지능형 상황관제 체계로 최신 보안위협 대응해야

고도화된 해킹 탐지 및 실시간 대응 통한 피해 확산 방지

[보안뉴스 김태형] 현재의 보안관제 체계에서는 APT 공격의 특성상 탐지가 어려운 제로데이(Zero-Day) 공격이나, 사회공학적 기법을 통한 공격을 완벽하게 탐지 못하는 한계가 있기 때문에 지능형 보안관제 체계 구축으로 실시간 대응이 필요하다는 주장이 제기됐다.

최상용 카이스트 사이버보안연구센터 선임연구원은 NETSEC-KR 행사의 세션 발표를 통해 “현재의 사이버보안 관제체계는 단위 보안장비를 통해 위협을 탐지하고 로그 수집, 이벤트 수집·가공을 통해 비정상 유형 및 트래픽 이상 징후를 탐지한다. 이를 통해 위험을 분석하고 모니터링, 대응, 위험경보 발령 등의 조치로 취약점에 대응하게 된다”며 “이렇게 되면 방화벽이나 웹 방화벽의 경우 허용된 IP, Port에 대한 공격 시도는 정밀한 차단이 불가능하고 IDS의 경우 탐지의 정확도는 향상되나 장비 부하가 발생해 패킷 누수가 우려된다”고 설명했다.

또한, 그는 “ESM 기반의 경우에는 로그기반 이벤트는 수집·탐지하지만 로그가 남지 않으면 탐지가 불가능하고 RAW 데이터를 수집하지 않기 때문에 세부적 탐지도 불가능하다”며, “더욱이 수집데이터를 연관분석함으로써 종합적인 연관분석 및 실제적 로그 수집·관리는 가능하지만, 평면적 분석으로 인해 정밀한 해킹 시도 탐지에는 한계가 있어 APT, DDoS 공격 등의 최신 위협에 대한 정확한 탐지는 어렵다”고 덧붙였다.

최근 국가기반시설을 위협하는 악성코드 출현이 예상되는 가운데 일평균 6만개 이상의 신종 악성코드 출현으로 분석에 한계가 존재하는 게 사실이다. 또한, 취약한 웹 서버로 유포되는 악성코드 공격에 대한 방어체계도 미흡한 상황이다.

특히, 다양한 악성코드 및 제로데이 공격도 일반화됐고 악성코드의 유포수단도 다양화·지능화되어 특정 대상을 목표로 한 악성코드 유포와 취약한 웹 서버를 통한 대규모 유포 및 원격 통제가 가능하다.

이와 관련 최상용 선임연구원은 “아울러 디도스 공격도 점차 방어를 어렵게 하는 요인이 늘고 있다”며, “가령 내부 네트워크의 경우 사설 IP, 그리고 외부 네트워크 연결시 다수의 내부 PC가 하나의 공인 IP를 사용한다는 점과 내부 네트워크 중 일부 PC가 좀비 PC가 돼 해당 공인 IP를 차단할 경우 나머지 선의의 피해자가 발생하는 경우 등이 있다”고 말했다.

덧붙여 그는 “디도스 공격이 점차 애플리케이션 레이어 공격(HTTP)으로 변화되어 소규모로 특정 홈페이지를 공격하는 추세이기 때문에 패킷 구분이나 시그니처 기반 탐지가 불가능하다”고 강조했다.

이러한 한계를 극복할 수 있는 방안으로 최 연구원은 지능형 상황관제 체계 구축을 꼽았다. 이를 바탕으로 한 실시간 위험관리 대응을 통해 피해 확산을 방지하고 다양하고 고도화된 해킹 탐지· 대응이 가능하다는 것.

또한, 그는 “지능형 상황관제 체계 구축시 대용량 데이터 실시간 분석기술 및 위험관리 프로세스의 도입으로 위험의 정도를 지수화하면 RAW 데이터, 발생된 이벤트, 취약점 분석결과 등 방대한 데이터를 분석하여 조직의 위협과 위험을 실시간으로 인지할 수 있다”고 말했다.

아울러 해커행위 프로파일링 기술과 상태기반 탐지 기술, 그리고 탐지 시그니처 자동생성 기술 등을 이용해 해커의 공격을 차단하고 가상 서비스 등을 활용해 해커의 행위를 분석하고 탐지할 수 있다는 설명이다.

최 선임연구원은 “이러한 지능형 상황관제 체계를 구축할 경우에는 보안관제 조직에 대한 적절한 권한과 책임을 부여하고, 보안관제 및 분석인력에 대한 지속적인 교육이 병행되어야 한다”고 덧붙였다.

[김태형 기자(boan@boannews.com)]

올해 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)