티 스타디움의 전광판에 카카오톡 로고가 나타난 적이 있다. ‘KaKao Talk, Free Calls, Free Texts, Free Download’라는 문구가 펜스 광고판에 실려 전세계로 생중계된 것이다. 

모바일 메신저 라인에는 스페인 프로축구 바르셀로나의 인기스타 리오넬 메시 스티커가 등장했다. 라인은 이를 위해 FC바르셀로나와 라이선스 계약을 체결하였고, 메시 외에도 바르셀로나에서 뛰는 스포츠 스타를 다양한 스티커로 만날 수 있다이처럼 우리나라 모바일 애플리케이션(이하 앱)이 급성장하면서 ‘앱 한류열풍이 일고 있는 것이다. 


11월 21일 아시아경제신문사 주최로 광화문 올레스퀘어 드림홀에서 열린 <제 2회 아시아경제 K앱 페스티벌>은 앱 한류를 이끌고자 하는 젊은 창업자들의 갈증을 해소하는 행사였다6개 강연 가운데 '배달의민족'을 개발한 우하한형제들 김봉진 대표의 강연을 보았다. 그는 시종일관 유머러스하고 이해하기 쉽게  강의를 이끌어 나갔다


발표 자료 첫 화면에 뜬 것은 김 대표의 명함이었다. 그의 명함은 다른 회사들의 그것과는 달리 자신의 개성을 나타냈다. 명함은 이름을 잘 담는 그릇이며 자신이 일하는 방식이라고 정의했기 때문이라고 설명했다. 개성 넘치는 그가 생각하는 마케팅 성공 비결은 무엇일까. 다음은 주요 내용.


배달 음식은 사랑하는 사람들과 나누는 행복한 시간

배달의 민족은 인근에 있는 치킨집중국집을 찾아 결제까지 해주는 서비스이다그는 배달 음식의 정의를 국가대표 축구경기를 할 때 친구, 가족과 함께 시켜먹는 치킨과 맥주로 대표되는 음식이며 사랑하는 사람들과 나누는 행복한 시간이라고 정의를 내렸다.  


샴푸 시장에 진입을 했다고 가정해보자. 1위를 어떻게 하나? 1위 시장을 만들어간다! 샴푸 시장에서 1위를 할 수 없으면 비듬 샴푸 시장으로, 그 시장에서도 안 되면 10~20대 중반, 여기서도 안 되면 고등학생, 남자 고등학생, 2학년 남자 고등학생, 서울 지역 2학년 남자 고등학생, 서울 지역 2학년 남자 고등학생 상위 20%. 이런 식으로 대상을 점점 좁혀나가다 보면 결국에는 한 시장에서 1등을 할 수 있게 된다. 타깃을 정하고 명확하게 해서 억지로라도 1위를 하면 다시 확장을 하여 더 큰 시장에서도 1위를 할 수 있고 조직에 자신감, 자존감이 생긴다.

배달 음식은 막내가 많이 시킨다. 따라서 대상을 20대로 정하고, 여기서 홍대 문화로 좁혀 나갔다. 그리고 여기서 한층 더 좁혀나가 짤방, B, 패러디로 좁혀 나가며 타깃을 정하였다이런 것이 단순한 유행이 아니라 트렌드이다. 배달의민족은 쌈지 느낌을 닮았다. 처음 시작 했을 때 21세기 최첨단 찌라시라는 것으로 시작을 하였다. 서비스는 사람과 닮았다며 네이버는 손석희와 닮았다고하였다. 그래서 이 회사는 배달을 하기에 가장 알맞은 캐릭터를 찾다 박명수처럼 동네 형 같은 느낌을 주기로 생각하였다.


처음 창업 시 자본이 없이 시작하였다. 따라서 프로모션을 할 때 경품을 할 때 어떤 것을 할지 예측할 수 없었다. 처음 상품으로 넉가래를 했는데 사람들이 재미있어서 응모를 많이 하였고 당첨되었다는 소식을 듣고는 상품을 받지 않은 사람이 대다수였다


하지만 이런 독특한 아이디어로 광고홍보에 큰 영향을 미쳤다. 이후 자금이 늘면서 자취생들에게 필요한 양말, 칫솔, 초코미떼를 주었다. 또한 블랙데이를 겨냥해 소녀시대 사진이 붙어 있는 비타민 음료를 모아 주었다. 이런 식으로 아이덴티티를 잡아가며 마케팅을 해나갔다사람들이 외제차, 명품백을 준다고 하면 많이 참여를 하긴 하지만 쉽게 잊어버린다. 자기다운 것을 만들어 가는 것이 가장 중요하다. 


우와!한 사람이 모여서 만드는 엘레강스한 세상

이런 것을 만드는 사람은 어떤 사람들일까진정성을 가진 사람들이다. 술이 좋아하는 사람이 술 이야기를, 도박을 좋아하는 사람이 도박을, 게임을 좋아하는 사람이 게임 이야기를 하듯, 배달의민족 사람들은 배달의민족다워야 한다. 회사 문화도 이런 식으로 형성해 나갔다. 회사 이름은 용감한 형제들을 패러디 하여 우아한 형제들이라고 지었다. 회사에는 우와!한 사람들이 모여서 엘레강스한 세상을 만들어 보자는 뜻이 있다. 

