APT 대응을 위한 가트너의 제언

현장속으로/세미나 2014.02.14 18:59

작년 10월 23일에 “Stay Confident, We’ve Got Your Back”이라는 주제로 안랩 융합보안전략 컨퍼런스(ISF 2013 : Integrated Security Fair)가 열렸다. 최근 화두가 되고 있는 APT에 대한 안랩의 대응 전략에 대해 김홍선 대표의 키노트 후 이어진 두 번째 키노트에서는 세계적인 시장조사기관 Gartner의 분석가 로렌스 핑그리(Lawrence Pingree)의 발표가 있었다. ‘APT 대응을 위한 차세대 보안 전략(Best Practices for Mitigating Advanced Persistent Threats)’이라는 주제로 APT에 대한 가트너의 제언을 볼 수 있는 키노트였다.




보안 분야에서 문제를 겪는 것에는 크게 두 가지 요인이 있다. 첫번째는 웹, 웹 사이트 등 사용자 이름, 비밀번호 등과 관련된 것이고, 두 번째로는 멀웨어, 특히 최근에는 진화된 멀웨어가 있다. 이번 발표는 웹보다는 멀웨어와 관련하여 발생하는 문제에 대해 주로 언급하였다. 2013년 한 해 동안 방화벽, IPS(Intrusion Prevention Systems, 침입방지시스템), 엔드포인트, 웹 게이트웨이 솔루션 등에 130억 달러가 투자될 것으로 예상되지만, 여전히 해커들은 계속 공격에 성공한다. 보안에 대한 투자는 상당히 많이 이뤄지고 있지만, 여전히 우리는 그 피해를 보고 있다. 한 예로 2009년부터 2013년 사이에 북한의 사이버 공격에 따른 피해가 8600억원으로 추정된다고 한다.

그래서 핑그리는 APT와 관련하여 크게 3가지로 이야기를 하기로 했다. 첫 번째로는 APT란 무엇이고, 왜 전세계적으로 대단한 위협이 되고 있나에 대한 것이다. 두 번째로는 APT에 대응하는 우리의 적절한 전략은 무엇인가 라는 점이다. 마지막으로 세 번째로는 APT에 대응하는 시나리오에 대해 언급한다고 하였다.

 

1. APT란 무엇인가. 그리고 왜 전세계적으로 대단한 위협이 되고 있나.

APT는 Advanced Persistent Threat의 약자로, 다음과 같이 정의할 수 있다.

A: 기존의 방어체계를 꿰뚫는다.

P: 침투에 성공할 때까지 끊임없이 시도하고, 침투한 후에도 잠복하여 목적을 달성하고자 한다.

T: 피해를 발생시킨다.

이러한 APT는 제로데이 취약점 등 기존에는 시도되지 않은 새로운 공격 벡터 방식을 이용한다. 보안망 아래에서 숨어 있다가 활동하며, 자신들이 얻고자 하는 목표를 달성할 때까지 지속적으로 공격을 한다. 더구나 그 공격의 주체는 체계화되어 있고, 재정적인 여유가 있는 상황으로 원하는 목표를 위해서 쉽게 물러서지 않는다.


APT는 다음과 같은 속성을 가진다. 첫 번째로 APT는 기존의 시그니처 기반의 보안 솔루션으로는 쉽게 탐지되지 않는다. 특정대상을 공격하기 위해 타깃화 되어 있는 악성코드이다. 두 번째로 오랜 기간 동안 은닉하고 숨어있으며, 스스로 업데이트 되는 지능적인 공격 형태를 가진다. 세 번째로는 공격 초기 단계에 설정한 목표물을 탈취하거나 무력화시키는 공격형태를 가진다. 네 번째로 공격을 위한 정보, 취약점을 수집하기 위해 소셜 미디어를 활용하며, VPN 등을 이용해서 내부에 침투한다.

그런데 APT라는 용어는 과거 미군에서 처음 사용된 용어로 주로 국가적인 차원의 공격에 초점을 맞추는 용어이다. 요즘의 타깃화 된 공격은 금전적인 목적을 위한 범죄 행위가 많다. 그래서 가트너에서는 APT라는 용어 대신 ATA(Advanced Targeted Attack)이라는 용어를 제안했다.


