"보안 패러다임이 바뀌었다"....고객지향서 고객주도로

"보안패러다임이 '고객 지향형'에서 '고객 주도형'으로 바뀌었다. 많은 보안 이벤트들을 어떻게 관리하느냐가 중요하다".

황재훈 안랩 네트워크사업부 차장은 15일 경기도 일산 킨텍스에서 열린 '세계보안엑스포2018' 행사 중 하나로 개최된 '최신 보안위협 및 보안기술 동향' 워크숍에서 이같이 밝혔다.

■2018년 5대 보안 위협은....

이날, 황 차장은 2018년 5대 보안 위협으로 ▲사이버 범죄 서비스화 ▲공급망 공격 증가 ▲문서파일 이용 공격 고도화 ▲공격대상 플랫폼 다변화 ▲모바일 악성코드 유포 경로 다양화를 꼽았다.

사이버 범죄 서비스화(Crime-as-a-Service,CaaS)는 주로 랜섬웨어를 통해 이뤄진다. 랜섬웨어는 주요 시스템을 암호화해 사용하지 못하게 한 다음 이를 인질로 금전을 요구하는 악성 프로그램을 말한다.

황 차장은 "금전적 목적을 한 사이버 범죄가 올해 점점 더 많아질 것으로 예상한다"며 "보안이 취약한 암호화폐 거래소 공격 등 금전을 노린 공격도 더욱 증가할 것으로 보인다"고 말했다.

지난해 여러 차례 성공한 바 있는 공급망 공격도 올해 계속될 전망이다. 공급망 공격(Supply Chain Attack)은 소프트웨어 벤더의 업데이트 서버와 같은 공급망(Supply chain)을 장악해 정보를 유출하는 공격을 말한다. 공격자가 악성코드를 희생자에게 직접 심지 않고 써드파티(third party)업데이트 서버를 공략해 아무 의심 없이 업데이트를 받게 되면 자동으로 업데이트 서버가 공격받는 형태다.

작년 국방부에서 발생한 공격도 바로 이 공급망 공격이었다. 대부분 기업이나 기관이 이메일이나 웹 사이트 등의 외부로부터 유입되는 파일에 대해서는 민감하게 대응하지만, 기존에 사용하고 있던 프로그램이나 파일에 대해서는 신뢰하기 쉽다는 점을 노린 것이다.

문서파일 이용 공격은 주로 문서의 취약성을 이용한다. 백신과 같은 보안 솔루션의 탐지를 피하기 위한 것으로 최근에는 문서 내 개체 삽입 등을 이용해 악성코드를 실행하는 방식이 늘고 있다. 문서파일 이용 공격 또한 메모리에 대한 실시간 검사를 지속해서 해야 방어가 가능하다.

공격대상 플랫폼 다변화에 대해 황 차장은 "기존에는 윈도만 잘 막으면 됐고, 백신도 윈도 백신만 하면 됐는데 이제는 맥OS나 ios까지 공격대상 플랫폼이 다변화되고 있다. 최근에는 리눅스 서버에다 가상화폐 채굴 마이닝 봇을 심어 가상화폐 마이닝를 계속하고 있다"고 우려했다.

모바일 악성코드 유포 경로도 다각화될 것으로 전망된다. 황 차장은 "흔히 지금 기본적으로 플레이스토어 마켓에 올라가는 앱은 안전하다고 인식하고 있지만, 악성코드 유포가 많이 이뤄질 것으로 예상한다"고 말했다.

■악성 코드 점점 고도화, 지능화

황 차장은 “악성코드가 과거에도 많았지만 2014년부터 급격히 늘어났다”며 “이는 2014년 말에 등장한 랜섬웨어 때문”이라고 설명했다.

랜섬웨어는 APT(Advanced Persistent Threat, 지능형지속공격)공격 기법으로 점점 더 파괴력을 높이고 있다. APT공격은 조직이나 기업을 표적으로 해 장기간에 걸쳐 다양한 수단을 통해 지능적으로 해킹하는 방식을 말한다. 황 차장은 “최근 APT 공격은 시간도 긴 주기로 오랫동안 숨어있다 나타나며, 최근에는 조직적으로 해킹을 시도하고 있다”고 말했다.

악성코드가 엔드포인트 시스템을 노리는 공격방법도 다양해졌다. 인터넷, 블루투스, 와이파이, 프린트 기기 등을 통해 다양한 경로로 침투해 제로데이 공격, 표적 공격 등을 실행한다.

제로데이 공격 라이프 사이클도 점점 줄고 있다. 제로데이공격은 운용체제나 애플리케이션에 보안 취약점이 발견되면, 개발자가 취약점 보완 패치를 배포하기도 전에 그 취약점을 이용한 악성코드를 빠르게 제작해 공격하는 수법을 말한다. 황 차장은 “예전에는 제로데이 공격을 하는데 한 달이 걸린 데 비해 이제는 일주일도 안 돼서 제로데이 공격이 이뤄진다”고 전했다.