좋은 회사란 어떤 것일까계속 회사에서 성장할 수 있는가, 회사가 강력한 비전을 가지고 있는가, 나도 구성원으로서 존중받고 싶다, 소통하고 싶다는 것으로 정의내릴 수 있다창업자의 비전과 구성원의 비전은 다를 것이라는 생각에 버킷 리스트(Bucket List)를 만들었다. 아주 사소하지만 어떤 회사가 됐으면 좋겠는지 구체적으로 소통할 수 있는 부분이다.


금발의 미녀와 회사를 다니고 싶다, 듀오에 가입시켜 주세요, 가족이 자랑스러워하는 회사를 만들고 싶다, 한적한 곳에 회사가 위치했으면 좋겠다 등 우스꽝스럽지만 우아한형제들 회사다운 답변들이 나왔다. 직원들의 작은 꿈도 이룰 수 있어야 회사의 비전도 크게 발전할 수 있다창 밖의 무엇을 보고 일하는가도 매우 중요하다. 따라서 구성원이 무엇을 보고, 만지고 일하는가도 중요하다. 그래서 회사 안에 재치 있고, 다양한 문구와 인테리어를 꾸몄다.


좋은 브랜드란 무엇인가나만의 정의가 중요하다. 그래야 가지치기처럼 계속 뻗어 나갈 수 있다브랜드를 만드는 사람들의 애정이 있어야 한다. 사람들은 제품을 써보면 느낌으로 진정성이 있는지 애정이 있는지 알 수 있다또한, 시간의 힘이 필요하므로 꾸준히 키워나가야 한다. 통일성도 유지하면서 키워나가야 한다. 마지막으로 자기다움을 중요시해야 한다. 나는 배달의민족답다는 말을 듣는 것이 제일 좋다Ahn

 

대학생기자 최주연 서원대 정보통신공학과

 

 

지능적 해커, 복잡한 IT 환경 사이에서 보안 지키기

현장속으로/세미나 2013.11.26 14:33

Responsive Security, Be Ready to be Secure 

당신은 보안에 대해 즉각 반응할 수 있는가? 또한 당신은 보안에 관해 지금 당장 준비가 되어 있나

아마 보안에 관해서 항상 따라다니는 문구일지도 모른다. 

11월 18~19일 코엑스 그랜드볼룸에서 미래창조과학부와 안전행정부 주최로 열린 <제7회 국제 사이버 시큐리티 컨퍼런스(ISEC)>에서 시스코시스템즈 싱가포르의 Meng-Chow Kang은 이 주제로 강연을 했다. 


Meng-Chow Kang "방어를 통해 시스템에 대한 이해가 필요하다. 또한 모든 계층에 관해 보호가 필요하다. 만약 한 계층이 보안이 잘되어 있지 않아 취약하다면 그 곳으로 침투가 가능하다. 하지만 방어는 매우 복잡하며, 복잡하다는 것은 새로운 이슈를 찾을 수 있다는 의미이다."라고 하였다. 다음은 주요 내용.

인간의 행동은 매우 예측하기 힘들며, 이런 복잡성으로 불확실성이 야기된다. 이처럼 컴퓨터 또한 복잡한 시스템 내에서 알 수 없는 미래가 예측된다. 예측을 하고 방어를 해도 100% 정확할 수는 없다. 만약 예측한 부분을 방어했지만 다른 곳에 변화를 준다면 다른 부분에도 영향을 끼치게 된다. 네트워크 계층은 모두 상호 연관되어 있기 때문이다. 이에 따라 하나의 변화가 나머지 계층에도 영향을 준다. 나비효과가 예가 될 수 있다. 한국에서 어떤 일이 벌어졌을 때 기후 요건이 영향을 줄 수 있다. 하지만 기후는 쉽게 예측할 수 없다. 서로 취약성 연결고리가 매우 취약하다. 


보안을 위해서는 리스크 기반의 접근법을 취해야 한다. 모든 것이 완벽할 수 없기 때문에 평가를 할 수 없다. 평가를 한다는 것은 위험 기반으로 한다는 것이다. 주어진 환경, 시스템, 데이터를 가지고 어떠한 잠재적인 문제점이 있을까탐지 가능한 위험들이 대응 가능한 것인가큰 영향을 줄 것인가 낮은 영향을 줄 것인가?를 차트로 만들어볼 수 있다


이 같은 이슈를 해결할 때 과거의 경험과 지식을 기반으로 하는 접근법을 사용하게 된다. 예를 들어 초보운전자는 경험이 없어 매우 위험하지만 수 년 간의 운전 경험이 있는 사람은 리스크가 상당히 줄어든다. 이처럼 과거의 경험과 지식을 사용하는 접근법은 상당히 주관적이고 몇몇의 상황만으로 분석을 하기 때문에 리스크가 매우 크다. 이 접근법을 보완하기 위해서는 과거의 요소뿐만 아니라 많은 것을 참조해야 한다. 

