세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
공격자들은 이미 자동화가 대세, 방어도 자동화 도입 필요
  |  입력 : 2017-08-10 17:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
클라우드 의존도 높아져 사용자들은 “항시 공격 가능 상태”
불을 막기 위해 불을 지르듯, 방어의 자동화가 이젠 필수


[보안뉴스 문가용 기자] 사이버 범죄자들과 사이버전 부대들이 멀웨어를 빠르고 넓게 퍼트리기 위해 자동화 기술을 사용하고 있는 것으로 나타났다. 이런 때 ‘수동’으로 전부 대응하는 건 불가능한 것이고, 그렇기에 상황이 어떻게 하다가 여기까지 왔는지, 그리고 그들의 자동화 공격 기술이란 무엇인지를 이해해야 한다.

[이미지 = iclickart]


인프라의 트렌드 : 클라우드, 암호화, 서비스형 크라임웨어
네트워크가 클라우드 기반으로 변화한다는 건, 사이버 보안 측면에서는 생각보다 많은 ‘충격’을 뜻한다. 보안 업체 포티넷(Fortinet)에서 최근 발표한 ‘위협 지형도 보고서 Q1 2017(Threat Landscape Report Q1 2017)’에 의하면 기업들이 사용하는 클라우드 앱 평균 개수는 올 1사분기 동안 62였다. 33개는 서비스형 소프트웨어였고, 29개는 서비스형 인프라였다. 지난 사분기의 최고 기록보다 아주 조금 모자란 정도다. 이러한 앱이 ‘즐겨’ 사용된다는 것은 인터넷에 연결된 기기에 대한 의존도가 높아진다는 것이고, 인터넷에 항시 혹은 그에 준하게 연결되어 있다는 건 그만큼 공격에 스스로를 노출시킨다는 뜻이다.

또 다른 트렌드도 있다. 바로 암호화다. 위에서 언급한 포티넷의 보고서에 의하면 HTTPS와 HTTP 트래픽 사용량이 이미 HTTPS 쪽으로 크게 역전된 상태라고 한다. 즉 암호화라는 보호 장치를 덧입은 트래픽이 점점 보편화되고 있다는 것이다. 물론 암호화된 트래픽은 사생활 보호에 탁월하며, 데이터 보안의 가장 기본인 건 사실이다. 하지만 반대로 ‘탐지’를 점점 더 어렵게 만드는 것도 사실이다. 실제로 멀웨어 등이 연루된 악성 트래픽 또한 암호화로 포장되어 돌아다니고 있기도 하다.

이 두 가지 현상만으로도 공격자들은 값싸고 효율적인 공격을 대량으로 빠르게 퍼부을 수 있다. 오늘날 발생하는 익스플로잇 관련 행위의 대부분이 인터넷의 넓은 범위를 한 번에 스캐닝 하고, 찾아낸 취약점을 대량으로 공격하는 순서로 발생하는데, 이때 스캐닝이나 취약점 익스플로잇 모두 자동화 기술이 대세로 자리 잡았다. 취약점의 대부분은 이미 알려진 것들이고, 다들 비슷하며, 따라서 대동소이한 방법으로 공격할 수 있기 때문에 가능하다. 이런 자동화된 공격 툴들은 ‘서비스형 크라임웨어(crimeware-as-a-service)’라는 이름으로 유통되고 활용된다.

해결 과제 : 자원, 대응 시간, 숙련도
현재 어느 조직에서나 보안 담당자들의 마음은 복잡할 것이다. 보안 경보는 그 어느 때보다 많이 울리고 있을 텐데, 그걸 해결할 자원은 상대적으로든 절대적으로든 줄었거나 늘어도 쥐꼬리만큼이 고작일 것이다. 이런 모든 것에 더해 적절한 숙련도를 가져 일을 알아서 척척 처리해내는 사람들만 조직원으로 있다면 얼마나 좋을까. 하지만 자원과 시간이 많다 하더라도 적절한 인재가 없을 가능성이 높다. 왜냐하면 이 인재 부족은 전 세계 보안 업계가 공통으로 겪고 있는 문제이기 때문이다. 이런 모든 것들로부터 오는 중압감 역시 현 시대 보안 업계에서는 세계 공통이다.

