지능형 사이버공격자들과의 싸움, ‘인텔리전스’가 좌우

매일 100만개 넘는 새로운 악성코드가 출몰하고 있습니다. 한 보안업체의 분석에 따르면, 2015년 한 해 동안 발견된 신규 악성코드 수는 4억3000만개에 달합니다. 하루 평균 118만개의 악성코드가 생성된 셈입니다. 2014년에 새롭게 발견된 악성코드 수는 3억1700만개였습니다. 매년 꾸준히 급증하고 있는 추세입니다.

사이버범죄자들은 사이버공격 성공확률을 높이기 위해 알려지지 않은 제로데이 취약점을 널리 활용하고 있습니다. 사용자들이 인지하지 못하도록 정교한 방법을 사용해 악성코드에 감염시킵니다. 내 동료의 계정을 도용하고 업무 메일로 가장해 악성코드가 설치된 첨부파일을 클릭하도록 유도하기도 합니다. ‘사회공학적’ 기법을 사용한다고 하지요. 특정기업 내부에 침입하기 위해 설치돼 있는 보안 솔루션을 우회할 수 있는 맞춤형으로 제작된 악성코드를 이용합니다.

사이버범죄자들은 다양한 전략과 전술을 구사하는, 고도로 조직적이고 전문화된 집단으로 발전했습니다.

심각한 문제는 많은 기관이나 기업 조직에서 침해를 당해도 그 사실조차 파악하지 못한다는 점입니다. 공격자가 기밀정보를 유출하거나 시스템 파괴 등 손상을 입힐 때까지 침해를 탐지하고 대응하기 어려운 상황에 처해 있습니다.

보안업계에서는 기업이 사이버침해를 인지하는데 걸리는 평균 시간이 140일에서 200일 정도 걸리는 것으로 분석하고 있습니다. 공격자가 목표를 달성하고도 남았을 시간입니다. 평균 수치이니 보안수준이 낮은 곳에서는 더 오래 걸리겠지요. 아시아지역 기업에서 침해사실을 인지하는데 걸리는 시간은 500일이 넘는다는 분석도 나왔습니다.

“세상에는 두 종류의 기업이 있다. 해킹을 당한 기업과 해킹을 당한 사실 조차 모르고 있는 기업이다.”라는 존 챔버스 전 시스코 회장의 이야기는 유명합니다.

thrreat Intelligence
<이미지 : 시스코코리아 블로그>

과연 고도화된 사이버범죄집단에 의한 지능형 공격을 제대로 탐지하고 방어할 수 있을까요? 한 번만 뚫어도 성공인 공격자들과 지금껏 잘 방어했더라도 단 한 번 침입자를 막지 못하면 도루묵인 불리한 형국에서 벌어지는 이 지난한 싸움에서 승리할 수 있을까요?

한 가지 확실한 것은 완벽하게 위협을 차단하는 ‘마법’같은 보안 솔루션은 없다는 것입니다. 단일·개별 보안 솔루션으로는 공격을 방어하기 어려운 것은 물론이고, 지금 통하는 보안 기술이 내일이면 바로 쓸모없게 될 지도 모릅니다.

그렇다고 해서 손 놓고 있을 수는 없습니다. 사이버공격자들이 중요한 정보자산을 가져가고 손상시키고 업무를 마비시켜 손실을 입히도록 허용할 수는 없지요. 그래서 최근 어느 때보다 강조되고 있는 것이 통합적 접근방식과 위협 인텔리전스 확보입니다.

엔드포인트, 네트워크 등 사이버위협이 들어올 수 있는 모든 길목과 지점을 아우르는 통합된 접근방식으로 예방(Prevent)·탐지(Detect)·대응(Respond) 프로세스가 작동되는 체계로 운영돼야 한다는 것입니다. 중요한 것은 실시간 IT·보안 솔루션에서 나오는 이벤트와 발견된 침해지표(IOC)를 포함해 모든 위협정보를 모아서 이를 즉시 공유하고 대처함으로써 보호하는 프로세스를 운영해야 합니다. 이것이 바로 위협 인텔리전스를 확보하는 과정입니다.

인텔리전스는 단순한 보안·위협 관련정보의 나열이나 집합이 아닙니다. 시시각각 수집된 방대한 정보를 서로 연관해 의미있는 위협정보가 추출돼야 합니다.

