- 릭 하워드 CSO, ‘공격 라이프사이클 방어, 위협정보 공유, 통합보안 플랫폼 구축’ 등 강조

[디지털데일리 이유지기자] “보안위협 방어는 가능하다. 공격 라이프사이클 방어 모델로 대응해야 하고, 업계가 공동으로 사이버위협 인텔리전스 정보를 공유하는 것이 중요하다. 포인트 솔루션이 아닌 통합 보안 플랫폼을 구축해야 한다.”

릭 하워드 팔로알토네트웍스 최고보안책임자(CSO)가 방한, 26일 서울 마포구 베스트웨어턴 서울가든호텔에서 기자들과 만나 이같은 4가지 사이버보안 혁신 방안을 제시했다.

이 자리에서 하워드 CSO는 먼저 “보안업체들이 위협을 선제적으로 방어(Prevention)하는 것이 불가능하지 않다”며 “사이버위협 침입은 막을 수 없고 위협이 발생하는 즉시 이를 신속하게 탐지해 대응해야 한다는 (사후 대응) 방안을 제시하는 것은 선제적 위협방어를 포기하는 것”이라고 비판했다.

그는 “사이버 공격의 95%는 선제적 방어가 가능하다”고 재차 강조하면서 “선제적 방어뿐 아니라 침입탐지와 효과적 대응이라는 세 요건이 갖춰져야 한다”는 점도 덧붙였다.

선제적 방어 방법으로는 명령제어(C&C) 서버 구도 사전 차단, 악성코드 차단, 도메인네임서버(DNS) 엔트리 차단을 예로 들었다.

이어 하워드 CSO는 “다양한 위협 패턴을 분석해 선제 대응하는 ‘공격 라이프사이클 방어’ 모델이 필요하다”고 지적했다.

그에 따르면, 공격 라이프사이클 방어 모델은 사이버공격자들이 원하는 목표를 달성하기 위해 정교하게 벌이는 일련의 공격 단계별로 각각 대응·통제를 적용하는 방식이다. 초기에는 국방, 금융기관에서 이같은 모델을 도입했지만 최근 기업에도 확산되고 있다.

최근의 사이버 표적공격은 대개 대상 기업의 네트워크를 정탐해 취약점을 찾고 이를 발견한 뒤 악용할 도구를 개발해 이를 적용한다. 이 도구를 설치해 공격 교두보를 만든다. 이 때 공격 대상은 개인용 컴퓨터, 서버, 복사기, 프린터 등 인터넷에 연결된 모든 엔드포인트 기기가 대상이다. 교두보가 마련되면 실제 공격을 수행하게 되는데, 이 때 더 많은 명령을 전달할 수 있는 C&C 채널을 구축한다. 모든 준비가 끝나면 심은 악성코드를 실행해 중요정보를 유출하거나 내부 네트워크와 시스템을 손상시킨다.

이같은 각 단계별로 적절한 대응을 수행하는 것이 ‘공격 라이프사이클 방어’ 모델이다. 이는 이전에 제시된 ‘심층방어(Defense in Depth)’ 모델보다 효과적이라는 것이 하워드 CSO의 견해다. ‘심층방어’ 모델은 전략적인 대응 방식이 아니라 다양한 보안 통제를 적용하는데 불과하다는 것으로, “단지 1차 방어선이 무너지게 되면 2, 3차 방어선에서 공격을 걸러주길 기대할 뿐”이라고 지적했다.

하워드 CSO는 사이버 위협 인텔리전스 체계와 정보공유 환경 구축 필요성도 크게 강조했다. 보안사고가 발생하면 사이버 위협 인텔리전스팀에서 분석한 공격 지표와 분석 정보로 적절한 대응책을 적용할 수 있기 때문이다. 바로 선제적인 공격 라이프사이클 방어 모델을 구현하는 기반이 되는 것이다.

그는 “사이버공격 대응을 위해서는 보안관리자들이 각 단계에서 공격자들의 행동을 정확하게 파악할 수 있도록 최적의 사이버보안 인텔리전스 구축이 절실하다. 이를 위해 동종업체들이 함께 위협정보와 흔적지표(IOC)를 공유하는 것이 무엇보다 중요하다”고 강조했다.

팔로알토네트웍스는 현재 ‘유닛42’라는 보안위협 인텔리전스 센터를 운영하고 있다. 하워드 CSO는 회사 보안책임자로서 역할뿐만 아니라 이 ‘유닛42’를 총괄하고 있다. 이 조직에서는 분석한 새로운 위협정보는 15분 이내에 팔로알토네트웍스 제품을 통해 모든 고객사와 공유, 적용한다.

팔로알토네트웍스는 보안위협 요인을 확인해 15분 내에 애플리케이션 분석, 사용자 분석, 시그니처 기반 탐지, 최종 행동기반 멀웨어 분석에 이르기까지 모든 단계에서 발생하는 위협 정보 분석 리포트를 제공한다. 이 분석 리포트를 갖고 네트워크에서 악성행위를 하지 못하게 직접 악성코드를 차단할 수 있다고 회사측은 부각했다.

하워드 CSO는 “팔로알토네트웍스 고객사에서 새로운 공격이 탐지된 경우 이에 대응하는 보안조치를 해당 고객사뿐 아니라 다른 고객사에도 반영한다"며 "알려지 않은 공격을 알려지는 공격으로 바꾸는데 걸리는 시간은 15분이며, 이를 5분으로 낮추기 위해 여러 노력을 진행하고 있다”고 설명했다.

팔로알토네트웍스는 시만텍, 인텔, 포티넷과 함께 사이버위협얼라이언스(CTA)를 창립해 서로 위협정보를 공유해 보안 제품에 반영하는 협력을 1년 반 전부터 수행하고 있다. CTA는 현재 이들 네 기업 외에도 바라쿠다, 지스케일러, 리버싱랩스, 텔레포니카가 후원회원으로 참여하고 있다.

그는 “위협 인텔리전스는 필요한 곳이면 누구나 접근할 수 있어야 한다고 믿고 있다”며 “CTA는 회원사 모두가 위협을 파악해 정보를 공유하는데 있어 상응하는 기여를 해야 하며, 고객사는 아무런 불편 없이 이들 기업이 적용하는 최신 위협 인텔리전스가 반영된 제품을 사용할 수 있다”고 설명했다.

마지막으로 하워드 CSO는 “방화벽, 침입탐지시스템(IDS), 안티바이러스, 지능형위협보호(ATP) 등 단편적인 포인트 보안 솔루션이 아니라 유기적이고 능동적인 대응체계 구축이 가능한 통합보안 플랫폼이 필요하다”며 “통합보안 플랫폼은 여력이 부족한 기업들이 더 높은 수준의 네트워크 보안을 실현할 수 있으며, 보안 시스템 운영과 인력 측면에서 많은 비용 절감 효과를 거둘 수 있다”고 말했다.

팔로알토네트웍스는 차세대 방화벽, 위협 인텔리전스 클라우드, 지능형 엔드포인트 보안 솔루션으로 구성된 보안 플랫폼을 제공한다.

<이유지 기자>yjlee@ddaily.co.kr