우리가 아는 것은 제한적이며 해커는 우리가 모르는 것을 알 수도 있다. 따라서 위험을 피해 갈 수 없으므로 새로운 취약성을 겨냥한 기술이 필요하다. 해커는 계속 새로운 취약성을 찾고, 발견하면 이것을 팔기도 한다. 이런 방식으로 암시장이 형성되고 몇 개월 후 새로운 취약성을 판매하고 다시 취약성을 찾는 방식을 사용하기 때문에 우리가 접근하기 힘들다. 이러한 악순환을 우리는 끊어야 한다. 정보가 침해되는 대가가 너무 크기 때문이다. 


이러한 접근 말고 반응형 보안이 있다. 리스크의 보이는 부분을 포착해야 하고 이에 대해 대책을 세워야 한다. 즉, 어떤 식의 공격이 올 것이며, 다음 공격은 어떤 공격인지 항상 생각하고 분석하고 탐지해야 한다.


쓰나미를 예로 들 수 있다. 쓰나미가 오기 전 밀물이 크게 작용하며 닭, 돼지 등 동물은 모두 숨었지만, 인간은 알아차리지 못 했으며 대응하지도 못 했다. 이처럼 이벤트를 간파하지 못 한다는 것, 정상적인 상황과 그렇지 못한 상황의 차이점을 모른다는 것 때문에 반응을 하지 못 한다. 


일반적으로 사람은 다양한 리스크에 반응을 하므로 인식 제고 교육을 하기보다는 자신감을 주어 자신있게 반응하도록 해야 한다. 반응형의 보안을 통해 사건에 대응하는 효율성을 최소화할 수 있고 복구 시간을 단축할 수 있다. 하지만 실제로는 이 같은 모든 이슈를 해결할 수 없으므로 항상 주의 깊게 보고 간파하는 것이 중요하다. 


마지막으로 해커는 모든 힘을 가지고 있고 우리는 그에 대응하기 위해 민감하게 전략을 짜고 반응해야 하며 빠르게 적응을 해야 한다. Ahn

 

대학생기자 최주연 / 서원대 정보통신공학과

 

IT 분야 취업에 도움 되는 멘토링 프로그램

현장속으로/세미나 2013.11.20 15:11

프로젝트란 컴퓨터 시스템에 관계하는 업무를 계획하고, 실행 제어할 때 대상이 되는 정상 업무나 정형 업무로서 하나 또는 복수의 업무에서 이루어지고 필요한 처리 순서가 규정되는 것이다회사에서 수행하는 프로젝트를 선행 학습하기 위해 대학교 교과목에도 포함되어 있기도 하다최근 공대 대학생이 많이 하는 대외활동 중 하나도 IT 전문 학원, 기업, 정부기관에서 지원하는 프로젝트이. 다양한 프로젝트 중 국가에서 지원하는 활동 가운데 대표적인 것이 '한이음IT멘토링'이.

 

 

'한이음IT멘토링'은 대학생이 교수, 기업인 IT멘토와 팀을 이루어 다양한 프로젝트를 수행해 현장성, 전문성, 창의성을 기를 수 있도록 지원하는 IT 인재 양성 프로그램이다. 미래창조과학부가 주최하고 정보통신산업진흥원이 주관하며 삼성전자, LG전자, 한화S&C, KCC정보통신, 지란지교소프트가 후원한다.

 

'한이음IT멘토링'은 세 가지 프로젝트를 진행한다. 첫째, IT 멘토링이다. 기업의 직원들이 멘토가 되어 프로젝트를 개설하여 멘티를 모아 프로젝트를 진행하는 것이다. 멘티의 지원방식은 간단하다. 회원가입 후 원하는 프로젝트에 선택을 하여 지원서와 간단한 개인정보를 입력하면 된다


둘째, 프로보노 IT지식 나눔 프로젝트이다. 이 프로젝트는 7월에 1기를 선발해 시작하였다삼성전자, 한화S&C, 지란지교소프트에서 서류, 면접전형을 거쳐 멘티를 뽑아 진행하는 프로젝트이다.

 

 

셋째, 10월에 시작한 BIG 프로젝트이다. 122개의 주제를 가지고 주제와 관련된 수십 명의 멘토가 연결되어 프로젝트를 진행하는 것이다. 프로젝트를 진행하는 동안 교통비, 활동비, 실습장비, 개발서버, 토즈 및 지역별 회의실을 지원해준다


프로젝트의 결과물을 한이음 공모대전에 출품할 수 있으며 출품된 프로젝트는 코엑스에서 열리는 한이음 엑스포에 공모할 수도 있다정보통신산업진흥원 발표에 따르면 멘티들의 취업률이 82.6%이라는 결과를 낸 바 있다.

