"끝없는 사이버침해, 즉시탐지-즉시조치 체제 필요"

1년에 3천억원을 보안에 투자하는 JP모건도 사이버침해사고에서 자유로울 수 없다. 200일 넘게 걸리는 침해 탐지, 1개월 넘게 걸리는 조치가 보안의 현주소다. 기업과 기관들이 원하는 사고예방과 피해확산 방지는 즉시 탐지와 즉시 조치가 이뤄져야 가능하다. 어떻게 해야할까?

김현준 파이어아이코리아 상무는 19일 오전 서울 삼성동 코엑스 시큐리티넥스트컨퍼런스(SNC) 현장에서 '최일선에서 들려주는 사이버 침해 탐지에서 대응까지'라는 주제로 기조 연설을 진행했다.

그는 기존 방법만으로 대응하기 어려운 사이버침해사고가 점차 늘어갈 것이라며 그 현황과 공격의 전반적인 흐름, 이를 빠르게 탐지하고 조치하기 위한 대응 시나리오를 제시했다.

김 상무가 인용한 파이어아이의 연례 사이버보안 사례연구 보고서 'M트렌드리포트2015'에 따르면 평균적으로 사이버 침해 탐지까지는 205일이 걸리고, 침해 대응에는 32일 소요된다. 피해기관 중 69%가 침해 사실을 외부로부터 통보받는다. 방화벽 보유나 백신 및 각종 탐지 패턴을 최신 버전으로 유지하는 비율이 100%에 달하는데도 이렇다. 침해 사고 발생에 따른 평균 피해액은 35억원 수준이다.

지능형 공격에 초점을 맞춘 방어 프로세스 정립이 필요하다. 모든 지능형 공격은 익스플로잇 발견에서 시작해, 해킹툴 이용한 콜백이 삽입된 뒤 셸이나 SMB, WMI 등 일상적으로 활용되는 시스템 툴이 작동해 보안시스템에 탐지되지 못한 채 조직 내부로 확산된다. FTP 또는 암호화하는 압축파일 형태로 외부 전송돼 데이터 유출이나 데이터 파괴로 이어진다.

지능형 공격의 실체는 악성 코드가 아니라 그걸 만들고 조종하는 사람이다. 이런 사람들은 개인 신분이 아니라 러시아나 중국 등 국가를 배후에 두고 있으며, 필요시 복잡성의 수준을 높일 수 있고 목적을 위해 수단을 가리지 않는 전문가 집단이다. 공격을 성공시키기 위해 장기간 지속적인 공격을 시도하는 이들이다.

김 상무는 여기에 대응한 방어 프로세스로 행위기반 분석을 통한 탐지, 인라인 또는 미러링 구성을 통해 위협 트래픽을 실시간 차단, 엔드포인트 및 포렌식 기법으로 공격 킬체인을 분석, 이 분석된 정보를 기반으로 위협을 제거하는 절차를 제시했다.

이어 '메이크머니뱅크'라는 가상기업의 사이버 침해 및 파이어아이의 방법론에 기반한 대응 과정을 설명했다. 메이크머니뱅크는 하루 이메일 100만건을 받아 스팸 50만건을 걸러내고 백신으로 악성메일 5천건을 제거한 후 49만5천건의 정상메일을 수신하고 있다.

파이어아이는 '파이어아이EX' 솔루션은 이 가상고객의 환경에서 49만5천건의 정상메일을 한 번 더 걸러낸다. MVX라는 엔진으로 의심 트래픽 수집, 행위기반 분석, 연관관계 분석을 수행해 메이크머니뱅크의 정상수신 메일을 전수검사한다. 백신에서 걸러내지 못한 악성 첨부 파일과 알 수 없는 URL이 포함된 이메일을 탐지해 위협을 제거한다. 또 동작 환경, 콜백 발생 여부와 도메인, 표적 공격 가능성 여부, 공격자의 정보와 성향, 공격자에 따른 일반적인 피해 양상 등을 제공한다.

다음으로 공격의 내부확산을 차단하기 위해 파이어아이의 엔드포인트 솔루션 '파이어아이HX'가 동원된다. 감염 호스트를 빠르게 확인, 격리해 주는 솔루션으로 MVX엔진에서 탐지된 이벤트를 기준으로 동작한다. HX를 이용해 내부 네트워크 데스크톱과 외부 근무자 노트북 감염을 확인하고, 메이크머니뱅크 보안 조직이 해당 호스트를 격리해 내부 확산을 막도록 돕는다. 호스트에서 선별 데이터를 구해 파이어아이 침해 대응팀 또는 내부 보안 전문 조직을 통한 포렌식을 수행한다.

가상기업의 공격사례로 공격범위가 특정 데스크톱, 노트북, 서버, 관리자 계정에 대한 것이었음이 확인됐다. 다음은 유출된 zip 압축파일이 어떤 자료인지, 공격이 성공했는지, 사업상 영향은 어떠한지, 업무 담당자 자신은 어떻게 되는지 등을 추가 확인해야 하는 단계다.