[취약점 점검·모의해킹②] 자동화된 솔루션으로 취약점 제거
상태바
[취약점 점검·모의해킹②] 자동화된 솔루션으로 취약점 제거
  • 김선애 기자
  • 승인 2017.08.11 08:31
  • 댓글 0
이 기사를 공유합니다

취약점 진단·모의해킹 솔루션, 전문가 작업 줄이고 공격 가능성 낮춰…CCE·CVE 모두 만족해야

해커 잡는 해커, ‘화이트해커’가 몸값을 높이고 있다. 허를 찌르는 타깃 공격이 연이어 발생하면서, 관리되지 않은 취약점과 공격 가능성을 낮춰야 한다는 수요가 높아지고 있다. 더불어 규제준수만을 위한 모의해킹이 아니라, 실제 공격을 막을 수 있는 상시적인 취약점 점검이 전사 범위에서 진행돼야 한다는 주장도 제기된다. 공격자 관점에서 취약점을 제거하고 공격 표면을 줄여나갈 수 있는 방법이 마련돼야 한다.<편집자>

전문지식 없이 운영 가능한 솔루션 인기

취약점 진단 솔루션은 전사 IT 시스템의 전수조사가 가능하며, 벤더가 자체적으로 갖고 있는 취약점 DB와 외부 취약점 DB 전문기관의 정보도 연동할 수 있어 실시간으로 취약점 정보를 빠르게 공유 받아 조사할 수 있다. 또한 취약점 진단 솔루션과 함께 모의해킹 툴까지 제공해 취약점을 발견하고 제거한 후, 또 다른 알려지지 않은 취약점이 있는지도 확인할 수 있다.

취약점 점검은 공인된 취약점 DB와 시스템에서 발견된 취약점을 비교하는 패턴매칭 방식과 취약점 존재 유무를 확인하기 위해 테스트하는 침투테스트(모의해킹)으로 나뉜다. 패턴매칭 방식은 규제준수를 위한 CCE와 취약점 자체를 찾아내는 CVE 방식으로 나뉘며, 국내에서는 CCE에 초점을 맞춰 발전하고 있다.

래피드7은 취약점 진단 도구 ‘넥스포즈(Nexpose)’와 모의해킹 솔루션 ‘메타스플로잇(Metasploit)’을 공급한다. 메타스플로잇은 모의해킹에 가장 많이 사용되는 툴로, 커뮤니티를 통해 공개된 오픈소스 버전을 이용할 수 있으며, 보다 정밀한 테스트가 가능한 유료 솔루션도 인기를 끌고 있다.

래피드7은 전문지식 없이도 쉽게 사용할 수 있지만, 라온시큐어 화이트햇센터와 MOU를 맺고 전문가에 의한 취약점 진단과 모의해킹 서비스도 제공하고 있다. 올해는 웹·애플리케이션 취약점 진단 솔루션 ‘앱스파이더(AppSpider)’ 영업도 본격화 할 계획이다. 앱스파이더는 HTML 라이브 리포트를 제공하며 발견된 취약점의 리플레이도 가능해 보안관리자들이 쉽게 문제를 발견하고 대응할 수 있다. 사용자 행위분석(UBA) 기반의 침해 탐지·대응 솔루션 ‘인사이트IDR(Insight IDR)’을 이용해 SIEM 영역까지 진출하고 있다.

박진성 래피드7코리아 지사장은 “취약점 점검은 규제대응을 위한 CCE와 실제 공격에 대응하기 위한 CVE 둘 다 능숙하게 처리할 수 있어야 하는데, 국내 규제에서는 CCE와 CVE를 구분하고 있지 않으며, 고객들은 상대적으로 비용이 적게 들고 쉽게 끝낼 수 있는 CCE만을 위한 제품을 선호한다”고 지적했다.

그는 이어 “지능형 공격은 규제에 명기된 취약점만 제거하면 끝나는 CCE로는 해결할 수 없으며, 실제로 발생할 가능성이 있는 공격 전체를 살펴보고, 대응할 수 있도록 지원해야 한다. 래피드7은 CCE, CVE를 지원해 공격 대응 능력을 높일 수 있다”고 말했다.

운영 시스템 영향 없이 취약점 점검·테스트

포지티브테크놀로지스의 ‘맥스패트롤(MaxPatrol)’은 감사, 침투테스트(모의해킹), 컴플라이언스 관리가 단일 솔루션으로 결합돼 있으며, CVE의 신속한 업데이트로 보안 관리자의 어려움을 해결할 수 있다. 서버, 네트워크 장비, OS, 통신장비, SAP 등 전체 인프라 자원을 지원한다.

포지티브는 신규 취약점이 발표되면 이를 패턴화 하는데, 자체 화이트해커팀이 CVE를 그대로 테스트하지 않고 안전한 방법으로 테스트 해 볼 수 있도록 한다. 침투테스트가 잘못되면 실제 공격으로 이어져 비즈니스 침해 사고를 당할 수도 있다. 포지티브는 자체 개발한 안전한 테스팅 방법을 이용해 운영 시스템에 영향을 주지 않고 정확하게 취약점을 점검하고 테스트한다.