 

다양한 경험을 하고 많은 것을 배우고 싶은 학생은 같은 학교 학생들과 프로젝트를 진행하는 것도 좋지만 여러 대학교 학생들과 머리를 맞대고 실무자의 이야기를 들으며 프로젝트의 진행과정도 알고 다양한 경험을 통해 자소서에 크게 한 줄 더 작성할 수 있는 기회를 만드는 것도 좋을 것이다. Ahn



대학생기자 최주연 / 서원대 정보통신공학과

 

 

무선랜 해킹의 공격 키워드 짚어보기

현장속으로/세미나 2013.11.08 09:05

지난 9월 14일 '제 2회 LEMON-APNG 정보보안 컨퍼런스'가 서울여대 국제 회의실에서 진행되었다. 컨퍼런스는 총 5개의 발표로 구성되었으며 금융, 무선랜, 보안 예측, 침해 분석, 정보보안의 현실 등 보안을 아우르는 다양한 주제로 진행되었다.

발표 중 이준환 학생의 'Wireless-LAN hacking'을 들어보았다. 이준환 학생은 세종대 교내 보안동아리 S.S.G에 소속되어있다. 또한 차세대 보안 리더 양성 프로그램인 BoB(Best of the Best) 2기로 활동 중이다. 아래는 주요 발표 내용.

AP(Access Point) /Wireless Access Point 말 그대로 인터넷에 접근할 수 있는 접점을 말한다. 다른 말로는 HotSpot이라고도 한다. 가장 많이 사용되는 AP는 인터넷 공유기이며 공유기를 통해 PC, 스마트폰, 노트북 등에서 인터넷 접속이 가능하다.

<Public Wifi>

우리가 만나볼 수 있는 Public Wifi 중 첫째로 국가사업으로 진행하는 공공 Wifi를 들 수 있다. 우체국, 버스터미널, 도서관 등에서 제공된다고 하나 아직 활용도가 높은 편은 아니다.

둘째로 Subway Hotspot을 들 수 있다. 통신사인 Olleh와 T의 Wifi 정책을 살펴보면 Olleh는 KT 가입자에게만 무료로 접속을 허용하며, 보안 채널은 유심 인증을 통해 접속이 가능하고, 일반 채널은 MAC인증을 통해 접속이 가능하다. T도 마찬가지로 유심 인증을 해야 무료로 접속이 가능하다.

셋째로 커피숍, 영화관 등의 Wifi를 들 수 있다. 몇몇 커피숍에서는 영수증에 적힌 인증번호를 입력해야 Wifi 접속이 가능하게 되어있다. 

<무선랜 해킹 기술>

무선랜 해킹 기술에는 ARP Spoofing, DNS Spoofing, MITM(Man In The Middle)이 있다.

ARP(Address Resolution Protocol)란 주소 결정 프로토콜을 뜻한다. Spoofing이란  임의로 구성된 웹사이트를 통하여 이용자의 정보를 빼가는 해킹 수법의 하나이다. ARP Spoofing은 주소 결정 프로토콜을 변조해 정보를 빼가는 수법으로 P턴 도로에 비유하여 설명해볼 수 있다. P턴 도로는 시작점에서 도착점까지 직선으로 가면 빠르게 갈 수 있으나 돌아서 가게 되는 것이다. 또한 P턴을 통해 방향이 바뀌게 되며, 이를 패킷의 방향 변경에 적용하여 이해할 수 있다. 

DNS(Domain Name System) Spoofing은 인터넷을 이용 시 주소 창에 접속을 원하는 사이트에 접속을 시도하여도 응답 IP 주소를 속여 다른 사이트에 접속이 되도록하는 공격 방법이다. 다른 사이트로 접속이 되는 경우는 DNS 서버의 오류일 수도 있으며, DNS Spoofing 같은 공격으로도 이루어진다.

<Fake AP>

Fake AP란 가짜 AP이다. Fake AP를 만들기 위해서는 SSID, NAT, DHCP, Forwading의 구성요소가 갖춰져야 한다. SSID(Service Set Identifier) 무선랜을 통해 전송되는 모든 패킷의 헤더에 존재하는 고유 식별자이며, SSID를 통하여 AP를 구분할 수 있게 된다. 

SSID의 하위 개념으로는 ESSID와 BSSID를 들 수 있다. NAT(Network Address Translation)는 사설 IP 주소를 공인 IP 주소로 바꾸는데 사용하는 주소 변환기로, IP를 클라이언트에게 나눠주는 역할을 한다. DHCP(dynamic host configuration protocol)는 랜(LAN)에 접속하는 컴퓨터에 IP 주소를 할당하는 기술이다. Forwarding 기술을 통해서 Fake AP는 사람들이 접속하기를 기다리게 된다.


이번 세미나에서는 5개의 발표가 진행되었는데, 이 중 3개의 발표를 대학생이 맡아 진행하였다. 대학생이 진행하는 발표는 실무적 지식보다는 이론적 지식을 알기 쉽게 설명하는 데에 초점을 두었으며, 흥미로운 예시와 시연 영상을 준비하여 수월한 이해를 도왔다. 

발표 중간에는 퀴즈 타임을 마련하여 정답을 맞춘 사람에게는 선물을 증정하였다. 해당 컨퍼런스는 발표와 참관 모두 대학생들의 참여가 두드러져 대학생 간 지식 공유의 장이 되었다. 다음 해에도 대학생들에게 유익한 자극을 주는 컨퍼런스가 되기를 기대한다. Ahn

대학생기자 이혜림 / 세종대 컴퓨터공학과

나를 바로 세우고, 타인을 존중하는 삶.

