“지능형 공격을 방어하기 위해서는 ‘선제방어’와 ‘자동화’만이 해법이다. 공격이 일어나기 전에 차단해야 하며, 공격 탐지-차단의 전 과정은 자동으로 이뤄져야 한다. 단일 솔루션 혹은 단일 벤더 솔루션으로 막을 수 없으며, 다양한 파트너와 협력해 공격 차단을 위한 인텔리전스를 높여나가야 한다.”
최원식 팔로알토코리아 지사장은 이같이 말하며 ‘플랫폼 기반의 보안 전략’을 소개했다.
팔로알토가 주장하는 선제방어는 샌드박스, 시그니처만을 이용한 방어를 의미하는 것은 아니다. 시스템 전반에서 취약점을 찾아 패치해야 하며, 공격에 이용되는 익스플로잇을 제거해야 한다. 공격자의 행위를 탐지해 공격이 시작되기 전 차단해야 하는데, 이를 위해서는 공격 유형을 지능적으로 알아내 플레이북을 만드는 것이 효율적이다. 위협 인텔리전스를 이용해 새로운 공격을 인지·차단하며, 머신러닝을 이용해 보안 전문가의 역량을 보안 분석 시스템에 탑재해 자동으로 공격을 인지하고 차단하게 해야 한다.
최원식 지사장은 “하나의 보안 제품이나 벤더만으로 공격을 막을 수는 없다. 엔드포인트와 네트워크 전반에서 취약점을 탐지하고 제거하며, 네트워크·엔드포인트로 침입하는 지능형 공격을 자동으로 차단하며, 공격이라는 사실을 인지하는 인텔리전스를 지속적으로 늘려나가야 한다”며 “팔로알토 제품은 물론이고, 써드파티 파트너와의 협력을 통해 공격을 방어해야 한다”고 말했다.
방어 시스템 지능적으로 우회하는 공격툴
최근 가장 큰 피해를 입힌 공격은 랜섬웨어이며, APT와 결합한 랜섬웨어로 인해 큰 피해가 발생한다. 공격은 주로 이메일에 악성파일을 첨부하는 스피어피싱, 웹사이트 취약점을 이용해 악성링크를 숨기는 워터링홀 방식이 사용되며, 실행파일 형태 뿐 아니라 스크립트, 매크로 등의 방식을 사용해 기존 안티바이러스 탐지를 막는다. 또한 바이러스토털과 같은 위협 인텔리전스 서비스를 운영하면서 공격자가 새롭게 제작한 공격툴이 보안 시스템에 탐지되는지 테스트 한 후 공격에 사용한다.
공격에 사용되는 악성코드와 공격용 툴킷은 다크넷 등에서 쉽게 구입할 수 있으며, 서비스 방식으로도 이용할 수 있다. 공격 서비스 기업들은 보안에 취약한 웹사이트를 해킹해 워터링홀을 만든 후, 공격을 원하는 조직에게 익스플로잇을 판매한다. 공격자는 구입한 익스플로잇을 워터링홀에 삽입한 후 공격할 수 있어 해킹 전문 지식이 없어도 공격할 수 있다.
김병장 팔로알토코리아 전무는 “인터넷나야나 사고를 통해 보면, 최근 랜섬웨어는 APT와 결합해 지능적으로 진행된다. 대규모의 지하산업이 발전한 현재, 기존 시그니처 방식의 보안 시스템으로는 공격을 막을 수 없다”고 말했다.
그는 “팔로알토가 지난해 발표한 보고서에 따르면 상위 6개의 백신에서 탐지하지 못하는 악성코드 파일이 무려 62.5%에 이른다. 백신이 차단할 수 있는 공격이 40%도 안된다는 것”이라며 “랜섬웨어와 APT는 앞으로 더욱 지능화될 것이고, 더 많은 피해를 입히게 될 것이므로, 진화하는 공격에 대응할 수 있는 새로운 방법이 필요하다”고 말했다.
익스플로잇 효과적으로 차단해 지능형 공격 방어
랜섬웨어·APT 대응을 위한 새로운 방법으로 팔로알토는 엔드포인트 보안 솔루션 ‘트랩스(Traps)’를 소개한다. 트랩스는 공격에 사용되는 익스플로잇을 탐지하고 제거해 엔드포인트 리소스 사용을 최소화하면서 오탐·미탐 없이 정확하게 공격을 차단한다.
새롭게 출시된 트랩스4.0은 맥OS, 안드로이드 등 다양한 OS를 지원한다. 랜섬웨어에서 주로 사용하는 공격기법을 분석해 프로세스와 폴더 등의 접근을 제어하며, 매크로 기반 공격으로부터 엔드포인트를 보호하며, 특히 공격에 자주 사용되는 MS 오피스 문서의 악성 매크로를 우선 차단한다.
브라우저와 오피스 애플리케이션과 같은 취약한 프로세스가 파워셸, 스크립트 엔진과 같은 민감한 툴에서 시작하지 않도록 한다. 취약한 엔드포인트를 식별하여 공격하려는 해커들의 프로파일링 툴을 차단한다.
팔로알토는 플랫폼을 통한 지능형 보안 전략을 제안하는데, 차세대 방화벽과 엔드포인트 보안 솔루션에서 수집한 이벤트를 APT 보안 솔루션 ‘와일드파이어’에서 분석해 악성여부를 판단한다.
예를 들어 엔드포인트로 유입된 문서의 해시를 분석해, 이미 정상 파일로 분석된 문서는 허용하고, 악성으로 분류된 문서는 차단하며, 새로운 문서는 분석해 정상/악성 여부를 알아낸다. 매크로만을 분리해 샌드박스에서 분석해 분석 시간을 단축시키고 리소스 사용율 효율화한다.
더불어 네트워크 보안 관리 플랫폼 ‘파노라마(Panorama)’를 통해 수집된 위협 인텔리전스를 바탕으로 엔드포인트, 방화벽, 클라우드, SaaS 애플리케이션 전체에 대한 보안을 강화할 수 있다.
최원식 지사장은 “현재 국내에서도 EDR 등 차세대 엔드포인트 보안 솔루션 수요가 늘고 있는 만큼, 트랩스의 시장성도 높아질 것으로 자신한다. 국내 엔드포인트 환경에 맞추는 작업을 빠르게 완료하고, 트랩스의 국내 시장 공략도 본격화 할 것”이라고 말했다.
매크로 스크립트 자동 실행 차단해야
한편 팔로알토는 랜섬웨어 대응과 예방을 위해 ▲MS 오피스 파일에서 매크로 스크립트가 실행되지 않도록 할 것 ▲월별로 패치 관리 프로세스를 점검할 것 ▲인바운드 스팸과 멀웨어 보호 정책을 실시할 것 ▲차세대 방화벽을 통해 네트워크를 보호할 것 ▲지능형 엔드포인트 보호 환경 구축 등을 제안했다.
