진화하는 보안 공격, 포티넷이 하는 제언
[무료 웨비나] 개발자를 위한 클라우드플레어를 소개합니다
◎ 일시 : 2025년 2월 6일 (목) 14:00 ~ 15:00
[무료 웨비나] 중동의 ICT 및 테크 기업 생태계 – 사우디 아라비아, UAE를 중심으로
◎ 일시 : 2025년 1월 23일 (목) 14:00 ~ 15:10
코로나가 종식되면 사람들은 지난 2년간의 생활습관을 버리고 모두 코로나 이전으로 돌아갈까? 상황을 보면 그렇지 않다. 기업의 일부는 재택근무를 끝내고 회사 출근으로 복귀하는 결정을 내렸지만, 또다른 일부는 지속해 재택근무를 이어가거나 혹은 재택근무와 출근을 혼합한다. 다시 말하면, 기업의 보안 담당자들은 바뀌고 있는 업무 환경에 맞춤한 방어 시스템을 구축하고 관리해야 한다. 보안 담당자야말로, 계속해 공부하고 기술을 업데이트 해야 하는 직군이다.
포티넷코리아 박현범 차장은 <바이라인네트워크>가 최근 주최한 통합보안시스템 웨비나에 참석, 이와 같은 환경을 두고 “보안을 관장하고 관리하는 입장에서는 계속해 고민거리가 생겨나는 것”이라고 말했다. 디지털 환경의 가속화, 코로나19 이후 보편화된 재택근무, 퍼블릭과 프라이빗 클라우드의 활성화, 새로운 애플리케이션 개발과 배포방향 등, 달라진 기업 운영의 모든 요소가 보안 시스템과 관리자에도 변화를 요구하고 있다.
웨비나는 달라지는 환경을 감안, 하나의 해결책으로 주목받는 통합보안시스템 ‘SOAR(Security Ochestration, Automation, Response)’를 주제로 열렸다. 보안 오케스트레이션과 자동화, 응답을 뜻하는 SOAR는 달라지는 공격 패턴을 실시간 파악, 대응하는데 초점을 맞추고 있다. 박 차장은 “공격이 달라지고 있는 만큼, 방어 역시 기존의 틀을 벗어나 새로운 것에 적응해야 하는 시점”이라면서, 지금까지 안심하게 했던 방어 체계를 뜯어볼 것을 제안했다.
박현범 차장이 든 예는 지난 2021년 5월에 일어난 ‘콜로니얼 파이프라인’ 사건이다. 콜로니얼 파이프라인은 미국 동부 해안 지역에 연료를 공급하는 주요 기반 시설 중 하나다. 포티넷이 보유한 인텔리전스 ‘포티가드’에 따르면, 당시 콜로니얼 파이프라인은 대형 랜섬웨어의 공격을 받은 후 업무 환경이 중지되는 사태에 처했다. 문제는, 상황을 풀기 위해 콜로니얼 측 경영진이 선택한 방식이 회사의 보안 조직을 통해 사태를 분석하고 조사해 자체 복구한 것이 아니라는 점이다. 이들은 해커와 협상을 통해 랜섬머니를 지불하고 복구화키를 받아 업무 정상화를 한 것으로 파악된다.
그렇다면 콜로니얼 파이프라인 경영진은 왜 이런 선택을 했을까? 회사에 랜섬웨어 공격에 대한 대응 조직이나 방안이 전혀 마련되어 있지 않았기 때문일까?
그렇지 않다. 박 차장은 “과연 기업들이 방어툴킷이 전혀 준비되어 있지 않았기 때문에 공격을 당했을까 질문해보면 그렇지 않았을 것”이라면서 “나름대로 인프라 보안을 위한 여러 툴이 설치가 되어 있었을 것임에도 불구하고 공격이 들어왔던 것”이라고 분석했다.
공격 자체가 진화되었다는 뜻인데 박 차장의 발표에서 인용된 조사 결과에 따르면, 콜로니얼 파이프라인과 같은 곳을 침입한 요즘 공격 기술은 53%가 난독화한 파일을 쓰는 것으로 알려졌다. 세부적으로는 ‘리모트 데스크톱(RD) 프로토콜을 통해 원격으로 침투하거나, 윈도우나 윈도우에 설치되어 있는 디폴트 툴킷을 통해 악성 서비스를 확장하거나, 명령어나 스크립트 인터프리터를 사용해 변환된 형식으로 다운로드를 꾀해 기존의 보안툴을 우회하는 방식의 공격이 일어나고 있는 것이다.
이런 상황을 종합해보면, 위협 대응 가속화 관점에서의 전략이 새롭게 필요하다. 예전에는 공격 예방을 위한 안티 바이러스만으로 보안 대응을 끝낼 수 있었다면, 지금은 그보다는 고도화된 방식을 필요로 한다. 예를 들어 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션을 집어 넣고, 이를 기점으로 여러 포인트 솔루션의 로그를 끌어 모아 관장할 수 있는 SOAR나 XDR 같은 플랫폼을 쌓는 방식 등이 새로운 전략에 들어간다.
보다 구체적으로는, 예전에는 탐지된 보안 공격 중 높은 정확성을 나타내는 경우 사전 차단하는 것에 집중했다. 그러나 지금은 이러한 예방의 영역에 더해서, 낮은 정확성을 나타내는 공격의 경우에도 인과관계를 조합해서 헌팅 과정을 추가 수행한다. 이렇게 하는 것이 현실의 보안 운영 센터(SOC) 운영에 정답 아닌 정답이 될 수 있을 것이라는 게 박 차장의 조언이다.
문제는 포인트 솔루션이 늘어나고 있는 만큼, 이를 관리하는 것도 어려워졌다는 점이다. 국내 보안 전문 인력이 부족한 것도 사실이다. 박 차장은 이와 관련해 지난해부터 주목받고 있는 ‘시큐리티 패브릭’이라는 개념을 강조했다. 매시 아키텍처라고도 부르는데 연결되어 있는 포인트 솔루션이 상호 교류하는 것을 뜻한다. 각 솔루션이 맡고 있는 부문에서 문제가 일어났을 때 상황을 교류하고 해결책을 찾는 방식이다.
박 차장은 “포티넷에서는 SOC 성숙도에 따라 FortiAnalyzer, FortiXDR, FortiSIEM, FortiSOAR 등 보안 운영 간소화를 위한 다양한 플랫폼을 운영하고 있다”면서 “각 회사가 가진 인프라나 데이터의 크기, 보안팀의 사람 수나 스킬셋을 기준으로, 자동화나 사고조사와 대응, 가시성 등 원하는 능력치에 맞는 시스템을 선택하면 될 것”이라고 조언했다.
글. 바이라인네트워크
<남혜현 기자> smilla@byline.network