회피성 지능형위협 커진다…멘로시큐리티, ‘격리’ 기반 제로트러스트 접근법 대안 제시
재택·원격 근무 시대에서 사이버위협은 더욱 정교해지면서 기승을 부리고 있다. 공격자들은 각종 보안 탐지와 분석 기술을 우회해 들키지 않도록 보다 은밀하고 지능적인 수법을 사용한다. 공격자들은 최근 ‘회피성 지능형위협(HEAT, Highly Evasive Adaptive Threats)’으로 공격 성공률을 더욱 높이고 있다는 게 멘로시큐리티의 지적이다.
마크 건트립(Mark Guntrip) 멘로시큐리티 사이버보안 전략담당 이사는 5일 서울 여의도 콘래드호텔에서 ‘멘로 클라우드 보안 서밋(Menlo Cloud Security Summit) 2022 아시아 로드쇼’ 행사에 맞춰 가진 기자간담회에서 “50만개에 달하는 악성 URL을 분석한 결과 해당 웹사이트의 69%가 HEAT 전술을 사용하고 있었다. HEAR가 많은 공격자들의 주요 초점이 되고 있어 이에 대한 조치가 마련돼야 한다”고 강조했다.
멘로시큐리티에 따르면, 악성 링크 분석 엔진을 우회하는 HEAT는 지능형지속위협(APT)과 멀웨어를 포함한 다양한 공격에 사용되고 있다. HEAT는 이메일 뿐만 아니라, 소셜 미디어나 메시징 플랫폼, 슬랙같은 협업 플랫폼, 단문문자메시지(SMS) 등을 비롯한 다양한 커뮤니케이션 영역들을 공격 대상으로 한다. 이 링크를 클릭하게 되면 접속 로그인 정보를 훔치거나 멀웨어가 배포된다. 멘로 랩(Menlo Labs) 연구팀이 조사한 바에 따르면, 지난 2021년 7월부터 12월까지 6개월간 224% HEAT 공격이 증가했다. 그리고 실제로 많은 랜섬웨어가 이 HEAT 기법을 사용하고 있었다.
전통적인 보안 방법인 안티바이러스, 도메인 분류, 침해지표(IOC) 및 HTTP 검사, 샌드박스 기술 등은 등장한 지 10년이 넘어 악성 위협을 방어하기에 역부족이란 게 멘로시큐리티의 지적이다. HEAT 공격 기법은 안전한 사이트로 위장해 악성코드 전달 없이 수개월 동안 운용하다 악성 사이트로 변경해 악의적인 콘텐츠를 호스팅하는데 사용한다. 그리고 암호화와 동적 피싱 탐지를 사용한 분석을 회피한다.
건트립 이사는 이날 정보보호최고책임자(CISO)들이 올해 중요하게 여기는 보안 이슈 5가지로 랜섬웨어, 재택근무 환경 보안, 로그(Log)4같은 서드파티 라이브러리, 보안인력 부족, 공급망 보안 이슈를 지목했다. 그 가운데 첫 손에 랜섬웨어를 꼽았다.
그는 “2019년, 2020년 줄어드는 것같았던 랜섬웨어가 2021년에 활발하게 나타나며 부활했다”라면서 “랜섬웨어는 현재 가장 위협적인 사이버공격이고 아직 해결되지 않은 위협이다. 랜섬웨어는 사라지지 않을 것이고 더욱 늘어날 것이다. 공격자들은 고도의 HEAT라는 새로운 기법으로 탐지와 분석을 우회하고 있다”고 말했다.
사이버위협 행위자들의 기법은 정교해지고 있는데, 코로나19 유행으로 재택근무가 확산되면서 보안 통제력과 가시성이 떨어지는 상황이다. 사용자들은 기업 내 네트워크와 회사 디바이스가 아니라 개인 디바이스를 사용해 클라우드 애플리케이션과 데이터에 직접 연결해 협업하고 있다. 공격 벡터(경로)는 더욱 다양해지고 위협은 커질 수밖에 없는 상황이다. 보안팀 입장에서는 어려움이 커지는 상황이다.
멘로시큐리티는 이런 상황에서 보안 방식을 달리해야한다고 지적한다.
건트립 이사는 “사용자는 이전과는 완전히 다른 환경에서 일을 하고 있다. 보안(팀)에서 무조건 안 된다고 할 수는 없다. 지난 2년 동안 재택근무를 하면서 사용자들은 생산성을 크게 높여왔다. 보안 때문에 편하게 하던 것을 달리 하라고 하면 싫어할 것이고, 보안을 적용해 성능에 영향을 미치거나 업무에 방해가 된다고 여길 경우 보안 적용을 피하거나 우회하려고 할 것이다. 그래서 보안을 적용할 때는 눈에 보이지 않아야하고 성능도 이전과 같아야 하고 데이터와 리소스에도 보안을 적용하지 않았을 때와 똑같이 접근한다고 체감할 수 있어야 한다”고 제시했다.