오늘도 새겨봅니다.


지능적인 공격에 맞서는 똑똑한 관제에 필요한 것

현장속으로/세미나 2013.11.05 07:00

안랩은 10 23일 코엑스컨벤션센터 그랜드볼룸에서 기업공공기관 IT 관리자 및 보안담당자를 대상으로 새로운 보안 위협 동향 및 패러다임 변화에 따른 해법을 제시하는 ‘안랩 ISF 2013(AhnLab Integrated Security Fair, 이하 ISF 2013)’를 개최했다  

권동훈 CERT팀장은 '위협 인텔리전스(Threat Intelligence) 기반의 차세대 보안 관제'를 주제로 발표했다. 권 팀장은 성공적인 대응의 관건은 ‘신속한 보안 의사결정’이며, 이를 위해 가시성 확보가 필수적이라고 강조했다. 또한 2012년의 키워드가 가시성(Visibility)이었다면, 2013년의 키워드는 인텔리전스(Intelligence)라고 진단했다. 다음은 주요 내용.

 

과거에는 공격자가 알려진 공격을 했다. 즉, 대상을 직접 공격했다. 하지만 최근에는 지능화한 공격, 타깃 공격으로 사용자가 신뢰하는 사이트를 미리 해킹한다문서 프로그램의 취약점을 악용하는 악성코드를 메일에 첨부하여 국내외 공공기관, 금융권을 타깃으로 보내 감염시킨다


이후 사용자의 권한을 획득하여 정상적인 권한으로 서버에 접근하는데, 이때 악의적인 권한과 정상적인 권한을 구별하기 힘들다. 서버에 접근해 백도어 설치, 추가 계정 설치 등으로 악의적인 행위를 하고 시스템을 위변조하며, 포렌식을 못 하게 한다. 이에 대응하는 시점은 정보가 유출되고 변조, 파괴되는 시점이다.


구간에 따라 분명히 파악할 수 있는 포인트가 있지만 놓치는 이유는 대략 세 가지이다. 방화벽은 동시접속자 수가 많아서 놓치기 쉽다. IPS는 잘 알려진 시그니처(Well known Signature) 중심으로 대응하기 때문에 알려지지 않은 악성코드(Unknown Malware)에는 대응할 수 없다. 또한 서버나 호스트의 로그가 모니터 인원이 비해 너무 많기 때문이다. 하루에 쌓이는 웹 로그만 수 기가바이트에 달한다. PC에 쌓이는 로그는 얼마 되지 않아도 기업의 PC에 쌓이는 로그는 엄청나게 많다. 따라서 공격자가 관리자 권한을 가지고 있다 하더라도 정상적인지 아닌지 적은 관제 인원이 많은 로그를 관리하기는 힘들다.    


한편, 포렌식을 하면 반드시 공격의 흔적을 찾을 수 있다. 그러나 요즈음 공격자는 흔적 남기는 것을 두려워하지 않는다. IP를 속이고 경유지를 신뢰 사이트로 돌려 속이기 때문이다


똑똑한 관제를 위한 해결책


이에 따라 똑똑한 관제가 필요하다. 인텔리전스(Intelligence)란 정보(Information)가 아니다. 정보에 가치를 더하고 정보가 의미하는 바가 설명될 수 있을 때 인텔리전스라고 할 수 있다. 국내 업체들이 제공하는 많은 정보를 그냥 정보로 받아서는 지능화한 공격에 대응할 수 없다. 그동안 보지 못했던, 보지 않았던 정보를 많이 수집해야 한다. 그리고 수집된 정보에서 어떻게 맥락을 부여하고 의미를 찾을 것인가를 생각하고, 최종 판단을 위한 지표를 보고 판단해야 한다.


 

보지 않았던, 보이지 않았던 정보를 늘리자, 정보를 조합해서 트리거 포인트를 늘리고 트리거가 발생했을 때 연관된 정보를 많이 모아 보여주면 보이지 않았던 정보를 볼 수 있을 것이다. 정보가 너무 많아 트리거가 발견되면 숙련도가 낮은 엔지니어는 숙련된 엔지니어보다 빠르게 판단하고 대응하기 힘들다. 이러한 편차를 줄이고 대응 시간을 줄이기 위해 모든 위협을 정의할 필요가 있다

 

안랩 보안관제 서비스의 미션은 Threat intelligence를 통해 모든 위협에 대해 가시성위협 지표를 제공해 신속하고 빠르게 대응하는 것이다. Ahn

 

대학생기자 최주연 / 서원대 정보통신공학과

 

 

 

개인정보보호, 단순 관리 넘어 유출 차단까지

현장속으로/세미나 2013.11.04 11:07

10월 23일 코엑스컨벤션센터 그랜드볼룸에서 '안랩 ISF 2013(AhnLab Integrated Security Fair)'이 개최되었다. 안랩은 IT 트렌드 변화 속에서 기업의 비즈니스 환경을 위협하는 차세대 보안 위협 및 법적규제(Compliance Issue)에 대한 최신 정보와 함께 대응 전략을 제시했다. '규제 준수(Security Compliance)', '진화하는 위협(Advanced Threats)', '시큐리티 인사이트(Security Insight)'의 3개 트랙에서 총 12개의 주제 발표가 진행되었다.