그래서 자연스럽게 나오는 문제가 ‘대응 시간’이다. 사이버 공격이 일어나는 타이밍에 정확히 맞춰서 반응하는 것이 거의 불가능에 가깝기 때문에 피해가 커지기 전에 최대한 빨리 막는 것이 중요해지는데, 위와 같은 네트워크 환경의 변화와 보안 업계의 상황이 이 또한 어렵게 만들고 있다. 정말 모든 상황이 보안을 어렵게 하는 쪽으로만 흘러가고 있다고 봐도 무방할 정도다. 그렇기에 정탐과 오탐만 높은 확률로 가려내주기만 해도 감지덕지인 것이고, 이런 시스템들에 대한 시장의 요구 사항이 높아지는 것이다. 여기에 더해 ‘어떤 정탐 내용부터 처리해야 하는지’ 우선순위를 정하는 것 역시 꽤나 어렵다는 문제도 가중된다.

이런 다양한 어려움 속에 자동화된 공격이 갖고 있는, 별거 아닌 장점 역시 크게 부각된다. 바로 수명이 짧다는 것이다. 공격이 길고 반복적으로 이어지면 당연히 찾는 것도 쉬워지는데 빨리 나타났다가 빨리 사라지니 남는 흔적도 미비하고 추리를 이어나갈 실마리도 희박해진다. 이러니 오탐이 늘어날 수밖에 없고, 늘어난 오탐만으로도 보안 담당자에게 충분한 압박을 가할 수 있게 되는 것이다. 그래서 방어하는 우리도 자동화를 물색할 수밖에 없게 된다.

자동화에는 자동화로
싫든 좋든 자동화로 대응할 수밖에 없는 현 상황에 대해서 설명을 했다면, 구체적으로 어떤 툴들을 사용해볼 수 있는지를 언급할 차례다. 현재 시장에 나와 있는 툴들 중 다섯 가지를 추려보았다. 구체적인 이름을 언급하지는 않았고, 솔루션 유형을 위주로 구성했다.

1) 패치 관리 시스템 : 패치만 잘 해도 미라이(Mirai)나 워너크라와 같은 공격이 발생했을 때 떨지 않을 수 있다. 어쩔 수 없어 못하는 경우도 있지만 사실 대부분은 깜빡 잊거나 귀찮아서 안 한다. 그러니 자동으로 패치 시스템을 마련하면 상당히 많은 부분이 개선된다.

2) 침투 방지 시스템(IPS) : 침투 방지 시스템은 방어의 첫 단계이다. 사물인터넷 기기 제조사들이 아직 보안에 신경 쓰고 있다고 말할 수 없기 때문에, 현재 인터넷은 심각하게 오염되고 있는 상황이다. 심지어 패치도 없는 게 부지기수다. 이 난리가 언제 어떻게 해결될지 모르겠지만, 아무튼 그 때까지 자기 네트워크는 자기가 지켜야 한다. 최소한 IPS 정도는 기본으로 갖추자.

3) 데이터 손실 방지(DLP) 솔루션 : 데이터를 인질로 잡은 협박형 공격이 진화하고, 대세로 자리 잡음에 따라 데이터 자체에 대한 보안이 부각되고 있다. 랜섬웨어도 그렇고, HBO 사건도 데이터의 중요성이 드러나는 사례다. DLP 솔루션은 물론 백업도 점점 중요한 개념이 되어가고 있다는 것도 참고하면 좋을 듯 하다.

4) 클라우드로 데이터가 옮겨가면서 내 데이터를 좀 속 시원히 보고 싶다는 요구가 높아지고 있고, 그에 따라 가시성 솔루션도 덩달아 중흥기를 맞고 있다. 클라우드 내에서 발생하는 일을 실시간으로 모니터링하는 자동화 기능은, 클라우드 의존도가 높은 기업이라면 필수다.

5) 위 네 가지 자동화 솔루션을 갖췄다면, 대응 시간 자체를 줄이는 데에 조금 투자를 더할 필요가 있다. 위협 요소에 대하여 선제적으로 탐지해주는 솔루션이나 대응 시 필요한 각 기능의 ‘상호 호환성’을 해결해주는 솔루션을 고려하는 게 알맞다. 필요에 따라 그때 그때 솔루션들을 산 업체들이 많기 때문에, 덕지덕지 쌓인 솔루션들이 제 기능을 발휘하지 못하는 때도 많다. 이것만 부드럽게 해결해주거나 대체해도 대응 시간을 크게 줄일 수 있다.

글 : 데렉 맨키(Derek Manky), Fortinet
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)