공격자들은 자신들을 숨기기 위해 알려지지 않은 취약점을 악용한 새로운 위협을 사용하거나 형태를 바꾸고 정상 파일로 위장합니다. HTTPS같은 암호화된 웹 트래픽 안에 몸을 숨기기도 합니다. 기업 내에서 두드러진 IOC가 발견되지 않았지만 사실은 탐지하지 못한 상태일 수도 있다는 얘기입니다.

비슷한 사례로 공격자들은 내부에 침투시킨 악성코드와 명령·제어(C&C) 서버 간 통신에 암호화된 ‘토르(ToR)’ 네트워크를 사용하고 있습니다.

결국 아무리 성능과 기능이 우수한 보안 솔루션을 다양하게 도입해 다계층 탐지·방어체계를 구성했다고 하더라도 정교한 인텔리전스를 결합하지 못했다면 무용지물이 될 수 있습니다.

저마다 다른 기업 환경에서 적절한 보안 인텔리전스를 뽑아내려면 기업 내부에서 발생하는 다양한 정보 뿐만 아니라 외부의 위협정보까지 조합할 수 있어야 합니다. 언제 다가올지 모르는 잠재적 위협이나 공격도 빠르게 탐지해 즉각 대응조치 할 수 있도록 대응태세가 마련돼 있어야 하기 때문이지요.

그 이유로 많은 보안기업들이 이제는 보안 제품만 공급하는 것이 아니라 인텔리전스 서비스를 함께 제공하고 있습니다. 인텔리전스 서비스는 실시간 위협 상황을 한 눈에 살펴볼 수 있게 하는 대시보드나 분석 보고서 형태로 제공됩니다. 이상행위를 하는 파일이 발견되면 이를 분석하는 방식도 해당됩니다. 새로운 위협이 탐지되면 사용 중인 보안 솔루션에 자동으로 방어대책을 적용해주기도 합니다.

이제는 내가 속한 조직이나 지역이 아닌, 다른 곳에서 공통적으로 탐지돼 심각한 문제가 되고 있는 위협상황을 파악해 선제적으로 대응해야 합니다.

이같은 인텔리전스 서비스는 클라우드를 기반으로 빅데이터·머신러닝·인공지능같은 첨단 분석기술을 활용한 자동화된 위협 수집·분석 플랫폼과 위협분석가 등 보안전문가들을 기반으로 제공됩니다. 바로 기술과 사람, 프로세스의 조합으로 만들어집니다.

보안 솔루션 기업들은 고객사에 설치한 자사 보안 제품을 핵심적인 위협 수집 센서로 활용하고 있습니다. 구축돼 있는 제품군과 고객 기반이 방대할수록, 기간이 오래 될수록 더욱 많은 정보가 쌓이게 됩니다.

인텔리전스가 보안 기술·서비스 경쟁력으로 부각되면서 정보공유 협력도 한층 활발해지고 있는 상황입니다.

Cisco Talos시스코의 보안 인텔리전스 센터인 ‘탈로스(Talos)’를 예로 들어보겠습니다. 탈로스는 전세계 시스코 제품과 서비스를 사용 중인 고객 인프라에서 수집된 트래픽과 위협을 실시간 분석해 전세계에서 운영되는 다양한 시스코 보안 솔루션에 보호 방안을 적용하고 있습니다. 반기·연례 사이버보안 보고서와 취약점 보고서도 탈로스 조직에서 발간합니다.

탈로스는 24시간 365일 운영됩니다. 전세계 160만개 센서와 1억5000만개의 엔드포인트를 기반으로 하루 100테라바이트의 데이터를 수집합니다. 매일 150만건의 멀웨어 샘플을 수집하고 있으며 6000억건의 이메일 메시지를 분석합니다. 130억건의 웹 요청을 분석해 43억건의 요청을 차단하고 있다고 합니다. 어마어마한 양이지요.

시스코는 100여개 기업들이 참여하는 탈로스 파트너 협력체계를 운영하고 있을 뿐 아니라 다양한 개방형 보안 커뮤니티도 지원하고 있습니다. 탈로스 외에도 이메일과 웹 트래픽·평판 분석에 특화된 ‘샌더베이스(SenderBase)’, ‘오픈DNS’ 인텔리전스 조직도 운영하면서 전문성을 높이고 있습니다.

통합된 방어체계와 보다 나은 위협 인텔리전스 확보로 사이버위협으로 인한 실질적인 피해를 최소화해 공격자들의 효용을 크게 낮출 수 있길 바랍니다.

글. <이유지 기자>yjlee@byline.network

* 이 글은 시스코코리아 블로그에 게재되었습니다. (☞ http://www.ciscokrblog.com/1100)

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다