[침해 탐지·대응①] 심화되는 사이버 공격…전방위 방어체계 필요
상태바
[침해 탐지·대응①] 심화되는 사이버 공격…전방위 방어체계 필요
  • 김선애 기자
  • 승인 2016.08.17 17:42
  • 댓글 0
이 기사를 공유합니다

선제방어 한계 드러나며 탐지·대응으로 관심 이동…ICBM 확산으로 새로운 유형 공격 등장

지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>

전 세계적가 테러 위협에 놓여있다. 테러 안전지대로 여겨진 서유럽 국가에서도 잇달아 정치적 목적의 끔찍한 테러가 발생하고 있으며, 중동·동유럽 국가와 분쟁지역에서도 테러 발생 빈도와 규모가 커지고 있다.

물리적 테러 뿐 아니라 사이버 테러에도 경고등이 켜졌다. 정치·사회적인 목적을 달성하기 위해 테러범들은 물리적인 테러와 사이버 테러를 병행해 자신의 주장을 더욱 효과적으로 알리고자 한다.

우리나라에서는 사드 배치 등 군사·안보 이슈가 심각한 사회적 이슈로 떠오르면서 사이버테러 발발 위협이 높아지고 있다. 특히 사드 배치에 반발하고 있는 중국, 러시아, 북한으로부터 사이버 공격을 받을 위험이 높아지고 있다.

금전이나 중요정보를 유출하기 위한 사이버 공격의 빈도도 높아지고 있으며, 수법도 지능화되고 교묘해지고 있다. 일반 사용자에게 금전적인 피해를 일으키는 랜섬웨어는 전 세계 인터넷 사용자를 위협하고 있으며, 다양한 모바일 기기, IoT 환경을 위협하는 공격도 위험 수위를 높여가고 있다.

이종수 SK인포섹 관제사업본부장은 “ICBM(IoT, 클라우드, 빅데이터, 모바일)이 확산되면서 새로운 공격이 쏟아지고 있지만, 이를 방어하기 위한 기술이 그 속도를 따라가지 못하고 있는 상황”이라며 “인공지능(AI)을 접목해 IT가 스스로 공격을 차단하는 방법이 다각도로 고려되고 있으며, 일부 성공한 기술도 등장하고 있지만, 아직은 지능적인 공격을 방어할 수 있는 명확한 해법은 나와있지 않은 상태”라고 지적했다.

▲현재 위협 방어 접근 방법의 한계(자료: 코마스)

선제방어 한계 명확해지며 ‘탐지·대응’에 주목

최근 몇 년간 ‘지능형 지속위협(APT)’ 공격이 보안 시장의 핫이슈였으며, 보안 기업들은 다단계 선제방어를 통해 APT를 막을 수 있다고 주장했다. 백신, IPS 등 시그니처 기반 보안 시스템으로 알려진 공격을 막고, 샌드박스와 같은 가상환경의 행위분석 기술로 알려지지 않은 공격을 차단하면 공격이 진행되기 전 막을 수 있다는 설명이었다.

그러나 하루에도 수억개씩 등장하는 신변종 악성코드를 시그니처에 담을 수 없으며, 샌드박스는 쉽게 우회할 수 있다. 경계보안 솔루션이 탐지하지 못한 공격은 SIEM, 통합로그분석, 네트워크 포렌식 등 내부 보안 시스템으로 탐지할 수 있다고 주장하지만, 대부분 보안사고가 발생하고 난 후 사후 조사용으로 사용되고 있어 실시간 탐지가 어렵다. 모니터링 시스템의 임계치 이하의 규모로 은밀하게 진행되는 공격을 감지하지 못한다는 문제도 있다.

라온시큐어 라온화이트햇센터장인 기태현 이사는 “APT 방어 솔루션이나 모니터링 시스템을 우회하는 것은 쉬운 방법이다. 샌드박스 분석 시간 동안 활동을 하지 않도록 하거나, SIEM이 로그를 분석하는 주기를 파악하고 해당 주기를 피해 정보를 유출하면 찾아낼 수 없다”며 “새로운 대응 방법이 시급하게 요구된다”고 밝혔다.

선제대응 전략으로 공격을 차단할 수 없는 이유는 공격자들은 보안 프로그램보다 빠르게 진화하고 있기 때문이다. 공격자들은 금전적인 이익을 얻기 위해 수단과 방법을 가리지 않으며, 방어기술에 대한 정보를 공유하며서 빠르게 진화하고 있다.

그러나 보안팀은 새로운 공격 방어에만 집중할 수 없으며, 비즈니스 연속성을 해치지 않고, 보안팀 업무의 복잡성을 높이지 않으면서 지능형 공격을 차단해야 한다는 현실적인 어려움에 봉착하고 있다.

IT 환경은 빠르게 발전하고 있으며, 그 속도에 맞춰 공격도 진화하고 있는데, 보안 정책은 이를 따라가지 못하고 있는 상황이다. 보안 기업들도 서로 공격과 방어 기술을 공유하지 않고 자사 경쟁력만 강조하고 있는 실정으로, 방어 우회 기술과 취약점 정보를 공유하는 공격자들을 따라가기 역부족인 상황이다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.