그 중 김재열 SW개발실 수석연구원의 <개인정보보호의 진화, 관리를 넘어 '유출 차단'까지>를 들어보았다. 그는 개인정보보호의 범위가 개인정보 관리나 검색 위주에서 유출 차단까지 하는 형태로 진화했다고 강조했다. 다음은 주요 내용.  

개인정보보호법의 핵심

개인정보보호법은 작년 3월 시행되었는데 전체 조항은 많지 않다. 그 중 29조를 보면 전체 개인정보보호법이 말하는 바가 다 담겨있다. 올해 개인정보보호법 개정이 크게 3가지에서 이루어졌다. 과태료가 상승되었고, 주민등록번호는 과거에는 동의가 있으면 수집할 수 있었으나 현재는 수집 금지되었다. 그리고 기업대표 또는 임원이 처벌대상에 포함된다. 이것은 처벌수위 대상이 높아졌기 때문에 그만큼 법이 강화된다는 것이다. 개인정보보호법은 아직 활성화가 부족하지만 앞으로 발전할 것이라고 생각된다.

개인정보보호법이 헷갈리다면 2011 43호 지침을 읽어보면 굉장히 자세하게 나와있다. 이 지침은 개인정보보호법에 기술적인 부분을 어떻게 할지에 대한 체계적인 설명을 볼 수 있다.

 

<개인정보보호를 위한 기술적 보호조치 근거 조항>

제5조 비밀번호 관리

개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성 규칙 수립/적용

제6조 접근통제 시스템 설치운영

개인정보가 인터넷홈페이지, P2P, 공유 설정 등을 통하여 외부에 유출되지 않도록 개인정보처리시스템 및 업무용 컴퓨터에 조치

제7조 개인정보 암호화

암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장

제9조 보안프로그램설치운영

보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 1일 1회 이상 업데이트를 실시

이것으로는 조금 부족하다고 느낀다면 모든 파일이 어떻게 생성되고 파기되는지 전체를 관장할 수있는 개인정보 통합 유통 관리가 필요하다. 기술적으로 조금 어려울 수도 있으나 작년 금융권에서 안랩이 참여하여 구축을 했다.

다음으로 검색조항을 살펴보면 검색시간이 어마어마하게 오래 걸린다. 백신은 파일을 탐지할 때 패턴을 보고 판단하지만 검색은 문장을 분석해야 한다. 그렇기 때문에 검색 시간이 오래 걸린다. 또한 검색했던 것을 암호화하는 것이 불안정하다. 또 개인정보보호법에 의해 굉장히 들어가야 할 것들이 많기 때문에 서버가 너무 많아 서버관리자들이 필요하다. PC 에이전트 또한 엄청난 수로 필요하게 된다. 그러다보면 검색시간이 6시간 정도 소요된다. 이는 CPU를 굉장히 많이 사용하게 된다.


뉴런 검색(Neuron Search) 기술

안랩이 이런 부분을 해결하기 위해 3초 만에 검색을 하는 기술을 개발하였다. 패러다임을 바꿔 뉴런 DB를 구축했다.

뉴런 DB는 PC에 있는 개인정보 DNA를 DB화를 미리 해놓는것이다. 검색이라는 절차를 완전히 없애버리고 뉴런 DB를 최초에 한번 구축해 놓으면 그 다음부터는 실시간으로 개인정보를 생성될 때만 생성정보를 뉴런 DB로 업데이트하는 것이다. 이때 걸리는 시간이 3초 이내이다. 이런 방법으로 검색의 절차는 사라지는 것이다. 항상 나의 PC 상태가 개인정보를 몇 개 갖고 있는지 실시간 유지해주는 상태로 발전하는 것이다.


개인정보유출 방지 솔루션

개인정보 유출의 79%가 퇴직 직원에 의해 동영상, 휴대폰 등 다양한 방법으로 이루어진다. 내부 정보 유출을 방지하는 솔루션 중 DLP 솔루션은 네트워크가 지나가는 패킷을 분석하기 때문에 불완전하다. 또한 구축비용이 많이 들며 네트워크 트래픽을 모두 분석하기 때문에 네트워크의 성능을 저하시킬 수 있다. 이러한 문제를 해결하고자 안랩은 패턴을 보지 않고 행동 기반 복합 분석을 수행하는 뉴런 엔진(Neuron Prevention Engine)을 개발해 제공한다.  

