우리 회사 노리는 타깃 공격 제대로 막으려면

정보보안 대표 기업인 안철수연구소가 10월 20일 최근 가장 위협적인 보안 이슈인 APT를 집중 분석하고 해법을 제시하는 자리인 <융합보안전략 세미나(AhnLab Integrated Security Fair 2011)>를 개최했다. 

APT는 Advanced Persistent Threat(지능형 타깃 위협)의 줄임말로 다양한 IT 기술과 방식들을 이용해 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 조직적이고 지속적으로 특정 대상에게 공격을 가하는 일련의 행위를 뜻한다.

기조연설을 한 김홍선 대표는 최근 IT 보안이 갖고 있는 화두는 크게 두 가지라고 했다.

첫째는 사회적/산업적 영향을 준다는 것. 이란 원전을 마비시켰던 스턱스넷(Stuxnet), 글로벌 에너지 기업을 노렸던 나이트 드래곤(Night Dragon) 등에서 알 수 있듯 글로벌 영역에서 더 많은 사람들에게 위험이 되고 있다는 것이다.

다음은 공격 수법이 고도화하고 있다는 것. 김 대표는 "RSA사의 OTP 기술 유출, 스턱스넷 등은 오랜 시간 치밀하게 준비되었던 것으로 그만큼 전문성을 가진 사람이 집중적으로 파고들어간 것"이라고 역설했다.

또한 그는 "과거의 보안 사건과 비교했을 때 APT 공격은 기술적으로 고도화했고 정교하기까지 하다. 보안 측면에서 과거에는 모니터링을 하다가 발견되는 이상 징후들, 즉 임계치를 벗어나는 데이터를 중요하게 생각했다. 하지만 APT 공격 수법은 이것을 넘어서 그 다음 단계를 생각해야 한다."라고 강조했다.

그렇다면 그 다음 단계를 위해 안랩에서는 어떻게 준비하고 있을까? 여러 발표 세션 중 개인적으로 3가지 세션을 관심있게 살펴보았다.

겹겹의 보안관제로 24시간 감시하기

요즘 화제의 팟캐스트인 '나는 꼼수다'에서 "불법은 부지런하다"라는 말을 들었다. 이 말은 악의적 목적을 가진 해커들에게도 적용이 된다. 목적을 이루기 위해 부지런하게 지금 이 시각에도 해커들은 부지런하게 움직이는 것이다.

이전의 보안은 출입문을 막는 데 공을 들였다. 하지만 위 그림에서 보듯이 출입문을 막아놓으면 악의적인 목적을 가진 해커는 출입문을 우회해서 옆길로 지나가는 것이다. 이런 문제와 관련하여 안랩의 관제 서비스도 많은 고민을 했다고 한다.

서비스기획팀 신호철 팀장은 안랩 관제 서비스의 가장 큰 특징을 CERT(침해사고대응센터)와 ASEC(시큐리티대응센터)의 결합이라고 말했다. 

"CERT가 있는 회사는 많지만 ASEC과 같은 팀은 보기 드물다. 처음에는 두 팀을 결합해서 어떤 시너지를  낼 수 있을까를 많이 생각했다. 그러는 사이 여러 가지 보안 사고를 겪으면서 시너지가 나기 시작했다. 바로 모든 보안 사고의 시작이 악성코드에서 시작되면서 ASEC 기반 하에 다양한 관제 서비스를 제공할 수 있게 되었다."

망분리로 인터넷 통한 악성코드 유입 막기

제품마케팅팀 권진욱 차장은 망분리로  APT를 막을 수 있다고 설명했다. 그는 "안티바이러스 솔루션으로 APT를 예방할 수 있다고 생각하기 쉬우나 안티바이러스 솔루션은 엄밀히 말하면 기존 악성코드를 분석하고 사후 대응하는 것이다. 확산 방지에 초점이 맞추어져 있어서 모든 공격에 만능은 아니다."라고 지적했다.