그렇다면 위와 같은 특성을 가지는 ATA는 어떤 목적으로 시도되는지에 대해 생각해 볼 필요가 있다. 먼저 ATA를 시도하는 해커는 이전에 시도되는 공격 때와는 다른 성향을 가지는 해커들이다. 목표 지향적이고, 충분한 자금을 가지고 있고 그 자체의 생태계를 가지고 있어서 당장 얻을 수 있는 것보다는 큰 목표를 가지고 행동한다. 두번째로 산업 스파이 같은 형태가 있다. 기업의 지적 재산권이나 비밀을 탈취하려는 목적을 가지고 계획한다. 또한 정치, 사회 운동가 및 테러 단체의 공격으로 시도되기도 한다. 자신들의 주장을 피력하고 위협을 가하려는 목적을 가진 것이다. 대표적으로 북한 시도로 추정되는 사이버 공격이 그러한 사례로 볼 수 있다. 이 밖에도 원래 APT라는 용어의 기원처럼 국가 차원의 정치, 군사, 경제적 목적으로 공격이 이뤄지는 경우도 있다.


2. APT에 대응하는 우리의 적절한 전략은 무엇일까.

일단 APT, ATA의 위협을 알아보았으니 그것에 대해 어떻게 전략을 세울 것인가에 대한 고민이 필요하다. 먼저 우리의 기업도 ATA의 타겟이 될 가능성이 높은지, 기업이 직면하고 있는 위협을 파악하고 그에 맞는 적절한 대응 전략을 수립할 필요가 있다.


먼저 기업이 중요한 국가적, 사회적 인프라와 연관성이 얼마나 있는지에 대한 파악이 필요하다. 만약 기업의 피해가 국가적 손실로 바로 연결된다면 기업과 국가 모두에 큰 타격이 될 수 있기 때문이다. 대표적으로 에너지 관련 기업이나 교통, 금융기관 같은 사회 인프라와 관련된 국가 기간 산업이 있는데, 피해를 받게 되면 여러 다른 산업에까지 줄줄이 피해를 줄 수 있다. 두번째로는 사업의 연속성 중단에 따라 받게 되는 기업의 타격에 대해서도 파악할 필요가 있다. 만약 잠깐 일이 중단되어도 괜찮다면 상관없지만, 잠깐이라도 일이 중단되어서는 안 되는 기업이라면 위협에 대비할 필요성이 더욱 커진다.

그래서 우리는 기본에 충실할 필요가 있다. 비즈니스 관점에서 ATA의 위협에 대한 인식이 필요하다. 그런데 단순한 악성코드를 막고, 제거하는 것만으로는 ATA에 대한 대응이 부족하다. 그렇기 때문에 우리는 위협에 대한 가시성을 증가시키고, 기업의 책임 범위를 좀 더 확대할 필요가 있다. 만약 그러한 사고에 대응하는 역량이 부족하다면 그것은 ATA에 대응하는 데 큰 걸림돌이 된다.


그렇다면 이러한 ATA에 대응하기 위한 솔루션 시장의 상황을 보자. 이러한 솔루션들은 ATA 대응을 위해 여러가지 서비스를 하고 있다. 네트워크 트래픽 분석, 네트워크 포렌식, 페이로드 분석, 엔드포인트 행위 분석, 엔드포인트 포렌식, 이렇게 크게 5가지가 있다. 하지만 많은 솔루션들은 현재에도 사용되는 웹 게이트웨이, 차세대 방화벽, 엔드포인트 보안 등의 방법을 기반으로 ATA 대응 시장에 진출하고 있다. 그래서 ATA에 대응하는 솔루션은 기존의 엔드포인트/시그니처 기반의 솔루션과 함께 상호보완적으로 작동하고 있다. 이러한 상황을 볼 때 ATA에 대응하기 위한 솔루션 시장은 여러 제품의 기능과 성능 그리고 효과가 비교되기 시작하는 단계에 있다고 볼 수 있다. 시간이 조금 지난 후에는 시장 검증을 통해 ATA 솔루션 기술이 개선될 것으로 보인다.

 

3. APT 대응 시나리오

그럼 이제 APT에 어떻게 대응을 하면 좋을까, 그 시나리오에 대해 알아본다. 기업의 규모에 따라 시나리오는 다르게 적용될 필요가 있다. 아무래도 정부기관이나 대기업일수록 중요한 정보가 상대적으로 많고, 공격을 받으면 그만큼 피해의 규모가 더 커질 수 있다. 그래서 더 철저하게 대비를 할 필요가 있다. 한편 기업의 규모가 작을수록 보안에 투자할 수 있는 여력이 상대적으로 부족하다. 따라서 적은 비용으로 효과적인 대처를 할 수 있도록 선택과 집중이 필요하고, 협력이 더 필요하다.


 


지금까지 이렇게 APT에 대응하는 가트너의 차세대 보안 전략에 대해 크게 3가지로 정리를 해 보았다. 이것을 정리하며 가트너는 다음과 같이 제안한다.


