지능적 사이버 위협에 맞서는 차세대 보안 기술

현장속으로/세미나 2013. 3. 27. 09:36

2013년 3울 7일 Next Generation Network Security Vision 2013 세미나 & 전시가 코엑스 인터컨티넬탈 호텔 하모니볼륨 홀에서 진행되었다. 

    

이번 세미나에 키워드는 '차세대 보안'이었다. 국내 IT 인프라는 세계 최고 수준임과 동시에 융합화 세부화 고도화하는 보안 위협도 높은 수준이다. 다양한 보안 위협에 체계적이고 능동적으로 대처할 수 있도록 국내외 보안 업계 강자들이 제시하는 차세대 보안 로드맵, 트레드, 다양한 보안 솔루션을 이번 세미나&전시에서 직접 체험할 수 있었다. 

처음 온 세미나이자 기자단이 된 후 처음 취재라 떨리는 마음으로 10시부터 시작한 세미나에 집중해서 참여하였다. 전문가의 브리핑을 들으면서 프리젠테이션자료를 보니 어려운 보안 용어도 쉽게 이해할 수 있었다. 

세미나 중 가장 인상에 깊었던 프로그램은 이창빈 팔로알토네트윅스코리아 부장이 진행한 '차세대 방화벽의 다양한 활용'에 관한 이야기였다. 다음은 주요 내용.

차세대 보안의 조건 

이창빈 팔로알토네트윅스코리아 부장

 

현재 가장 '핫'한 트렌드는 플리케이션이라 해도 과언이 아니다. 페이스북, 트위터, 카카오톡 등 애플리케이션은 이미 현대인의 모든 프레임에 걸려있다. 

애플리케이션은 편리성, 접근성, 효율성, 생산성이 높지만 그럴수록 보안성이 떨어진다는 단점이 있다. 따라서 차세대 방화벽에서는 애플리케이션(특정 환경에서 다루는 툴)의 보안이 중요한 관심사로 떠오르고 있다. 과거 컴퓨터 환경이 단순했을 때와, 애플리케이션의 시대인 지금의 보안을 비교해보자.

 

위협 자체가 덜 전문적.

공격자의 전문성이 높음.

애플리케이션은 주로 웹과 이메일임.

새로운 애플리케이션이 매일 생겨남.

애플리케이션은 포트 및 프로토콜의 규칙을 따름.

더이상 포트와 프로토콜 규칙을 따르지 않음.

애플리케이션의 행동을 쉽게 파악 이해.

애플리케이션은 래거시 네트워크 보안을 우회할 수 있게 디자인 되고 있음.

     <과거와 현재의 보안 비교>

 

제시된 표와 같이 보안의 방향이 변하기 때문에 시대에 맞춘 새로운 패러다임(Safe Application Enablement)이 필요하다. 첫째로 애플리케이션 레벨에서 모든 트래픽을 분석할 수 있어야 한다. 그리고 위협탐지를 위해 모든 콘텐츠를 검사할 수 있어야 하며 이 모든 기능을 성능 저하 없이 High performance, low Latency에서 제공해야 한다.

혹자들은 이미 IPS, Anti-Virus, Malware 탐지 솔루션도 있는 상태에서 차세대 방화벽의 필요성 의문을 가질 수도 있다. 하지만 자세히 살펴보면 전 보안프로그램과 차세대 방화벽 사이엔 큰 차이점이 있다. 과거 보안 프로그램은 네거티브 컨트롤 모델이다. 네거티브 컨트롤 모델이란 알고있는 시그니처에 대해 차단하지만 시그니처에 매칭되지 않는 경우는 상관하지 않는다. 따라서 공격자는 위협이 시그니처에 탐지되지 않도록 가능한 모든 방법을 동원(멜웨어 리팩키지, 콘텐츠 암호화, 트래픽 커스터마이징 등)을 통해 사용자를 공격하면 속수무책으로 보안성을 잃게 된다.

 반면에 차세대 보안의 예로 팔로알토 네트윅스의 제로데이 악성코드 대응 커리큘럼을 살펴보자. 

