주니퍼, 공격자 겨냥한 기만 기술 주목하라

한국주니퍼네트웍스가 기업내 보안 및 네트워크 담당자를 대상으로 최근 증가 추세인 웹 해킹, 2·3차 후속 공격, 인가된 사용자를 통한 내부망 침입 피해를 최소화할 수 있는 인프라 보호 전략을 소개했다.

한국주니퍼 이종민 과장은 3일 서울 잠실 '시큐리티넥스트컨퍼런스2014'에서 '정보 유출 최소화를 위한 역발상'이라는 주제 강연을 통해 3가지 주요 공격 양상을 정리하고 그에 따른 대응 전략을 제시했다.

주니퍼가 제시한 정보 유출을 일으키는 주요 경로 3가지는 웹 취약점공격이나 제로데이 공격에 맞물린 웹 해킹 증가, APT 또는 웜 전파 등에 의한 2·3차 공격 피해 발생, 많은 애플리케이션과 보안 및 네트워크 솔루션 등장에 따른 관리 복잡성 증대에서 나타난다.

우선 웹 해킹은 트위터와 페이스북같은 소셜네트워크서비스(SNS) 계정 탈취, 인터넷익스플로러(IE)같은 범용 브라우저와 윈도XP같은 구버전 운영체제(OS)의 보안취약점을 노린 (제로데이) 공격, 시스템을 조작해 다른 공격의 도구나 경유지로 삼을 수 있는 봇 또는 웜 전파 등으로 나타난다. 이 과장은 최근 시리아전자군이 APT방식으로 웹사이트해킹을 시도해 AP통신으로 거짓 뉴스를 게재하자 다우지수가 요동친 사례처럼 얕은 수준의 공격만으로도 기업 자산이나 이미지에 손실이 발생할 수 있다며 기업들이 인프라 보안에 더해 웹 보안을 아울러 고려한다면 더 좋은 환경이 조성되지 않을까 싶다고 언급했다.

이 과장에 따르면 웹 취약점 공격 과정은 정찰, 네트워크 초기 침입, 네트워크 및 시스템에 백도어 설치, 이밖에 다른 툴 설치, 관리자 권한 및 사용자 계정 획득, 권한 상승 또는 측면이동, 지속성 유지를 위한 고객 데이터 탈취, 분산서비스거부(DDoS)공격 또는 2차 공격 발생 등 8단계 과정으로 나타난다.

이 과장은 기업들의 대부분은 이 공격에 대응하기 위해 대부분 3단계 백도어 설치과정을 차단하는 수단을 채택하고 있을 것이라며 우리는 그보다 이전 단계인 2단계 초기 침입을 차단해 공격자가 대상을 파악하는 시도를 저지하기 위해 '웹앱시큐어'라는 솔루션을 선보였다고 설명했다.

주니퍼는 웹앱시큐어를 내부망을 향하는 침입자에게 대상을 파악하지 못하도록 기만전술을 수행하는 기술로 소개했다.

웹앱시큐어는 가짜정보를 보여주는 웹서버 행세로 공격자가 실제 시스템 정보를 모소 훔치게 한다. 또 200여가지 흔적(foot-print) 분석 기능으로 오탐률을 낮추고 다양한 보안정책 설정을 제공한다.

웹앱시큐어 이력추적 기능은 OS, 슈퍼쿠키, 시간대, 접속도구(UA), 브라우저 플러그인, 화면크기(해상도)와 색상, 시스템 글꼴 등으로 해커의 흔적을 파악하고 일반적인 접속자를 해커로 오인하지 않도록 돕는다.

수사관들이 범죄현장을 분석해 용의자의 성향과 특성을 파악하듯 '프로파일링' 한다는 설명이다.

이 과장은 해킹은 한 번 시도했다고 거기서 끝나지 않고 마치 실패한 다이어트처럼 요요나 금단 현상이 발생할 수 있다면서 시그니처 방식이나 임계치 방식이 아닌 이런 새로운 기법으로 공격을 차단함으로써 최근 발생하는 이슈를 많이 해소할 수 있다고 말했다.

주니퍼는 이미 공격을 당한 뒤 이어지는 후속 피해에 대해 '스포트라이트 시큐어'라는 데이터센터용 해킹피해 재발방지 솔루션으로 대응할 것을 주문했다. 이는 각 지역 데이터센터의 웹앱시큐어, DDoS시큐어, SRX 기술에 제공되는 공격자DB를 공유해 동시다발적인 공격에 대해 어디서나 탐지와 방어를 수행케 해준다.

공격자의 유입경로는 이제 기업과 정부 조직뿐 아니라 개인 사이트를 통해서 이뤄질 수도 있고, PC가 아닌 모바일 웜처럼 새로운 플랫폼 기반 악성코드도 발생하는 상황이며, 기존 데이터센터 서버나 기간계 애플리케이션에 연결되는 구성원별 모바일 기기 및 앱 해킹도 우려되는 추세다.

이 과장은 일반적으로 IP테이블과 평판기능을 통해 2·3차 공격에 대비하는데 소량의 DB밖에 확보하지 못한 상태에서 후속 해킹에 대응해야 한다는 문제점이 있다며 주니퍼의 스포트라이트시큐어는 여러 방화벽과 보안 솔루션을 통합한 솔루션으로 주니퍼의 공격자DB가 서로 공유돼 이 문제를 해소할 수 있다고 밝혔다.

그리고 인가된 사용자는 기업 업무용 PC들을 좀비 시스템으로 만들 수 있다고 볼 때 하나의 개별 단말기 트래픽을 일일이 제어할 수 있으려면 그 기기의 동작에 기반한 접속 차단 정책이 마련돼야 한다.

이 과장은 일반 사용자들이 온라인에서 내려받은 각종 파일과 앱 및 콘텐츠는 보안상 안전하지 않다며 그런데 이들이 조직내 인가된 계정을 쓸 경우 시스템 침투 및 피해 가능성을 예상할 수 있기에 기업에서 그 계정의 트래픽을 모니터링하고 체계적으로 관리해야 한다고 지적했다.

그는 웹 공격 방어, 후속 해킹 시도, 인가된 사용자의 접속으로 인한 위험성 등을 모두 차단해야 한다고 강조했다. 이 기능들은 보안 라우터 '주니퍼SRX'에서 통합 지원된다.

SRX는 애플리케이션 트래픽에 대한 보안 정책 설정과 모니터링을 지원하는 '앱방화벽(AppFW)', 애플리케이션에 숨어든 봇넷을 확인하거나 서버 접속 양상을 모니터링하는 등 프로토콜을 분석하는 '앱DOS' 및 '앱QOS' 역할을 한다. 처리 트래픽 규모를 700M에서 200G까지 선택할 수 있다.

SRX는 너무 다양해진 애플리케이션, 솔루션, 접속방식으로 관리 복잡성이 늘어난 네트워크 토폴로지를 단순화해주기도 한다.

일반적으로 기업들이 본사 백본망에 연결된 라우터를 서버로 연결할 때 설치했던 침입방지서비스(IPS)와 방화벽 장비, 모바일기기용으로 설치했던 무선AP용 (POE) 스위치를 걷어내게 해준다. 본사의 백본 시스템도 SRX로 통합해 단순화할 수 있다.