또한 "APT는 인터넷을 이용하기 위해 반드시 열어 놓아야 하는 포트를 이용하며, 믿을 수 있는 네트워크를 사용하기 때문에 정상 트래픽으로 인지된다."라고 설명했다. 이어서 "이를 방화벽(Firewall) 같은 기존 네트워크 보안 솔루션으로 방어하는 것은 상당히 어렵다. 인터넷 사용을 금지하지 않는 한 악성코드 유입을 100% 방지하는 것은 불가능하다."라고 강조했다.

권 차장은 업무용으로 쓰는 망과 인터넷 망을 완전히 분리하는 망분리가 주목받는 이유가 여기에 있다고 역설했다. 망분리 방식은 2대 PC, 멀티 PC, 망분리 전환 장치를 이용하는 물리적 방식과, 서버 기반 가상화나 PC 기반 가상화를 이용하는 논리적 방식으로 나눌 수 있다. 

안랩은 여러 망분리 방식을 살펴본 결과 물리적 망분리와 동일한 보안성을 확보하면서 (구축,유지,보수) 비용 및 사용성을 고려한다면 애플리케이션 레벨의 PC 기반 가상화 방식이 가장 적합한 방안이라고 판단했다고 한다. 

그리하여 PC 가상화 기술과 망분리 전용 장비가 융합된 망분리 방식을 구현해 구축 비용이 저렴하면서도 높은 보안성과 편의성을 제공하는 신개념 망분리 솔루션인 안랩 트러스존(AhnLab TrusZone)이 나오게 되었다고.

 

말미에 권 차장은 망분리가 완전한 보안 대책은 아니라고 덧붙였다. 예를 들어 사내 직원이 악성코드가 감염된 USB를 업무용 PC에 사용하는 것만으로도 업무망에 악성코드 감염과 같은 문제가 일어날 수 있다는 것이다. "따라서 새로운 시스템 도입과 함께 사용자에 대한 철저한 교육이 반드시 동반되어야 한다."라고 강조했다.
 
침해 사고 시 결정적 단서 포착하기

시큐리티대응센터 김지훈 팀장은 이른바 'Digital Smoking Gun'(공격자의 흔적이나 공격자)을 찾아내기 위한 디지털 포렌식 기술을 이야기했다. 'Smoking Gun'은 미국 서부 개척시대에 총 싸움 현장에 도착한 보안관이 범인을 밝혀내기 위한 방법으로 총에서 연기가 나는 사람을 지목한 것에서 유래한 말이다. 이를 차용해 최근 일어나는 침해 사고와 관련된 결정적 단서를 'Digital Smoking Gun'이라고 한다. 

김 팀장은 "APT처럼 자신의 흔적을 제거하여 치밀하게 자신을 은폐하려는 공격을 밝혀내기 위해서는 악성코드와 네트워크 패킷 분석뿐 아니라 컴퓨터 곳곳에서 디지털 포렌식이 접목돼야 한다."라고 강조했다.

이어서 안랩이 'Digital Smoking Gun'을 찾아서 고객사가 당한 침해 사고의 원인을 밝히고 피해를 최소화하는 서비스를 제공하고 있다고 소개했다. 안랩의 모의해킹 전문가, 네트워크 전문가, 악성코드 분석 전문가, 리버스 엔지니어링 전문가 등 최고 수준의 전문가들로 구성된 사이버 사고 대응 전문 조직인 'A-퍼스트(AhnLab Forensic & Incident Response Service Team)'가 바로 그것. 안랩의 기술력을 한 곳에 모아 고급 보안 서비스를 제공하는 만큼 고객의 만족도가 높다고 강조했다. Ahn

대학생기자 김재기 / 한양대 안산 컴퓨터공학과

해보지도 않고 포기하는 것은 현명하지 않은 일이라고 생각합니다. 
타고난 천재가 아닌 이상 처음부터 잘하는 사람은 없겠지요. 
새로운 것에 도전하고 항상 노력하는 대학생기자 김재기입니다.