사이버 공격이 해를 거듭할수록 지능·정교화 된다. 기업과 기관은 지능형 지속위협(APT) 공격을 받는다.
포티넷과 한국IDG 공동으로 진행한 `국내 APT 보안 인식 및 도입 현황` 보고서를 보면 기업은 랜섬웨어·스파이웨어 같은 악성코드(45.2%), 탐지회피 공격이나 스피어피싱 같은 APT 공격(25.4%)에 가장 위협을 느끼는 것으로 조사됐다. APT 대응 방안을 마련, 실행하는 조직은 14%에 불과했다. 전체 응답자의 86%가 APT 대응 방안이 없다고 답변했다. 중소 규모 조직(8%)은 물론 대규모 조직 또한 대응 방안을 마련, 실행하고 있다는 응답은 19%에 불과했다. 위협을 알면서도 APT에 효과적으로 대응하는 기본 가이드를 마련하지 않는다.
사실상 APT 공격으로부터 조직을 완벽하게 보호하는 `묘책`은 없다. 악성코드 위장술이 빠르게 진화하고, 제로 데이 공격이 잦아지며, 새로운 회피 기술이 등장하기 때문이다. 어떠한 단일 접근법도 맞춤형 침입을 막기에는 역부족이다.
APT를 효과적으로 방어하기 위해서는 결속력 있고 확장 가능한 보호 프레임워크를 도입해야 한다. 프레임워크는 APT 예방, 탐지, 완화로 이뤄진 3단계를 모두 포괄해야 한다. 네트워크, 애플리케이션(앱), 엔드포인트 보안, 위협 탐지, 완화에 대한 고급과 기존 도구를 모두 아우르는 프레임워크가 필요하다.
효과적 프레임워크는 어떻게 APT 공격에 대응할까.
먼저 프레임워크는 잘 알려져 있는 보안 위협과 정보에 대해 `예방` 단계에서 효과를 발휘한다. 차세대 방화벽, 보안 이메일 게이트웨이, 엔드포인트 보안 솔루션은 기존에 알려진 위협을 차단한다. 네트워크 성능에 미치는 영향을 최소화하면서 다양한 위협을 발견하는 유효적절한 방법이다.
두 번째로 예방 단계에서 처리할 수 없는 트래픽은 2단계 `탐지` 단계에서 해결한다. `예방` 단계에서 잘 알려진 보안 위협을 차단했다면 `탐지` 단계에서는 알려지지 않은 `제로 데이` 위협과 기존의 보안 장치로 발견되지 않는 정교한 공격을 다뤄야 한다. `탐지` 단계는 새로운 공격을 파악하기 위해 지능형 보안 위협 탐지 기술을 사용해 네트워크 트래픽과 사용자, 콘텐츠 행동을 검사한다.
샌드박싱은 잠재된 악의성 소프트웨어(SW)를 보호된 환경으로 넘겨서 생산 네트워크에 영향을 미치지 않은 채 행동 전체를 직접 관찰한다. 탐지 단계 기능은 강력하지만 자원을 많이 사용하기 때문에 기존의 방법으로 파악할 수 없는 보안 위협만 담당한다.
세 번째는 잠재 사고에 대응하는 `완화` 단계이다. 두 번째 `탐지` 단계에서 잠재성 사고와 새로운 보안 위협이 파악되면 조직은 즉시 해당 위협을 확인하고 모든 손상을 완화해야 한다. 사용자, 장치, 콘텐츠를 격리한다. 격리가 완료될 때까지 자동 및 수동 시스템을 배치, 네트워크 자원과 조직 데이터를 보호한다.
보안 위협 탐지 기능은 또 다른 중요한 핸드오프를 시작한다. 발견된 정보를 연구개발팀에 넘기는 것이다. 이때 전술상의 보호가 이뤄질 수 있다. 이전에 알려지지 않은 보안 위협을 심층 분석한다. 모든 보안 계층을 고려한 방안이 나올 수 있다. 알려지지 않은 보안 위협을 알려 주는 고성능 보안 솔루션을 구성하려면 이 단계에서는 서로 다른 보안 기술 간 중복을 제거하고 시너지 효과를 내는 것이 가장 중요하다.
해커나 사이버 범죄자가 네트워크 침투를 위해 동시에 사용하는 공격 벡터는 여러 개다. 보안 솔루션이 상호 협업해야만 효과를 극대화할 수 있다. 개별 제품을 모아 놓은 솔루션은 효과를 기대하기 어렵다. 솔루션 구성 요소가 상호 작용할 때 예방, 탐지, 완화로 이뤄진 3단계가 효과를 발휘한다.
보안 사고는 한 번 발생하면 돌이킬 수 없는 막대한 피해를 야기한다. APT 방어에 대한 올바른 이해와 효과 높은 프레임워크 도입으로 잠재된 보안 위협에 선제 대응할 시점이다.
조현제 포티넷코리아 대표 hcho@fortinet.com