<뉴런 엔진의 특징>

-탐지 범위 : 알려지지 않은 문서 유출 기법을 완벽하게 방어

-성능 : 이벤트 발생 시점에만 리소스를 사용하기 때문에 최저 수준의 리소스 사용

-통합관리 : APC 기반의 통합 관리

-출력물 : 프린터 접근 제어 및 워터마크 지원

안랩의 개인정보 유출 방지 솔루션인 '안랩 프라이버시 매니지먼트 스위트'는 실시간 검색, 자동 격리 등 개인정보 현황 파악 및 조치는 물론, 유출까지 탐지 및 차단하는 진일보한 솔루션이다. 안랩은 개인정보 파일 유통 통합 관리 시스템을 구현해 개인정보 파일의 유통 관리 및 개인정보보호 효과를 극대화한다. 이로써 개인정보 문서를 안정적으로 유통하고, 개인정보 유출 사고에 대비하는 한편, 통합 관리 및 모니터링할 수 있다. Ahn 


 대학생기자 임지연 / 덕성여대 컴퓨터학과

  

 

전문가 전망, 네트워크 보안의 지향점은 어디일까

현장속으로/세미나 2013.10.30 13:54

안랩은 10 23일 코엑스컨벤션센터 그랜드볼룸에서 기업공공기관 IT 관리자 및 보안담당자를 대상으로 새로운 보안 위협 동향 및 패러다임 변화에 따른 해법을 제시하는 ‘안랩 ISF 2013(AhnLab Integrated Security Fair, 이하 ISF 2013)’를 개최했다

전략제품사업팀 유명호 차장은 “네트워크 보안, 어디를 지향하는가”를 주제로 급격한 환경의 변화에 따라 네트워크가 어디를 지향하는지와, 안랩의 대표 솔루션인 TrusGuard(글로벌 제품명 AhnLab TrusGuard)가 어떻게 발전해왔고 어떻게 발전해갈 것인지를 설명하였다. 다음은 주요 내용.

현관문 자물쇠가 홍채 인식으로 진화하듯


집에 문(door)이 있어서 자신의 집에 있는 돈이나 문서 같은 정보가 외부로 유출되지 않게 된다. 컴퓨터 세계에서는 문처럼 네트워크가 내부의 정보가 지나가는 통로 역할을 하여 정보가 유출되는 것을 막는다. 과거엔 문을 자물쇠로 잠그다가, 현재는 도어락에서 홍채 인식으로 발전하였다. 네트워크 또한 역할의 증대, 서비스 인프라와 결합, 경계를 재구축, 플랫폼이 진화 4가지 측면에서 발전해왔다. 문의 보안이 계속 발전해왔듯이 네트워크 보안도 계속 발전해 나갈 것이다.


네트워크 보안의 역할 중에 “내부정보유출방지”와 “탐지대응”의 두 가지 측면이 중요하다. 내부정보유출방지를 위해서는 애플리케이션(P2P, 웹메일, 웹하드 등)을 제어함으로써 내부 정보가 외부로 유출되는 것을 막는 방법이 있다. 또한 문서 파일을 패킷이 아닌 파일 기반으로 만든 후 내부에 특정 개인정보가 들어있는지 탐지하여 데이터 유출을 방지하기도 한다. 탐지대응은 내부 PC에 APT가 발생할 수 있는 알려지지 않은 악성코드(unknown malware)가 존재하는지를 탐지하고 대응하는 것이다.

과거에는 보안 위협이 거의 없어서 정적으로 대응했지만 지금은 보안 위협이 고도화했기 때문에 동적으로 대응해야 한다. 그렇기 때문에 네트워크가 서비스 인프라와 결합되어 동적으로 대응하는 것이 중요하다. 


서비스 인프라와 결합된다는 것은 광범위한 보안 위협을 실시간으로 수집한다는 것이다. 외부 센서로부터 실시간 정보를 수집하여 중앙 시스템에 전달한 후, 중앙 시스템에서 여러 가지 분석을 통해 악성인지 판단하여 네트워크 보안 장비에 전달한다. 이러한 서비스 인프라와 결합해 ¹ 제로데이 공격에 대응할 수 있고, 알려지지 않은 위험(unknown risk)를 알려진 위험(known risk)로 만들 수 있고, 상황에 빠르게 변화할 수 있어 ² false positive를 최소화할 수 있게 된다.


과거에는 회사 내부 자원이 대부분 회사 안에 있었기 때문에 네트워크의 경계가 회사의 물리적 경계와 같았다. 하지만 요즈음은 약 7.9억 개의 모바일 디바이스가 개발되면서 네트워크의 경계가 회사 내부에서 모바일 영역까지 확장되었고, 이에 따라 네트워크의 재구축이 필요해졌다. 현재는 모바일의 개인의 영역과 업무의 영역이 모호해진 ³ BYOD 환경에 다가와 있다. BYOD는 안전한 모바일 VPN, 모바일 디바이스로부터 특정 승인번호를 가져서 2개 채널로 인증, 인증 정보를 기반으로 한 접근제어 같은 보안 기능을 제공한다.


모바일의 사용이 증가함에 따라 트래픽이 폭주하고 보안 장비가 트래픽을 처리하지 못하여 결국 병목 현상이 생기게 된다. 이에 따라 소프트웨어와 하드웨어의 가속 기술이 발전해 플랫폼의 변화가 있어야 한다. 소프트웨어 가속 기술에는 대용량 처리 기술, 고속 패킷 기술, 패턴/행위 탐지 고속 기술, 패킷 기반 탐지 기술이 있다. 


