APT? 흔히 한국에서 APT 3글자를 보면 Apartment(아파트)를 많이 떠올릴 수 있으나 아파트가 아니라 Advanced Persistent Threat (지능형 타깃 위협) 의 줄임말로 다양한 IT 기술과 방식들을 이용해 경제적이거나 정치적인 목적을 위해 다양한 보안 위협들을 생산해 조직적이고 지속적으로 특정 대상에게 공격을 가하는 일련의 행위를 뜻한다.
APT 방어를 위한 입체적 보안 체계 - AhnLab CEO 김홍선 대표
첫번째로 사회적/산업적 영향을 준다는 사실이다. 이란 원전을 마비시켰던 스턱스넷(Stuxnet), 글로벌 에너지 기업을 노렸던 나이트 드래곤(Night Dragon) 등의 보안 사건을 통해 알 수 있듯 글로벌영역에서 더 많은 사람들에게 위험이 되고 있는 것이다.
다음은 공격 수법이 고도화되고 있다는 것이다. RSA사의 OTP 기술 유출, Stuxnet 등의 보안사고는 오랜 시간 동안 치밀하게 준비되었던 것으로 드러났다. 그 만큼 전문성을 가진 사람들이 집중적으로 파고 들어간 것을 알 수 있다.
과거에 보안을 하는 경우 모니터링을 하다가 발견되는 이상 징후들 ,즉 임계치를 벗어나는 데이터를 중요하게 생각했다. 하지만 APT 공격 수법은 기존의 공격과 다르기 때문에 이것을 넘어서 그 다음 단계를 생각해야 된다고 한다.
그렇다면 그 다음 단계를 위해 안랩에서는 어떻게 준비를 하고 있을까? 여러 발표 세션 중 개인적으로 3가지 세션을 관심있게 살펴보았다.
최근 보안 위협 변화에 대응하기 위한 보안관제 전략
요즘 화제의 팟캐스트인 '나는 꼼수다'에서 "불법은 부지런하다"라는 말을 들었다. 이 말은 악의적 목적을 가진 해커들에게도 적용이 된다. 목적을 이루기위해 부지런하게 지금 이 시간에도 해커들은 부지런하게 움직이고 있는 것이다.
이전의 보안은 출입문을 막는데 공을 들였다. 하지만 위 그림에서 보듯이 출입문을 막아놓으면 악의적인 목적을 가진 해커는 출입문을 우회해서 옆길로 지나가는 것이다.
이런 문제와 관련하여 안랩의 관제서비스도 많은 고민을 했다고 한다.
안랩의 관제 서비스의 가장 큰 특징은 CERT(침해사고대응센터) 와 ASEC(시큐리티대응센터) 의 결합이다. CERT팀이 있는 회사는 많이 찾을 수 있지만 ASEC과 같은 팀은 보기 드물다. 처음에는 두 팀을 결합해서 어떤 시너지를 낼 수 있을까에 대한 생각을 많이했다. 고민도 잠시 여러가지 보안 사고를 겪으면서 시너지가 나오기 시작했다.
바로 모든 보안 사고의 시작이 악성코드에서 시작되면서 ASEC 기반하에 다양한 관제 서비스를 제공해 줄 수 있게 되었다고 한다.
PC기반 가상화 기술을 이용한 효과적인 망분리
악성코드가 설치되는 순간부터 APT공격이 시작된다면 악성코드 대응 솔루션인 안티바이러스(AV) 솔루션으로 APT의 위협을 예방할 수 있을 것이라고 많은 사람들이 생각한다. 하지만 AV는 엄밀히 말하면 기존의 악성코드를 분석하고 사후 대응을 하는 솔루션이다. 확산방지에 초점이 맞추어져 있어서 모든 공격에 만능인것은 어렵다.
그리고 APT 공격은 인터넷을 이용하기 위해 반드시 열어놓아야 하는 포트를 이용한다. 그리고 믿을 수 있는 네트워크를 사용하기 때문에 정상 트래픽으로 인지된다. 그래서 이를 방화벽(Firewall)과 같은 기존의 네트워크 보안 솔루션으로 방어하는 것은 상당히 어렵다고 한다. 인터넷 사용을 금지하지 않는 한 악성코드 유입을 100% 방지한다는 것은 불가능한 것이다.
