백신이 없는 감기바이러스가 도심에 퍼지고 있다면 가장 빨리 해야할 조치가 뭘까요. 최초 감염자들을 빠르게 격리조치하는 일일 것입니다.
지난해 국내에서 발생한 3.20, 6.25 사이버테러, 최근 전 세계에서 벌어지고 있는 여러 사이버 공격들에 기존 보안체계가 속수무책으로 당하고 있다. 알려지지 않은 보안취약점을 악용해 은밀하게 공격이 들어오는 탓이다. 그렇다면 어떻게 백신이 무용지물인 지능형 공격을 막아낼 수 있을까.
지난달 27일 잠실 롯데호텔에서 개최된 '시큐리티 넥스트 컨퍼런스(SNC) 2015'에서 김현준 파이어아이코리아 상무는 가장 중요한 것은 감염원이 되는 엔드포인트(업무용/개인용 PC)를 빠르게 격리시키고 필요한 분석을 수행하는 일이라고 밝혔다.
김 상무에 따르면 파이어아이의 경우 자체 개발한 가상머신(VM)엔진인 'MVX'를 활용해 전 세계에서 하루 평균 400만개 이상 샌드박스를 통해 악성행위가 의심되는 파일이나 시스템을 점검한다. 이를 통해 하룻동안 발견되는 악성코드가 400만개에 달한다.
그 뒤에는 클라우드 기반으로 구축된 '파이어아이 애즈 어 서비스'라는 보안분석시스템을 통해 문제가 어느 곳에서 어떤 식으로 발생했는지 여부를 확인하고 필요한 보안조치를 취하도록 돕는다.
김 상무는 지능형 공격 방어의 핵심은 제로데이 익스플로잇에 얼마나 잘 대응할 수 있는가에 달렸다고 강조했다.
제로데이 익스플로잇은 아직 보안패치가 공개되지 않은 보안취약점들을 악용한 공격수법을 말한다. 일반적으로 금융정보나 게임정보탈취를 노린 변종악성코드의 경우 코드 일부를 수정하는데 그치기 때문에 제로데이 익스플로잇에 비해 상대적으로 탐지나 차단조치를 하는 일이 수월하다.
관련기사
- 시스템 운영자 위한 '비밀번호' 관리 가이드2014.12.08
- 망분리 뜨니 망연계 솔루션도 주목2014.12.08
- 삼성 녹스는 어떻게 플랫폼이 됐나2014.12.08
- 데이터 삭제에도 보안 솔루션이 필요한 이유2014.12.08
반면 제로데이 익스플로잇은 공격자 입장에서 새로운 취약점을 알아내야한다는 점에서 까다로운 공격이지만 그만큼 발각될 확률 역시 적다.
이에 따라 김 상무는 앞으로는 보안을 다시 디자인해야할 때라며 탐지부터 대응까지 수 분 이내 처리할 수 있어야 한다고 강조했다.
