지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
“보안, 사람의 전문성 필수”
침해대응 서비스(IR) 분야는 침해 탐지·대응 전략의 핵심으로 꼽히는데, 침해사고 대응 실전 경험과 높은 전문성을 요구하는 분야로, 신생기업은 진입이 쉽지 않다. 또한 국내 기업은 글로벌 기업의 서비스를 선호하지 않기 때문에 글로벌 기업 서비스가 자리잡는 것도 쉽지 않다. 언어의 제약으로 IR 결과물을 정확하게 이해하는 것도 쉽지 않은 일이다.
김진국 플레인비트 대표는 “최근 탐지·대응으로 보안 전략의 무게중심이 옮겨가면서 IR에 대한 관심은 높아진 것이 사실이다. 보안사고는 계속 발생하고 있으며, 같은 공격 수법을 재활용하는 경우도 많아졌기 때문”이라며 “그러나 IR은 이 분야에서 충분한 경험과 전문성을 쌓아야 하며, 국내 기업/기관 환경의 특수성을 이해해야 하기 때문에 새로운 서비스 기업이 자리잡기 힘든 시장”이라고 밝혔다.
플레인비트는 안랩에서 IR 서비스를 제공해 온 김진국 대표를 비롯한 전문인력이 설립한 기업으로, 경찰·검찰 등 수사기관과 법률사무소, 일반 기업 등에서 침해사고 조사 분석 서비스를 제공하고 있다.
최근 사이버 공격이 안티포렌식 기법을 사용해 공격 흔적을 지우면서 공격을 진행하고 있어 포렌식 기술만으로 침해사고에 대응하는 것은 한계가 있다. 플레인비트는 공격정보를 수집·분석해 공격 정황을 탐지하는 시스템 개발을 계획하고 있으며, 관련 프로젝트를 진행하고 있다.
김진국 대표는 “최근 보안사고는 코드를 재사용하는 경우가 많으며, 같은 공격그룹이 반복적으로 공격을 시도하거나 암시장에서 거래되는 코드를 구입해 사용하는 경우로 추정해 볼 수 있다”며 “거의 대부분의 공격은 이전에 발생한 것을 모방하거나 툴킷을 구입해 사용하는 것으로 공격수법을 자동으로 탐지하는 시스템이 탐지·대응에 도움을 줄 것으로 기대한다”고 말했다.
그는 이어 “보안은 기술이 아니라 사람으로 막아야 한다. 기술이 아무리 발달한다 해도 단 한 사람으로 인해 모든 고급 보안 기술이 무력화 될 수 있다”며 “임직원 교육을 통해 보안 수준을 높이고, 보안 공격을 조기에 식별하며, 내부보안 통제를 체계적으로 하는 것이 중요하다”고 말했다.
글로벌 기업들도 IR 서비스 시장 진출
우리나라에서 침해 탐지·대응 시장이 높은 관심을 받으면서 발전하자 글로벌 기업들도 국내 시장을 공략하는데 속도를 내고 있다. 그동안 국내에서는 전문 서비스 기업이 고객 맞춤형 서비스를 제공하면서도 가격경쟁력이 높아 글로벌 기업의 진출이 쉽지 않았다. 그러나 해외로 진출하는 대기업이나 사이버 공격을 상시적으로 받는 금융기관, 통신사, 게임사 등은 보다 수준높은 보안 서비스를 차고 있으며, 이 시장에서 기회가 있을 것이라고 보고 있다.
IBM은 리질리언트 시스템을 인수하면서 확보한 침해대응 능력을 결합한 보안리스크 진단관리 전략을제공한다. 위기대응 매뉴얼인 ‘인시던트 리스폰스 플래닝’은 보안사고 발생시 대응방법을 제안한다. 취약점 분석·점검 서비스와 침투테스를 통해 취약점을 찾아 제거하고, 액티브 쓰렛 어세스먼트 서비스로 회사 내부의 공격 징후를 찾아 공격 확산을 차단한다. 긴급 침해대응 서비스인 ‘이머전시 리스폰스 서비스’는 보안사고의 119 역할을 하며, 침투 사고가 발생학나 의심스러운 공격 징후가 발견됐을 때 처리한다.
윤영훈 IBM 보안사업부 팀장은 “IBM IR 서비스는 3·20 사고 당시 대응하는데 도움을 주는 등 국내 보안사고에 지원에 많은 성공사례를 갖고 있다. 사고를 분석하고, 원인을 파악하며, 재발하지 않도록 대응방법을 제안하는 체계적인 서비스를 통해 경쟁사 대비 차별화된 경쟁력을 제공하다”고 말했다.
나병준 IBM 보안사업부 실장은 “탐지·대응 기술을 제공하는 리질리언트 인수를 통해 IBM의 보안 서비스 경쟁력이 강화됐다. IR 서비스에 솔루션을 더해 보안팀이 체계적으로 보안사고에 대응할 수 있도록 한다. 더불어 큐레이더와 결합해 이상행위 발생시 담당자의 개입 없이, 주요 비즈니스 영향을 최소화하면서 공격을 자동으로 차단하고 보안팀에 다음 단계 대응을 안내할 수 있다”고 설명했다.
IBM은 글로벌 시장 점유율 1위의 보안관제 서비스 경쟁력도 탐지·대응 분야의 강력한 강점이라고 소개한다. IBM의 보안관제 서비스는 전 세계 130개 국가에 서비스를 제공하고 있으며, 수만개의 엔드포인트와 서버를 모니터링하고, 다양한 고객사 보안 정보를 수집하고 분석한다. 엑스포스 보안연구소를 통해 분석한 보안정보를 인텔리전스로 만들어 고객에게 제공하며, 위협 수준에 따른 대응 방법을 지원한다.
▲APT 공격 흐름에 따른 공격 대응 단계(자료: IBM)
시만텍 역시 침해대응을 위한 IR 서비스를 본격화하면서 국내 시장 확산에 나섰다. 시만텍 IR 서비스는 정보보안 사고로 인한 결과를 사전에 예측하고, 기업 대내외 대응책 및 개선 계획을 마련해준다. 이를 통해 기업은 보안 사고가 발생해도 기업 비즈니스 정상화를 위한 대응 시간을 최소화 하는 동시에 재발을 방지할 수 있다.
침해 사고 긴급 대응 서비스는 정보 보안 사고가 기업 비즈니스에 미치는 영향을 최소화 하기 위해 고객들의 보안 사고를 해결하고 비즈니스를 정상화하며 사고 재발 방지를 돕는다. 전세계 157개국에 설치된 6380만대의 공격 센서를 통해 위협을 감지하는 시만텍의 글로벌 인텔리전스 네트워크에서 수집된 보안 빅데이터를 분석해 다양한 보안 침해, 공격 등에 대한 인사이트를 제공한다. 고객은 이 서비스를 통해 보안 위협 대응 활동에 대한 결과 보고와 함께 보안 정책 개선, 내부 보안 프로그램 효과 개선 및 재발 방지를 위해 활용할 수 있는 포괄적인 조사 결과 보고서를 제공받을 수 있다.
침해 사고 종합 자문 서비스는 기업이 실행하고 있는 보안 위협 대응 프로그램을 평가하고 보안 격차를 확인하며 보안 사고를 줄이기 위한 보안 정책을 수립할 수 있도록 돕는다. 고객은 고비용의 수동적 방식에서 벗어나 보다 적극적이고 계획적인 접근 방식을 취할 수 있다.