차세대 보안의 예. 제로데이 악성코드 대응 방법


-외부로부터 unknown 실행파일 유입

-와일드 파이어 cloud센터로 전송

-1시간 내에 새로운 시그니쳐가 완성되어 각 방화벽으로 배포됨

이렇게 차세대 보안은 플리케이션 인식, 시그니처 매칭, 행동기반 분석 등 다양한 기술을 동원하여 유기적인 보안을 구현한다. 그리고 실시간으로 사용자 환경을 탐지하고, 보안 써클을 업데이트하기 때문에 기존 솔루션이 가지고 있는 시간적 딜레이로 인한 악성코드 감염을 막을 수 있었다. 매일 새로운 애플리케이션과 전문적인 위협이 상생하는 현재 보안환경에 차세대 보안은 불가결한 요소인 것이다.

 

IT 기술은 계속 거미줄을 치며 예측하기 힘들 것이다. 네트워크를 통한 커뮤니케이션도 두각을 나타낼 것이다. 보안은 IT 미래를 보호하고 바르게 볼 수 있게 하는 렌즈와 같은 역할을 할 것이다. 이번 세미나에서 여러 각도로 보여주었던 차세대 보안 기술 및 트렌드가 앞으로의 IT 미래와 어떻게 조화를 이루어 갈 지 기대해 본다. Ahn



대학생기 고은정 / 경희대 전자전파공학과 

성공은 자주 웃고 많이 사랑하는 것이다.


 


댓글을 달아 주세요

  1. 노현탁 2013.03.18 20:48 신고  Address |  Modify / Delete |  Reply

    잘 읽었습니다, 저도 보안 세미나 참가했으면 좋았을텐데요.

  2. 윤덕인 2013.03.27 10:52  Address |  Modify / Delete |  Reply

    그 때 배운 강연들이 잘 정리되어 있어 좋네요!

CEO 진단, 최신 APT 공격 어떻게 막을까

현장속으로/세미나 2013. 3. 25. 07:00

지난 3월 7일 코엑스 인터컨티넨탈호텔 하모니볼룸에서 <12th Next Generation Network Security Vision 2013 세미나>가 열렸다. 이날 열린 세미나에는 국내외 보안 업체들이 다수 참가해 세미나 발표 및 전시를 했다. 오전에는 안랩(AhnLab), 넷맨(NetMan), 팔로알토(Paloalto)가 차세대 보안 로드맵을 제시하고 앞으로의 효율적인 보안 대책을 발표했다. 안랩 김홍선 대표는 ‘보안 패러다임의 변화 및 차세대 보안 전략’이라는 주제로 세미나를 시작했다. 다음은 주요 내용.

현재 한 개인이 쓰는 디바이스는 과거에 비해 많아졌다. 또한 IT 대중화로 인해 사용자는 디바이스가 사용자 중심으로 좀더 편리하고 안정성 있게 운영되기를 원한다. 만약 이런 사용자의 욕구를 충족시키지 않는다면 사용자는 그 제품을 사용하지 않게 된다. 단순히 제품(Product)으로 보는 것이 아니라 새로운 형태로 비즈니스 형태로 봐야 한다”며 대중의 관점에서 살펴보는 필요성을 역설했다.

최근 보안 업계 트렌드도 바뀌고 있다. 과거에는 패시브한 방식으로 백신과 IPS과 같이 알려진 외부 공격에 대비하고 방어했다. 하지만 최근에는 APT(Advanced Persistent Threat)라는 알려지지 않은 공격에 대해 개인뿐 아니라 기업까지 공격당하고 있다.

APT는 알려지지 않은 방식으로 공격을 하기 때문에 기존 방식으로는 막기 어렵다. APT 공격은 이전과 달리 굉장히 치명적이기 때문에 지능적으로 막아야 한다.