고목동 포지티브코리아 지사장은 “포지티브의 최대 장점은 국내 컴플라이언스도 지원하는 외산 솔루션이라는 점이다. 본사에서 포지티브코리아 성장 가능성을 높게 보고 장기적으로 컴플라이언스 지원을 위한 투자를 진행해왔다. 그 결과 규제준수 요구가 높은 공공·금융권의 모의해킹·취약점 진단 사업을 할 때 포지티브 제품을 선호하게 된다”고 말했다.

고 지사장은 “또한 엔터프라이즈에서도 경쟁력을 갖고 있는데, 포지티브 제품은 에이전트 없이 시스템, 웹, 애플리케이션 취약점을 점검하고 침투테스트를 할 수 있으며, 운영 시스템에 영향을 주지 않고 공격 테스트를 할 수 있어 세밀한 취약점 점검이 가능하기 때문”이라고 설명했다.

한편 포지티브테크놀로지스도 소스코드와 웹 취약점 검사 솔루션을 출시하고 국내 시장을 공략한다. 소스코드 취약점 검사 솔루션 ‘애플리케이션 인스펙터(Application Inspector)’는 정적·동적·상호적 테스트 통합형 방식을 사용하며, 자동 익스플로잇 생성과 오탐율을 최소화해 시간을 절약하고 소프트웨어 보안성을 높일 수 있다. 이 솔루션과 보안 도구를 함께 사용하면 소스코드를 변경할 필요 없이 위험을 경감할 수 있다.

웹 애플리케이션의 취약점을 우선 처리하는 ‘애플리케이션 파이어월(Application Firewall)’ 은 머신러닝 기법을 탑재해 시그니처 베이스의 웹 방화벽이 차단하지 못하는 제로데이 공격을 방어할 수 있다.

더불어 여러 안티바이러스(AV) 엔진을 단일 플랫폼에서 구동시키는 APT 방어 제품 ‘멀티스캐너’의 국내 출시를 예정하며 시장 확산에 나서고 있다. 현재 카스퍼스키랩, 비트디펜더, 닥터웹 등 글로벌 AV가 탑재되며 EDR 솔루션과의 협의도 진행하고 있다. 국내 AV와도 협의해 국내 시장 공략 속도를 높일 예정이다. 이와 함께 ICS/SCADA 보안을 위한 제품도 소개하면서 사업을 다각화한다.

실행 중 앱 스스로 보호하는 RASP ‘주목’

소프트웨어 보안 취약점을 점검하는 시큐어코딩 솔루션은 소프트웨어 개발 중 혹은 완료시 점검하는 정적분석과 소프트웨어를 동작 중 취약점을 찾아내는 동적분석으로 나뉘는데, 최근에는 동작하는 애플리케이션이 스스로 보호하고, 로그를 남기는 ‘RASP(Runtime Application Self Protection)’가 추가돼 주목을 받고 있다.

RASP는 가트너가 ‘2016년 10대 보안전망’을 통해 소개했으며, 애플리케이션을 실제 업무에 구동시키면서 실행을 모니터링하고 데이터와 이벤트 플로우를 이해해 보안위협을 탐지하고 방어한다.

박종필 한국HPE 보안사업부 부장은 “가트너는 애플리케이션 보호를 위해 RASP 적용을 권하고 있는데, 애플리케이션에 내재된 보안·통제 기능을 이용해 데이터 접근과 사용자 로그인/로그아웃, 애플리케이션 데이터 플로우 모니터링을 통해 보안위협 활동을 실시간으로 모니터링 할 수 있기 때문”이라고 말했다.

RASP 전문 솔루션은 ‘프리버티(Prevoty)’, ‘컨트라스트(Contrast)’가 있으며, 이들은 최근 주목받는 스타트업으로 꼽힌다. HPE 시큐어코딩 솔루션 ‘포티파이(Fortify)’ 제품군에 속한 ‘애플리케이션 디펜더’ 역시 RASP이며, 정적분석 도구 ‘SCA’, 동적분석 도구 ‘웹인스펙트’와 함께 사용되면서 모든 환경의 소프트웨어를 보호한다.

박종필 부장은 “애플리케이션 취약점을 노리는 공격은 앞으로도 계속 될 것이다. 이를 보호하기 위해 웹방화벽같은 경계선 보안에만 투자할 수 없으며, 애플리케이션이 개발, 테스트, 운영되는 모든 과정에서 보호해야 한다. 개발단계에서의 시큐어코딩과 운영 단계에서의 모니터링·통제는 반드시 필용하다”며 “사용자의 웹·모바일 애플리케이션 접속이 많은 금융, 이커머스, 유통사들이 가장 많은 관심을 보이고 있다”고 말했다. 

▲RASP 동작 방식(자료: 한국HPE)


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.