침해사고/위협동향

[NES2015] 팔로알토네트웍스, 사이버 위협 “탐지보다 예방에 초점 맞춰야”

이상일

[디지털데일리 이상일기자] 서울 JW메리어트호텔에서 16일 개최된 제10회 차세대 기업보안 세미나&전시회 ‘NES2015’에서 ‘진화하는 위협, 변화하지 않는 보안’을 주제로 발표한 팔로알토네트웍스 알프레드 리(Alfred Lee) 제품관리 부사장은 “최근 보안시스템에 탐지에 초점을 맞추고 있는데 이보다 위협을 사전에 탐지해서 예방하는 것이 중요하다”고 지적했다.

최근 사이버 위협은 정교하고 조직적으로 움직이고 있다는 특징을 가지고 있다. 또 공격의 빈도와 횟수도 증가하고 있어 단순히 침입 시도를 모니터링하는데 그치지 않고 전면적인 방어, 클라우드 환경 아래서의 대비, 앤드포인트 분야에 대한 방어까지 고려해야 한다.

알프레드 리 부사장은 “사이버 공격이 진행됐을 경우 단순히 감염된 호스트만을 찾고 치료하고자 한다면 위협에 앞서 나가는 조치를 하기 어렵다”며 “이러한 탐지 지향의 보안대책은 근본적인 해결책이 될 수 없다”고 강조했다.

예를 들어 최근 기업의 네트워크에서 작동하는 보안 기술들은 탐지에 중점을 두고 있다. 예를 들어 샌드박스의 경우 멜웨어 탐지에 탁월하지만 말 그대로 탐지에 기능이 국한돼있다. 엔드포인트에 대응하기 위한 ‘메모리 덤프’, 감염된 호스트를 찾는데 쓰이는 스캐너와 같은 솔루션 역시 모니터링을 위한 것이다.

또, 기업에 특정 공격이 발생했다고 가정했을 때 기업은 전문 인력을 고용해 해커들이 어떻게 침입하고 어떤 데이터를 찾아 유출했는지를 모니터링하게 된다. 이들은 그 대가로 많은 비용을 받는다. 하지만 이는 예방은 아니다.

하지만 이러한 탐지는 공격패턴이 익히 알려진 형태에서만 효과를 발휘한다. 알프레드 리 부사장은 “최근에는 알려지지 않은 멜웨어가 사용되고 있다. 특정 회사만을 공격하기 위한 멜웨어가 사용되고 내부 망에서 어플 간 이동, 포트간 이동이 가능해지는 등 복잡한 과정을 통한 해커들의 침입 가능성이 높아지고 있다”고 지적했다.

알프레드 리 부사장은 최근 정보유출 사고를 겪은 미국의 유통사 ‘타겟’의 예를 들기도 했다.

타겟의 고객정보 유출 사고를 되집어 보면 우선 해커들이 시스템에 대한 정찰을 했다. 이를 통해 어떻게 하면 타겟의 네트워크에 들어갈 수 있을지 분석한 것. 알프레드 리 부사장은 “타겟이 파트너를 위해 사용하는 네트워크가 있었다. 해커들은 이를 노리고 파트너사 중 하나인 냉난방공조 업체를 대상으로 표적공격(이메일)을 해 호스트 하나를 탈취했다. 이 회사의 신원정보를 사용해 타겟 네트워크에 로그인하는데 성공했다”고 설명했다.

이 과정에서 해커들은 파트너사들이 타겟의 내부 네트워크에 진입할 수 있다는 사실을 알았다. 네트워크가 분리되지 않았던 것.

해커들은 이를 통해 판매시점관리(POS) 시스템까지 접근해 멜웨어를 깔았다(BlackPOS). 여기서 고객의 신용카드 정보 접근권을 가지게 된 해커들은 고객정보가 암호화가 되지 않는 구간, 즉 POS 메모리에서 암호화되지 않은 고객정보를 빼내 FTP를 통해 외부로 유출했다.

알프레드 리 부사장은 “이 사례를 보면 해커들이 타겟을 공격했을 때 다양한 기법을 사용했다는 것을 알수 있다”며 “이에 대비하기 위해선 알려진 불량 트래픽(신호)에 외에 좋은 신호와 나쁜 신호를 구별할 수 있어야 한다. 이를 위해 위협과 관련한 정보를 축적해야 보안의 수준을 높일 수 있고 팔로알토네트웍스는 이 부분에서 경쟁력을 가져가고 있다”고 설명했다.

<이상일 기자>2401@ddaily.co.kr

이상일
2401@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널