먼저 기업이 직면한 위협 수준과 실질적으로 보안에 대한 필요성이 얼마나 되는지를 파악하는 것이 중요하다. 이것은 즉 주목적이 위협에 대한 파악인지, 위협을 제거하고 그에 대한 흔적을 찾고 싶은 것인지 등 보안에 대한 명확한 목표를 설정한 후에 실질적인 대응이 가능하다는 것이다. 두번째로는 예상되는 공격 형태에 따라 균형 잡힌 ATA 대응 전략을 수립할 필요가 있다. 마지막으로 악성코드를 이용한 타깃 공격에 특화된 솔루션에 대한 검토가 필요하다. 악성코드를 이용한 타깃 공격은 모든 기업이 맞이하고 있는 문제로 기업의 특성, 형태에 따라 중요 자산에 대한 파악, 우선 순위를 정하고, 그에 맞춰서 보안 위협을 예측하고 적절한 솔루션 도입 계획이 필요하다.


그러면 이러한 것을 앞으로 어떻게 실행할 것인가. 지금 당장은 ATA 대응 전략 수립을 위한 전사적인 태스크포스 팀을 꾸리는 것이 좋다. 그리고 90일 이내에 실효성 있는 ATA 대응 전략을 수립하고, 효율적인 ATA 대응 솔루션을 검토하며, PoC(Proof of Concept, 개념 증명) 및 평가를 하는 것이 필요하다. 그리고 향후 1년 동안 ATA 대응 솔루션을 구축하고 대응 현황 분석 및 모니터링이 된다면 앞으로 APT에 대해 적절한 대응을 할 수 있을 것이다.



APT는 기업에게 상당히 큰 보안위협이 될 수 있다. 하지만 많은 기업들이 전통적인 대응 시스템을 가지고 전혀 다른 형태의 공격에 대비하려고 하고 있다. 진화하는 위협을 막기 위해서 우리는 더 진화된 대응 시스템을 가지고 미래를 대비해야 할 것이다.




대학생기자 방기수 / KAIST 항공우주공학전공


지속가능성에 대한 고민을 하고 있습니다.

"우리는 우리가 하는 행동에 의해 우리가 된다." 


gisu.bang@kaist.ac.kr


댓글을 달아 주세요

글로벌 컨퍼런스에서 빛난 안랩의 APT 대응 기술

안랩人side/포토안랩 2013.06.18 16:00

글로벌 보안 기업 안랩이 6 10일부터 13(현지 시각)까지 미국 워싱턴DC에서 열린 글로벌 보안 컨퍼런스인가트너 시큐리티 & 리스크 관리 서밋 2013’에 참가했습니다.

 

‘가트너 서밋은 세계 최대의 시장조사기관 가트너가 주최하는 글로벌 보안 컨퍼런스로, 안랩은 작년에 이어 아시아 최초로 2회 연속 참가하였습니다. 

 

 

 

안랩은 수많은 글로벌 보안 기업들과 어깨를 나란히 하며 전시장 한 코너를 차지했습니다. 올해 행사에서는 IT 환경이 클라우드 / 모바일 / 빅데이터 / 소셜 등 방향으로 진화함에 따라 기업 보안환경도 거기에 맞게 새롭게 발전해야 한다는 방향성에 대한 주제가 논의되었습니다


안랩은 그에 맞추어 APT 공격에 대한 최신 트렌드와 APT 대응 전문 솔루션안랩 MDS’를 집중 소개했습니다안랩 MDS 소개 브로셔와 APT 공격이 어떤 것인지 쉽게 설명해놓은 브로셔도 함께 전시했습니다. 

 

  

 

미국에 APT 공격에 대한 위협이 높아지며 안랩의 APT 공격 대응 솔루션인 안랩MDS에 많은 관심을 보였습니다. 특히 안랩 MDS는 올해초, 세계적 권위의 정보보안 어워드인인포 시큐리티 글로벌 엑설런스 어워드에서신제품 출시부문 동상을 수상한 바 있습니다.


특히 ‘안랩 MDS’는 더욱 정교하고 신속하게 악성코드를 분석할 뿐만 아니라 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로 앞선 기술력을 자랑하는 제품입니다. 

.

 

APT 대응 솔루션 안랩 MDS를 찾는 바이어의 발길이 끊이지 않았습니다. 열심히 안랩 MDS를 소개하는 우리의 안랩인~!

 

 

 

전시장 곳곳에서 안랩의 기념품을 들고 다니는 사람들을 많이 볼 수 있었습니다. 

