본문 바로가기

현장속으로/세미나

지능적 APT 방어에 필요한 네트워크 포렌식

지능화, 고도화, 복잡화하는 보안 위협에 노출된 기업이 체계적이고 능동적으로 대처할 수 있는 차세대 보안 로드맵을 제시해 주는 'Next Generation Network Security Vision 2013' 세미나가 지난 3월 7일 개최되었다. 이번 12회를 맞은 이번 세미나는 총 16개의 세션을 마련하여 보안 위협에 대해 궁금해 하고있는 세미나 참여자들에게 많은 정보를 제공해 주었다. 



먼저, 세미나의 시작을 알린 것은 정보보안 분야 대표 기업인 안랩의 김홍선 대표. '패러다임 변화와 차세대 보안전략'을 주제로 키노트 스피치를 했다. 



김 대표는 최근 화두인 APT의 특징을 소개했다. 

"IT 대중화로 IT의 정보력이 큰 '파워'를 가짐에 따라 보안 위협도 지능화한다. 대표적인 이슈가 APT 공격이다. 이것은 현재까지의 공격 패턴과는 달리 정규적으로 훈련받은 요원과 막대한 자본 그리고 오랜 시간동안 공을 들여 특정 대상을 공격하는 새로운 보안 위협이다."


이어서 "기존 방화벽, IPS 등의 보안 장비들은 알려진 시그니처를 탐지하기 때문에 알려지지 않은(Unknown) 공격인 'APT 공격'에는 취약 할 수밖에 없다."라고 설명했다. 또한 APT가 이루어지는 주된 공격 경로를 설명하고 IT 보안 산업이 나아갈 방향을 제시했다. 더이상 노동집약적인 방향이 아닌 기술적인 방향으로 나아가 'Unknown' 공격을 살펴봐야 하며, 기업에서도 보안의 중요성을 인식하고 계속 정보를 얻는 것이 중요하다고 강조했다.


고도의 위협 대응 위한 네트워크 포렌식 


오후 주제 발표에서는 주남용 한국 EMC 차장의 '고도화된 위협 탐지 및 대응 위한 네트워크' 세션이 ㅣ선을 끌었다. 그는 현존 네트워크 장비가 APT 공격 같은 'Unknown' 공격에 대응하는 데 어떤 한계가 있고 그에 따른 피해 양상이 어떤지, 대응 방법은 무엇인지 이야기했다. 

먼저, 현재의 보안 실태는 '99%의 침입이 수일 이내에 피해를 일으키고, 이 중 85%가 수주 이내에 발견되는 형태'라고 설명했다. 이어서 지금의 보안은 보안 침입이 일어난 후 뒷북 치듯 조치하는 것이라고 비판했다. 


또한 "현재의 네트워크 장비들은 'Attack Free Time' 즉, 공격자가 침입한 후 정보를 탈취할 때까지 시간을 너무 많이 허용한다"라며 전통적인 네트워크 모니터링의 한계를 지적했다. 이어서 지금까지의 네트워크 포렌식과는 다른 '네트워크 포렌식의 새로운 정의'를 설명했다. 즉, 기존 시그니처만을 탐지하는 방법으로는 시그니처에 걸리지 않는 새로운 방법으로 위협해오는 공격자에 무방비 상태가 된다는 것이다.

'Unknown' 공격에 효과적으로 대응하려면 '이상 트래픽'만 저장하던 현행과는 달리 '모든 트래픽'을 저장하고 이를 처리할 수 있는 고속 검색 환경을 구축할 필요가 있다고 밝혔다. 아울러 패킷 기반 분석보다는 세션 기반의 분석을 중심으로 하고, 인바운드(InBound) 트래픽 보안과 함께 아웃바운드(OutBound) 트래픽 보안도 강화해야 하며, 통합 로그 관리의 연계 운영이 필요하다고 제언했다. 


또한, 보안담당자는 보안 침입이 발생했을 때 '선조치 후보고'하는 게 효과적이라며, '보안 위협에 가장 효과적이고도 분명한 방비책은 정보보호 인력 양성'이라고  강조했다. Ahn


           




대학생기자 유희만 / 수원대 컴퓨터학과

The achievement of one goal should be the starting point of another.
(목표의 성취는 또 다른 목표의 출발점이 되어야 한다.)
- 알렉산더 그레이엄 벨 -

현재에 안주하지 않고 항상 색다른! 목표를 향해!