대용량 처리 기술은 패킷이 지나가는 곳을 넓혀 많은 패킷을 보내는 기술이다. 고속 패킷 보안 기술은 특정 패킷을 처리할 수 있는 경로를 두 개로 만들어 인증된 패킷은 빠르게 보내는 것이다. 패턴/행위 고속기술은 가장 최소의 패킷으로 가장 빠르게 탐지하는 것이고, 패킷 기반 탐지는 악성코드를 패킷 기반으로 고속으로 탐지하는 것이다. 


하드웨어 플랫폼도 처리해야 할 트래픽이 많아지면서 발전해왔다. 초기엔 싱글코어(single-core)로 사용했지만 트래픽이 많아지면서 멀티코어(multi-core)로 발전되었고, DPI 성능이 부족한 멀티코어을 보완하기 위해 고집적 성능 NP(Network process)로 바뀌었다. 하지만 이것은 코딩이 하드코딩이라 유연하지 못하고 가격이 비싸기 때문에 현재는 매니코어 플랫폼을 이용한다. 매니코어는 개발의 유연성뿐만 아니라 호환성이 수십 개에 달하고, DPI 같은 행위 패턴을 고속화시키고 가격 또한 저렴하다. 

세계에서 가장 빠른 TrusGuard

이처럼 네트워크의 변화가 가속화함에 따라, 안랩의 보안 장비 또한 과거의 개념에서 탈피하여 환경에 맞게 발전해가고 있다. 안랩의 뛰어난 장비들을 대표하는 차세대 네트워크 보안 솔루션에 TrusGuard(트러스가드)는 4가지 특징이 있다. 


첫째, TrusGuard의 방화벽 성능은 세계에서 가장 빠르다. 플러딩 공격이 많아지고, 작은 패킷을 사용하는 애플리케이션이 많아졌다. 현재 발생하는 트래픽의 45% 가량은 작은 패킷에서 발생하였다. 이로 인하여 초당 처리할 패킷이 많아지고 방화벽 성능이 떨어지게 되었다. TrusGuard는 코어 하나하나 최적화하여 패킷을 분배하기 위해 병렬 처리하였고, 소프트웨어 가속기술을 가지고 있어 인증된 패킷은 fast 경로로, 일반 패킷은 normal 경로로 지나가게 하였다. 


또한 하드웨어와 행위 패턴 가속하여 패킷 필터링과 레이턴시를 가속화하였다. TrusGuard는 3㎲ 이하 레이턴시로 처리 속도가 빠르다. 또한 패킷의 사이즈에 관계없이 와이어 처리 성공 속도도 빠르다. 가장 높은 모델에서 wire 40G를 처리할 수 있다. 

둘째, TrusGuard는 Next-Generation Provisioning이다. 이것은 미리 공격을 탐지하고 차단할 수 있다. 실시간으로 악성코드를 다운로드하거나 실시간으로 악성코드를 경유하는 리스트 DB를 가지고, 내부 PC가 그곳에 접속하는 것을 미리 차단한다. 또한 애플리케이션 제어로 내부정보가 유출되는 것을 방지 한다. P2P, 웹하드를 단순 접속하는 것을 제어하고, 파일 전송이나 채팅 같은 행동을 금지한다.


셋째, TrusGuard는 클라우드 기반의 강력한 서비스 인프라를 제공한다. 실시간으로 2천만 대의 센서들로부터 보안 경보를 모은 후 중앙 분석 시스템에서 이를 분석하여 악성을 고른다. 보안 위협에 대한 부산물을 통하여 빅데이터 기술로 DB화하고, 안 되면 100여 명에 이르는 전문조직이 분류한다. 이처럼 TrusGuard는 서비스 인프라와 결합하여 실시간 위협에 대응하는 생명력을 가지게 된다.


넷째, TrusGuard는 사용자 중심적이다. 웹 기반(http)이므로 어느 장소에서나 접속이 가능하고, 사용자의 편의성을 고려하여 UX 설계가 가능하다. 또한 1차원적이 아닌 공격자, 공격대상, 공격유형, 공격 서비스 등의 상관분석정보를 제공하여, 전체 장비를 직관적으로 볼 수 있다.


<용어 설명>

1. 제로데이 공격(zero-day attack) : 취약점 공격의 신속성을 의미하기도 하며, 대응책이 공식 발표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다는 위험성을 표현하기도 한다. 이 공격은 취약점의 최초 발견 보고 후 대응 패치가 나오기까지 시간을 이용한 공격방식이다. 

2. false positive : 악성코드 검사에서 정상 파일을 악성코드로 잘못 진단하는 것. 

3. BYOD(Bring Your Own Device) : 직원들이 개인적으로 사용하는 노트북, 테블릿, 핸드폰 같은 모바일 기기를 직장에 가져와 업무를 처리하는 것.

Ahn


대학생기자 윤현정 / 동덕여자대학교 컴퓨터학과