보안 위협의 변화 또한 주시할 필요가 있다. 현재 글로벌 조직 범죄가 일어나고 있으며 해킹 도구의 브랜드화가 일어나 일반인도 어렵지 않게 사용 가능하게 됐다. 최근의 공격은 악성코드를 통해 이뤄지고 있다. 요즘 모든 디바이스가 네트워크로 연결돼 다양한 루트로 악성코드가 들어온다. 매일 약 15만 개의 악성코드가 발생하고, 악성코드의 라이프 사이클도 줄어들었다. 악성코드는 특정 기업/기관을 겨냥해 지능적으로 이루어지는 APT 공격과 연계돼있기 때문에 각 기업은 주의해야 한다.

알려지지 않은 방식으로 은밀하게 공격하는 APT

뉴욕타임즈는 지난 2월 중국 해커로부터 여러 기밀 정보가 유출되는 APT 공격을 받았다. 더 놀라운 것은 그 사실을 넉 달 이상 탐지하지 못한 것이었다. 뉴욕타임즈 외에도 워싱턴포스트, EMC 등 주요 기업이 공격당했다. 과거 APT 공격의 주된 목적은 정부 및 군사 기밀 정보 탈취였다. 그러나 최근에는 금전적 이득을 취하고자 개인 정보나 기업의 기밀 정보 유출을 목적으로 한다.

과거 APT는 단일한 형태로 하나의 PC를 공격했지만, 최근 APT는 모듈화한 악성코드로 공격한다. 또한 장기간에 걸쳐서 디바이스에 은닉해있기 때문에 APT 공격을 받았는지 탐지하기가 어렵다. APT 공격은 한 PC에 머물지 않고 공격 대상 PC에 도달하기 위해 여러 PC의 취약점에 전이돼 공격한다. 적어도 6개월 정도의 로그를 파악하고 분석해야 공격의 시발점을 이해할 수 있다.

네트워크 보안 장비는 특정 임계치를 가지고 악성코드를 통제한다. 그러나 APT는 임계치 이하의 트래픽으로 공격하기 때문에 기존 장비로는 탐지하기가 어려워졌다.

APT 공격은 정상적인 루트로 공격하기 때문에 예측하기가 어렵다. 특히 공격 대상이 속한 국가에서 사용빈도가 높은 소프트웨어의 취약점을 이용한다. 예를 들어 해당 지역에서 신뢰를 받는 소프트웨어는 사용자가 아무 의심 없이 실행하기 때문에 보안에 취약할 수 있다. 최근에는 보안이 취약한 업데이트 서버를 장악해 보안 패치를 받을 경우 역으로 결국 APT 공격을 받기도 한다. 정상적인 루트로 공격하기 때문에 APT 공격을 포착하기란 어렵다. 

따라서 이런 특성에 최적화한 솔루션이 필요하다. 안랩의 APT 방어 솔루션 '트러스와처'가 대표적이다. 트러스와처는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다. 메모리 보호 기능을 우회하는 ROP 공격을 포착해내는 기술도 탑재했다. 이는 최근 급증하는 제로데이 공격도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이러한 기술의 우수성을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다. 

 

방어자 아닌 공격자 관점에서 보아야 

앞으로 정보보안의 지향점을 세 가지로 볼 수 있다.

첫째는 지능성. 네트워크뿐 아니라 웹, 애플리케이션이 어떻게 맞물려 돌아가는지 알아야 한다. 정보의 라이프 사이클을, 무엇보다 공격 행위를 보고 분석하고 다음 활동이 없는지 끊임없이 살펴봐야 한다. 모든 것을 당연하다고 넘기는 것이 아니라 과거의 이력까지 함께 보는 관점이 필요하다.

둘째는 실효성. 악성코드를 탐지하는 안티바이러스 소프트웨어에만 의존하지는 말아야 한다. 여러 계층에서 복합적으로 보는 관점이 필요하다. 실시간 감시뿐 아니라 사후 분석까지 완벽히 해야 한다.

셋째는 최적화. 앞으로 네트워크 트래픽이 급증할 것에 대비해 네트워크 보안 솔루션이 안정적으로 운영될 수 있는지 점검해야 한다. Ahn

 

대학생기자 김수민 / 아주대 전자공학부 


댓글을 달아 주세요