 

 

안랩은 이번 컨퍼런스에서 미국에 안랩의 기술력을 선보이고, 점차 증가하는 미국 내 APT 관련시장에서 솔루션 인지도 향상과 비즈니스 활성화를 기대할 수 있었습니다. 안랩인의 열정과 희망을 갖고 최선을 다한다면 미국뿐만 아니라 더 넓은 시장에 안랩의 위상을 드높일 수 있을 것이라 기대합니다. Ahn

 

사내기자 홍성지 / 안랩 커뮤니케이션팀


댓글을 달아 주세요

세계서도 당당한 아시아 대표 우리 IT 기업의 활약

안랩人side/포토안랩 2012.07.04 07:00

글로벌 보안 기업 안랩이 6월 11일(현지시각)부터 14일까지 미국 워싱턴DC에서 글로벌 보안 컨퍼런스인 ‘가트너 시큐리티 & 리스크 관리 서밋 2012’에 참가했습니다.

안랩은 국내 대표 보안 업체로서 아시아에서는 최초로 '가트너 서밋'에 참가했습니다. 아시아 최초라는 점에서 안랩이 국내뿐만 아니라 아시아를 넘어 세계 대표 보안 업체로 뻗어나갈 수 있는 가능성을 옅볼 수 있는 자리였습니다.

또한 '가트너 서밋 2012’는 세계 최대의 시장조사기관 가트너가 주최하는 세계적 규모의 보안 컨퍼런스로 순수 국산 보안 기술력을 소프트웨어의 중심인 미국에 소개한다는 데 의미가 컸습니다.

지금부터 세계 무대에서 당당했던 안랩의 모습을 사진으로 살펴보겠습니다! ^^ 

이곳이 '가트너 서밋'이 열린 워싱턴D.C의 gaylord national hotel의 모습입니다. 역시 세계적인 보안 컨퍼런스답게 행사가 열리는 호텔의 모습도 정말 멋있었습니다.  

행사장 바로 앞, 수 많은 요트들이 정박해 있는 멋진 항구의 모습이 펼쳐져 있었습니다.

     

행사 당일에는 날씨가 무척 좋았습니다. 햇볕이 좋기로 유명한 워싱턴답게 정말 풍광이 멋졌습니다. 안랩이 이렇게 좋은 곳에서 열리는 컨퍼런스에 당당히 참가했다고 생각하니  정말 자랑스러웠습니다.

우리 한강에서도 수상 택시가 다닌다는데 워싱턴에서도 수상택시가 운행을 하고 있습니다. 왕복 16$정도 하는 것 같은데, 한번 타볼 만한 것 같습니다.

     

밤에는 사람들이 모여서 음식도 먹고 즐기는 모습을 볼 수 있었습니다.

다시 본론으로 돌아와 컨퍼런스 현장을 소개해 드리겠습니다. 위에 보이는 공간이 등록 창구의 모습입니다. 이른 시각이라 사람들이 그렇게 몰리지는 않았습니다. 

조금 시간이 지나자 넓은 홀이 사람들로 가득 찼습니다. 세계적인 보안 컨퍼런스인 만큼 관심이 대단했습니다.

가트너의 애널리스트들이 나와 스피치를 하는 모습입니다. 좌석은 금방 가득 찼고 중간중간 서서 스피치를 듣는 사람도 많았습니다.

컨퍼런스에 참가하는 기업들을 소개하는 장면입니다. 당당하게 실버 스폰서로 참가한 안랩의 로고도 보입니다. 안랩도 멀지 않은 미래에 PRIMIER 스폰서로 가트너 서밋에 참가하는 날이 올 것이라고 확신합니다!  

'기업 보안 로드맵'에 대해 오프닝 키노트를 하고 있는 가트너의 부대표인 Andrew Walls의 모습입니다.

미국 최고의 컴퓨터 제조회사에서 보안 소프트웨어 영역으로 사업을 빠르게 확장하고 있는 DELL사의 CEO 마이클 델의 모습입니다. 마이클 델과 정보보안에 대한 토크쇼 형식의 인터뷰가 진행되었습니다.

수많은 글로벌 보안 기업과 어깨를 나란히 하며 안랩도 전시장 한 코너를 차지했습니다. 많은 바이어에게 관심을 받아서 행복한, 세일즈마케팅팀 이상국 팀장입니다! ^^ 

이번 가트너 서밋에서의 안랩 부스의 모습입니다.  

700여 명의 안랩인을 대신해 이번 가트너 서밋에서 안랩을 알리기 위해 수고한 안랩인들의 모습입니다. 우리 안랩인이 1995년도 안랩이 설립되었을 때의 열정과 희망을 갖고 최선을 다해 나아간다면 글로벌 탑 보안회사로 도약할 날도 멀지 않았다고 생각합니다. 모두들 수고하셨습니다! 짝짝짝!  Ahn 

사내기자 류석 / 안랩 커뮤니케이션팀


댓글을 달아 주세요