진화하는 해킹을 막기 위해 내부에서 외부로 나가는 트래픽을 관리하는 등 보안방식에 일대 전환이 필요하다는 주장이다.
30일 보안업계에 따르면 전문가들은 최근 잇따른 보안 사고가 지능형 타깃공격(APT) 등 고도의 해킹기업을 채택해 현 방식으로는 막을 수 없다고 지적한다. 이에 ‘실시간 공격추적 모델’과 ‘행위 기반 탐지·방어’ 대책 등 현재 보안방식과 다른 발상의 전환이 시급하다.
보안 전문가들은 “SK커뮤니케이션즈, 넥슨 등이 보안에 비교적 많은 투자를 하고 있었음에도 불구하고 지능형 타깃공격의 표적이 됐다”며 “보안인력을 충원하고 실시간 보안관제 및 능동적 방어방법을 도입해 해킹을 막아야한다”고 지적한다.
평시 잦은 사이버 공격을 받는 게임사들이 최고 수준의 보안을 유지해왔음은 익히 알려진 사실이다. 더군다나 넥슨은 일본 상장을 앞두고 보안인력을 추가 채용하고 자체 운영하던 보안관제를 이달 1일부로 안철수연구소에 아웃소싱하는 등 보안을 강화했다. 또 수시로 모의해킹 통해 취약성을 분석해 왔다.
이에 외부 유입 트래픽 뿐 아니라 내부에서 나가는 이상 트래픽에 대해 관제하는 ‘역접속(Reverse Connection)’ 도입 등 신규 방어체제 구축이 시급하다.
권석철 큐브피아 사장은 “실시간 공격을 추적할 수 있는 모델링 방법이 필요하다”며 공격자“해커가 기존 관제시스템 취약성을 이미 파악하고 있어 나가고 들어오는 트래픽에 대한 감시와 실시간 공격 추적 모델링 등 새로운 보안관제 기술 도입이 시급하다”고 말했다. 실시간 공격 추적 모델링은 미국 국방부 등 해외 정부에서 도입한 기법으로, 로그추적이 아니라 24×365 체제로 수십명의 전문 보안 관제 인원이 투입돼 해커가 네트워크에 들어오는 순간을 포착, 추적하는 기법을 말한다. 고도의 기술과 자본이 필요하지만 실시간 공격 추적 모델링 기법을 활용하면 범인을 색출하는데 효과적이다.
또 기존에는 오탐을 우려해 공격 패턴을 분석, 정의해 둔 시그니처 중심의 패턴 기반 방어기법을 사용했지만 취약점 패치가 나오기 전 공격이 감행되는 제로데이 공격이 늘어남에 따라 능동적인 ‘행위 기반’ 보안 방어 장비, 솔루션이 필요하다.
조래현 인포섹 상무는 지금까지의 “네트워크 기반 보안 관제로는 지능형 위협공격을 방어할 수 없다”며 특히 “기존 패턴 기반 네트워크 보안 장비들로는 신종 공격에 능동적으로 대응할 수 없어 실시간 분석 가능한 행위기반 탐지 기법이 필요하다”고 말했다. 실제. 시만텍은 행위기반 솔루션을 서강대학교에 공급해 3·3DDoS 공격 직전 150개 이상의 봇넷을 사전에 차단하는 효과를 거둔 바 있다
내외부 전산망 분리도 필요하다는 지적이다. 사용자 개인정보, 기업 기밀 등 주요 정보에 접근하는 장비를 이중화해 망을 분리하면 사고위험을 줄일 수 있다는 게 전문가 의견이다.
장윤정기자 linda@etnews.com