이처럼 내부망의 악성코드 유입을 방지하고, 외부의 APT 공격에 대응하기 위해서 기존 보안 솔루션만으로는 역부족이다. APT 공격에 대한 마지막 보루라고 할 수 있는 망분리가 주목받는 이유도 여기에 있다. '망분리' 라는 말을 처음 접한 분들을 위해 간단히 설명하자면 업무를 수행하는 업무망과 인터넷을 하는 인터넷망을 완전히 분리하여 사용하는 것이다.
망분리 방식에는 2대 PC, 멀티 PC, 망분리 전환 장치를 이용하는 물리적 방식과 서버 기반 가상화, PC 기반 가상화를 이용하는 논리적 방식으로 나눌 수 있다.
안랩에서는 여러 망분리방식을 살펴본 결과 물리적 망분리와 동일한 보안성을 확보하면서 (구축,유지,보수)비용 및 사용성을 고려한다면 애플리케이션 레벨의 PC 기반 가상화 방식이 가장 적합한 방안임을 알 수 있었다고 한다.
그리하여 PC 가상화 기술과 망분리 전용 장비가 융합된 망분리 방식을 구현해 구축 비용이 저렴하면서도 높은 보안성과 편의성을 제공하는 신개념 망분리 솔루션인 안랩 트러스존(AhnLab TrusZon)이 나오게 되었다고 한다.
내부 정보의 유출과 APT 공격에 대비하기 위해 이제는 기본적으로 망분리를 도입해야 하는 것이다. 망분리를 함으로써 악성코드 감염 및 외부 APT 공격등의 위협을 차단할 수 있는 부분은 분명히 효과적일 것이다.
기업의 침해 사고와 위기 관리 방안
미국의 서부 개척시대 총 싸움이 많았던 시절, 총 싸움 현장에 도착한 보안관이 범인을 밝혀내기 위한 방법으로 총에서 연기가 나는 사람을 지목했다는 것에서 유래된 'Smoking Gun'. 다시 말해 명백한 증거를 뜻하는 말이다.
'Smoking Gun' 이라는 표현을 빌려 최근 일어나고 있는 침해사고와 관련된 결정적 단서들을 'Digital Smoking Gun' 이라고 한다.
APT 공격과 같이 자신의 흔적을 제거하여 치밀하게 자신을 은폐하려는 공격을 밝혀내기 위해서는 악성코드와 네트워크 패킷 분석 뿐만 아니라 컴퓨터 곳곳에서 'Digital Smoking Gun'(공격자의 흔적이나 공격자) 을 찾아내기 위한 디지털 포렌식 기술도 같이 접목이 되어야 한다.
안랩에서도 'Digital Smoking Gun'을 찾아서 고객들의 침해 사고의 원인을 밝히고 피해를 최소화 고객 보호 서비스를 제공하고 있다.
그 서비스는 안랩에 있는 모의해킹 전문가, 네트워크 전문가, 악성코드 분석 전문가, 리버스 엔지니어링 전문가 등 최고 수준의 전문가들이 하나가 되어 사이버 사고 대응 전문조직인 'A-FIRST' 이다.
안랩의 기술력을 한 곳에 집중시키고 전문화된 고급 보안 서비스를 제공하는 만큼 고객들이 원하는 서비스를 제공하게 될 것이라고 한다.
'AhnLab SR 7th > Semina & Exhibition' 카테고리의 다른 글
| '아름다운 토요일'에 아름다운 사람들을 만나다. (0) | 2011.12.30 |
|---|---|
| 컴퓨터 보안전문가들의 건강은 어떻게 지켜야 할까? (0) | 2011.10.29 |
| [제3회 강릉커피축제] 커피향 가득한 강릉바다로... (2) | 2011.10.25 |
| ICISTS-KAIST 2011(아이시스츠) (0) | 2011.10.02 |
| 금융보안 파수꾼을 꿈꾸는 학생들 어떤 준비를 해야 될까? (2) | 2011.10.01 |