APT공격도 점점 고도화하고 있다. 황 차장은 “APT(Advanced Persistent Threat) 위협이 기존에는 방화벽에서 네트워크로 막고 웹차원에서 악성 URL을 막고 백신으로 최종 막았다. 하지만 공격 표면적을 줄여도 빈틈이 생길 수밖에 없고 이런 빈틈을 이용하고 있는 게 APT”라고 말했다. 이어 “현재의 APT솔루션이 가진 한계가 있다”며 “암호화트래픽과 같이 현재의 APT솔루션으로는 해결할 수 없는 방법으로 악성코드가 다시 나오고 있다”고 우려했다.

결국, 올해 이슈는 엔드포인트로 다시 돌아왔다고 황 차장은 말했다. 황 차장은 “엔드포인트 위협 탐지 및 대응(EDR)솔루션이 해결방법이 될 수 있을 것”이라고 예상했다. 이어 "솔루션이 모든 걸 책임져줄 수 없다"며 "결국은 악성행위를 지속적으로 감시하고 탐지하는 것이 중요한데, 엔드포인트 매니지먼트인 EDR을 사용하면 가시적으로 빠르게 확인하고 실시간으로 대응할 수 있다"고 덧붙였다.

황 차장은 네트워크상의 디도스 공격 위험성에 관해서도 설명했다. 그는 “디도스가 IoT와 연관돼 있고, 규모가 계속 커지고 있어 경계를 해야 한다”며 “현재 디도스 공격은 ‘소규모 정밀 타격형’과 ‘대규모 트래픽형’의 2가지 공격으로 점점 양극화하는 상황”이라고 말했다.

■ IoT, 클라우드, 네트워크 보안 점점 더 중요

세계적 분석기관인 가트너는 2020년까지 전체 보안 위협의 25% 이상이 IoT와 연관된 위협일 것으로 전망했다. 그만큼 IoT 환경의 보안이슈는 냉장고, 텔레비전 등 IoT 기기가 늘어날수록 점점 더 많아질 것으로 예상된다. 황 차장은 이런 미래 기술에 맞춰 점점 더 IoT 보안에 신경을 써야 한다고 전했다.

클라우드 보안영역도 점차 중요해질 것으로 예상했다. 황 차장은 “아직 국내에는 클라우드에 대한 보수적 태도때문에 클라우드 보안이 이슈화되고 있지 않지만, 세계적으로 점점 데이터 관리가 클라우드로 옮겨가는 추세이기 때문에 몇 년 안에는 일반 기업업체에서 클라우드 활성화될 것으로 본다”며 클라우드 보안 중요성을 설명했다.

이어 보안 업체도 클라우드 부분에 관심을 많이 갖고 고민하고 있다며 클라우드 시큐리티 기술 동향도 함께 설명했다. “SECaaS(Security as a Service)로 불리는 기술은 사용자가 별도 인프라를 구성하지 않아도, 이 기술을 사용해 보안을 안전하게 유지할 수 있다”며 “악성코드나 스팸메일이 오더라도 방어가 되는 것이 SECaaS의 한 형태”라고 설명했다. 이외에도 클라우드 시장이 커질수록 기업과 클라우드 사이에 안전을 담보하는 중개자 역할을 하는 CASB(Cloud Access Security Broker) 업체 시장도 늘어날 것으로 보인다고 전했다.

이처럼 클라우드 환경으로의 인프라와 데이터 이동, SDN인프라 구축, SSL-TLS트래픽 증가, SaaS적용에 대한 수요 증가 등과 같이 네트워크 환경이 변화되면서 보안 기술도 중요해진다. 황 차장은 네트워크 보안 기술로 차세대방화벽 기술, IDPS기술, 머신러닝 기술, 통합관리 기술 등이 있다고 설명했다.

차세대방화벽에는 최근에 데이터가시성이 많이 적용되고 있고, APT장비와 연동한 분석기능이 많이 들어 가 있다고 소개했다. 또 차세대 방화벽이 점점 차세대 IDPS기술과 겹쳐지고 있다며 IDS 기술은 여전히 시장에서 보안위협을 방어하는 효과적인 솔루션이라고 덧붙였다.

■ "구슬이 서 말이라도 꿰어야 보배다" 보안패러다임 바껴

관련기사

황 차장은 보안패러다임에 대해 "과거에는 '고객 지향형' 보안이라면 최근에는 '고객주도형' 보안으로 바뀌었다"고 말했다. 예전에는 고객들이 솔루션을 어떻게 써야할지 몰라 기능이나 단편적인 것 위주로 봤다면, 이제는 고객이 보안지식이 높아져 보안요구사항을 스스로 파악해 적절하게 솔루션을 배치하고 추가적으로 벤더를 요청하게 됐다는 것이다.

황 차장은 "이제는 고객이 직접 목적에 맞게 적절하게 솔루션을 배치하고 통합관리하게 돼, 앞으로는 통합된 매니지먼트나 통합된 가시성이 포커스돼야 한다. 정보가 아무리 많아도 이런 것들을 하나 하나 방치해 둘게 아니라 정보의 효율성을 가질 수 있는 방식으로 꿰어야 한다"며 고객 주도형 보안을 강조했다.