멘로시큐리티는 사용자들의 이같은 편리한 원격 접속 수요 대응과 더불어 점점 지능화되는 위협을 효과적으로 방어하기 위해서는 랜섬웨어 등 악성코드의 최초 유입(진입) 자체를 막을 수 있는 인터넷 격리 기술과 이를 기반으로 한 접근법을 제시한다. 인터넷 격리 기술을 쓰면 속도 저하나 보안 우려 없이 인터넷에 접속할 수 있고, 정교한 위협 공격 을 사전 예방할 수 있다는 것이다. 기업이나 기관이 자체 운영하는 네트워크가 아니라 멘로시큐리티가 운영하는 격리 기반의 클라우드 보안 플랫폼을 거치게 해 사용자 경험을 해치거나 영향을 주지 않으면서 보호할 수 있는 기술이다.
멘로시큐리티는 클라우드 기반 보안 서비스인 ‘멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)’으로 레거시 네트워크 보안을 우회하는 HEAT 공격을 사전에 방어한다. 모든 인터넷 콘텐츠를 먼저 클라우드에서 격리시켜 실행하는 특허받은 인터넷 격리(Internet Isolation) 기술인 ‘엘라스틱 아이솔레이션 코어(Elastic Isolation Core)’를 통해 웹과 이메일 링크 사용시 기존의 방어 방식을 우회하는 멀웨어와 랜섬웨어, 피싱 공격 등을 보호해 감염 위험을 사전에 제거한다.
멘로시큐리티는 사용자들이 불편함을 느끼지 않도록 네트워크 전송 속도를 획기적으로 개선한 독자적인 렌더링 기술인 ACR(Adaptive Clientless Rendering)을 활용한다. 에이전트 설치 없이 인터넷의 모든 콘텐츠를 일회용 가상 컨테이너에서 실행해 악용 가능한 활성 콘텐츠와 스크립트를 제거해 사이트의 깨끗하고 안전한 버전만 사용자에게 전달한다. 이 기술은 모든 브라우저와 장치, 운영체제(OS)에서 동작된다. 결과적으로 사용자는 악성 콘텐츠가 전혀 없는 렌더링(실제와 같은 이미지 화면으로 보여줌)된 사이트를 확인할 수 있다.
멘로시큐리티 스테파니 부(Stephanie Boo) 부사장은 “HEAT는 웹 브라우저를 공격 벡터로 활용하고 다양하고 정교한 기술로 기존의 보안 스택의 여러 계층에 의한 탐지를 회피해, 퍼블릭 클라우드 시대의 가장 치명적이면서도 정교한 위협이다”라며, “멘로시큐리티는 모든 인터넷 콘텐츠를 먼저 클라우드상에서 격리시켜 실행해 최종사용자 경험에 영향을 미치지 않으면서도 끊김 없는 강력한 보안 환경을 구축할 수 있도록 지원한다. 멘로시큐리티는 전세계 공공기관과 대기업, 금융 서비스, 의료, 중요 인프라 등 하루에 5억개 이상의 웹사이트를 격리하고 있다”고 밝혔다.
에릭 슈웨이크(Eric Schwake) 멘로시큐리티 사이버 보안 전략 수석 매니저는 “코로나로 인해 분산된 세상이 더욱 가속화됐다. 20년 전까지 ‘경계’는 데이터센터에 있는 방화벽으로 정의됐지만 이제는 사용자가 있는 모든 곳이 ‘경계’”라며 “이전에는 네트워크 내부에 있는 사용자는 신뢰할 수 있었고 외부에 있으면 신뢰할 수 없는 사용자였지만 이제는 어떠한 사용자도 믿을 수 없는 제로트러스트가 기본 전제와 가정이 됐다. 원격보안 접속을 위한 VPN이 과부하가 걸리고 공격자들도 VPN의 취약점을 활용하면서 이로 인한 신뢰가 부족해진 상황이다. 때문에 가트너는 오는 2023년이 되면 기업의 60%가 VPN을 제로트러스트 네트워크 액세스(ZTNA)로 대체할 것이라고 전망하고 있다”고 설명했다.
그는 “온프레미스에 있던 클라우드상에 있던 모든 데이터와 애플리케이션에 접근하는데 있어 보안을 강구해야 한다”라면서 “멘로시큐리티 클라우드 프라이빗 액세스를 통해 멘로 글로벌 클라우드 플랫폼을 구현해 이 모든 것에 대응하고 있다. 웹, 이메일, 심지어 데이터유출방지(DLP), ZTNA이던 어떠한 트래픽도 멘로시큐리티 글로벌 클라우드를 거쳐가게끔 돼 있다. 사용자 보안, 애플리케이션 자체의 보안, 데이터 보이 모두 지원된다. 사용자가 편리하고 간편하게 사용할 수 있도록 제공한다. 설치 에이전트가 필요 없고 배포가 쉽고 관리도 통합적으로 지원해 IT팀의 고충도 덜어준다”고 장점을 부각했다.
멘로시큐리티코리아 김성래 지사장은 “보안 위협이 더욱 정교해지고, 새로운 위협의 지속적인 등장하고 있어 IT 관리자들은 랜섬웨어, 멀웨어, 피싱을 비롯한 지능형 위협을 빠르게 식별해 완벽하게 대응할 수 있는 클라우드 기반 보안 플랫폼 도입에 나서고 있다”며 “멘로시큐리티 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트가 악의적이라고 가정해 보안상 안전한 곳이 없다는 정책 기반의 제로트러스트 인터넷 환경 구축이 가능하다”고 강조했다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
