“사이버공격 ‘플레이북’·보안분석 자동화 활용 확산될 것”

“지난 한 해 동안 발생한 사이버공격의 90% 이상이 알려진 ‘플레이북’에 따라 이뤄졌다. 공격자들의 전략과 전술, 공격 방식과 시나리오를 파악해 그에 맞게 대응계획을 세우는 기업들이 크게 늘어날 것이다.”

앞으로 많은 기업들이 사이버공격에 대응하기 위해 공격 플레이북 기반 모델을 활용할 것이란 예측을 내놨다.

르네 본바니 팔로알토네트웍스 최고마케팅책임자(CMO)는 13일 삼성동 코엑스 인터콘티넨탈 호텔에서 열린 ‘사이버 시큐리티 서밋’ 행사장에서 기자들과 만나 “많은 기업들이 스포츠경기 전 상대팀 전력을 분석하는 것과 마찬가지로 공격자 전략과 전술을 파악해 대응하게 될 것”이라며 이같이 강조했다.

paloalto-cmo팔로알토네트웍스에 따르면, 플레이북에는 특정 공격집단의 공격수법과 관련한 모든 지표가 담긴다. 이미 여러 보안 커뮤니티에서 특정 공격집단에 대한 플레이북 기반 지표를 공유하고 있다. 팔로알토네트웍스도 60개에서 100개의 플레이북을 활용하고 있고 이를 무료로 공개하고 있다. 아울러 포티넷, 시만텍, 맥아피(인텔시큐리티) 등과 공동으로 구성한 사이버위협얼라이언스(CTA)에서도 관련정보를 공유하고 있다

본바니 CMO는 “공격 플레이북은 IP주소, URL, 도메인, DNS 쿼리를 비롯해 공격에 사용하는 다양한 요소, 돈의 흐름, 공격 테크닉, 공격 동기를 포괄한 다양한 내용이 담겨 있다”며 “기업들도 사이버리서치팀을 별도로 꾸려 기존에 일어난 공격을 조사, 분석할 수 있다. 이같은 정보는 정부기관과 민간 모두가 공유해야 한다”고 말했다.

팔로알토네트웍스는 플레이북 기반 모델 활용이 확대될 것이라고 예상하면서 기존의 침해지표(IOC) 기반의 공격 대응 한계점도 지적했다. IOC는 수집된 지표들 간 상황적 연관성을 찾아낼 수 없고, 해당 데이터는 공격 라이프사이클 가운데 특정포인트에만 해당된다는 것이다.

IOC를 기반으로 차단 시스템을 구성하는 경우 다른 방법을 사용해 우회할 수 있는 여지를 남겨둘 수 있어 그 대안으로 특정 공격집단 관련 플레이북을 통해 지표를 공유하는 활동이 증가하고 있다고 설명했다.

“IOC는 수학적 관점에서 한계가 있다. 충분한 데이터를 확보해 분석하지 못하면 잘못된 결과를 노출할 수 있다. IOC 기반 의사결정은 방대한 양의 데이터를 수집·분석해 결론을 내리는데 전체를 커버할 수 없다. IOC는 여러 기술요소 중 하나”라는 게 본바니 CMO의 설명이다.

팔로알토네트웍스는 플레이북 기반 모델 외에도 기업들이 보안 경보를 자동으로 분석할 수 있는 기술도 내년에 적극 활용할 것이라고 내다봤다.

본바니 CMO는 “보안 기술의 90%가 실제 공격을 막는 것이 아니라 공격이 일어나고 있는 것을 알려준다”며 “기업은 하루에 수천개의 경보를 받는데 사람이 이를 일일이 분석해 중요한 것을 걸러내야 한다. 2017년은 이 경보를 자동화하고 보안분석을 자동화하는 솔루션을 본격 도입하는 원년이 될 것”이라고 예측했다.

네트워크단의 자동화 시스템이 적용되면 공격 라이프사이클이 빠르게 종료될 수 있다는 것이 팔로알토네트웍스의 얘기다. 일단 침해지표를 확인하면 방어기제로 전환해 제어할 수 있는 방안을 탐색하고 보안 툴에 적용하는 ‘실행가능한(actionable) 인텔리전스’ 확보 과정을 자동화해야 한다는 것이다.

이밖에도 팔로알토네트웍스는 2017년에 피싱 공격이 더욱 증가하고 성공률도 높아질 것이고 서비스형소프트웨어(SaaS) 앱 사용으로 인한 의료 데이터 유실 사고 위험성도 증가하는 한편, 퍼블릭 클라우드 확산에 따른 보안 중요성이 커질 것이라고 전망했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다