[디지털데일리 홍하나기자] “우리가 놓친 1%에 의해 전체가 무너질 수 있다. 즉, 관리되지 않은 인프라 때문에 전체 인프라가 무너질 수 있다. 문제가 생겼을 때 숨어있는 1% 위협을 얼마나 빠르게 인지하고 대처하는지가 중요하다”

정관진 시스코코리아 부장<사진>은 지난 5일 <디지털데일리> 주최로 서울 명동 은행연합회관에서 열린 ‘2018 금융·엔터프라이즈 차세대 엔드포인트 보안 EDR·EPP 전략’ 컨퍼런스에서 ‘숨어있는 1% 위협을 찾아내는 EDR 보안전략’에 대해 소개했다.

정 부장은 “엔드포인트 위협 탐지 및 대응(EDR, Endpoint Detection&Response) 솔루션도 완벽할 수 없다”며 “현실적으로 사이버 공격을 100% 막는 것은 불가능하기 때문”이라고 말했다.

이어 “사람들은 99%의 위협을 막을 수 있다고 말하지만 나머지 1%로 인해 전체가 무너질 수 있다”며 “EDR을 도입할 때 어느 부분에 중점을 둘지 고민해야 한다”고 강조했다.

그렇다면 1% 위협은 어디서 발생할까? 시스코코리아는 탐지하지 못한 신종 악성코드 또는 우회 기법을 사용하는 악성코드를 꼽았다. 특히 ▲파일로 존재하지 않는 악성코드 ▲동작환경을 인지하는 악성코드 ▲다형성 악성코드 ▲취약점을 이용한 공격이 우회기법을 이용하고 있다.

네트워크, 웹, 이메일, 엔드포인트에서 보이지 않는 위협요소를 제거하기 위해서는 통합적인 관점이 필요하다. 시스코의 클라우드 기반 솔루션 ‘CTA(Cognitive Threat Analytics)’는 이미 진행 중인 공격과 사용자 환경에 침입하려는 시도를 탐지하고 대응한다.

알려지지 않은 위협 탐지, 다양한 모델링 기반의 지능형 위협 탐지, 가시성 증가, 장시간에 걸친 위협 감지가 특징이다. 추가 하드웨어나 소프트웨어를 설치하지 않아도 되며 AMP 엔드포인트 사용자에게 무료로 제공된다.

악성코드를 차단하려면 발생하기 전 예측해야 한다. 이를 위해서는 다양하고 방대한 데이터가 필요하다. 데이터가 많을수록 예측의 정확도가 높아지기 때문이다. 시스코는 인텔리전스 조직 ‘탈로스’를 운영하고 있다. 이곳에는 전세계 약 300명의 취약성 분석 엔지니어가 모여 있다. 매일 150개 악성코드 샘플과 160억건의 웹 요청을 받고 있다.

AMP 클라우드는 지능형 위협에 대응하기 위해 탈로스와 동적분석을 기반으로 최신 위협 인텔리전스 데이터를 반영한다. 이밖에 파일리스(Fileless) 악성코드 방어, 랜섬웨어 대응, 소프트웨어 현황을 파악해 근본원인을 찾아 대응해야 한다.

알려지지 않은 위협을 발견하기 위해서는 선제적으로 대처해야 한다. 동적분석 샌드박싱은 제로데이 위협 발견을 위한 악성코드 행위를 분석한다. 시스코는 전세계에서 수집된 450개 이상의 행동지표와 악성코드 지식 기반을 비교해 네트워크상 의심 행동을 분석한다.

정 부장은 “우리에게 필요한 것은 빠른 대응과 더 많은 차단과 보고”라면서 “보이지 않는 위협요소를 제거하고, 선제적 위협 대응, 악성코드 차단 등 마지막 방어라인이 필요하다”고 제언했다.

<홍하나 기자>hhn0626@ddaily.co.kr