[디지털데일리 이대호기자] 국내 대표 정보보안 기업으로 꼽히는 안랩(대표 권치중)이 “행위를 수집하고 위협을 사냥하라”는 현실적인 조언을 내놨다. 침해사고 전에 미리 대응하라는 주문이다.
백민경 안랩 부장<사진>은 11일 서울 시청 플라자호텔에서 <디지털데일리>가 주최한 ‘2020년 전망, 금융IT 이노베이션’ 컨퍼런스를 통해 “반복되는 침해사고를 보면 내부 통제를 못해서, 내부에서 인지를 못한 상태에서 정보유출된 사례가 상당히 많다”며 “스레드 헌팅(Thread Hunting, 위협 사냥) 활동이 필요하다”고 제언했다.
정보보안 관련해 어려운 과제가 ‘엔드포인트 보안’이다. 가장 취약한 부분으로 볼 수 있다. 백 부장은 “엔드포인트를 중요하지 않게 인지할 수 있지만 보안의 시작영역으로도 볼 수 있다”며 “엔드포인트가 공격의 최종 목표가 되기도 한다”고 강조했다.
공격자는 각종 사회공학 기법을 동원해 사용자를 속일만한 주제와 내용으로 권한을 탈취하고 최종적으로 금전적 이득을 노린다. 안랩에 따르면 정보보안 기업의 매출을 1조원이라고 가정하면 해킹그룹의 수익은 기업 매출의 10배 이상으로 추정된다. 애초부터 방어가 불리한 게임이다. 이 때문에 위협 사냥이 더더욱 중요해진다.
위협 사냥을 위해선 EDR 유형의 솔루션으로 로그가 잘 기록되고 보관되는지, 호스트에서 발생되는 행위 로그가 수집되는지 점검이 필요하다. 백신과 IDS/IPS 등 관제 서비스로 실시간 탐지한 악성 이벤트를 확인하고 통계와 패턴 데이터 분석도 진행돼야 한다.
백 부장은 “범죄현장(엔드포인트)에 CCTV(EDR솔루션)을 설치하자”고 조언했다. 로깅을 강화하는 동시에 별도 시스템에 백업하는 것도 방법이다.
그는 “EDR 솔루션을 고민하거나 내부 보안을 강화한다면 최소 1명 이상 전담인력에 대한 고민을 같이 해야 한다”며 “계속적인 스레드 헌팅을 위해선 전담이 필요하다”고 재차 강조했다.