▲ 블루코트코리아는 브라이언 컨토스(Brian Contos) 지능형 위협 보안(ATP) 그룹 부사장이자 CISO가 방한하여 한국정보기술연구원(KITRI) 산하의 BOB(Best Of Best) 센터에서 교육생과 보안전문가를 대상으로 ‘지능형지속보안위협(APT)와 그에 필요한 전략’라는 주제로 강연을 진행했다.

“지능형 보안 위협이 지속적으로 증가하고 있는 상황에서 위협 요인을 가능한 빨리 탐지하고 대응하는 지능형 통합 보안 시스템 구축이 필요합니다.”

블루코트의 브라이언 컨토스(Brian Contos) 지능형 위협 보안(ATP) 그룹의 부사장이자 CISO는 한국정보기술연구원(KITRI, 원장 유준상) 산하의 BOB(Best Of Best) 센터에서 BOB 교육생과 보안전문가를 대상으로 ‘지능형지속보안위협(APT)와 그에 필요한 전략 (Advanced Persistent Threats as the next key wave of security issues, and the need for an ATP capability)’라는 주제로 특별강연을 했다.

브라이언 컨토스 부사장은 전세계 보안 시장 현황에 대해 설명했다. 먼저 그는 사이버 공격의 시작에 대해 말했다.

“인터넷이 지난 1998년에 등장하면서 해커들의 공격도 함께 시작되었다. 인터넷이 대중화 되며 삶을 보다 편리하게 변화시키고 있지만, 이를 나쁘게 활용하는 사례들도 같이 늘어나고 있는 것이다. 이러한 문제를 해결하기 위해 전세계 국가들이 사이버 테러 대응에 많은 노력을 하고 있다.”

사이버 범죄 조직들도 보다 조직적이며 전문화되고 있다고 말했다.

“상근직 해커들을 고용하여 특정 기업이나 사이트들을 공격하고 있다. 특히 SEO(서치엔진최적화) 기법을 사이버 테러에 악용하여 자연재해나 최신 영화, 연예 사회 토픽 등을 일반인들이 검색하면 악성코드인 멀웨어가 심어져 있는 사이트로 연결되어, 개인 컴퓨터를 감염시킨다. 이런 식으로 전세계의 수많은 감염된 컴퓨터를 이용하여 한꺼번에 엄청난 규모의 사이버 테러가 실행되며 아마존이나 구글을 사용하는 것보다 많은 트래픽을 차지하기도 한다.”“핵티비스트의 공격도 늘어나고 있다. 인터넷을 통한 컴퓨터 해킹을 투쟁 수단으로 사용하는 핵티비스트(Hacktivist) 집단이 자신들의 목표를 이루고자 일반 기업의 사이트와 시스템을 공격하는 사례도 증가하고 있다.”

그는 또 해커 표적 다변화하고 있다고 밝혔다.

“최근에는 해커들의 표적도 다변화되고 있는 추세다. 과거 해커들의 표적은 대기업과 대형 금융기관이나 방송국 등으로 한정됐지만 최근 해커들은 중견중소기업 및 지방 정부를 대상으로 해킹을 시도하고 있다. 기존에 공격을 경험한 대형 기업들이 보안 체계를 강화한 것에 비해 중소중견기업 및 지방 정부들은 해킹에 대한 대비는 충분하지 않기 때문이다.”

그는 점점 교묘해지는 보안 사고들로 관리자들은 물론, 사용자들도 위험 상황에 노출되고 있다고 말했다.

“예를 들어 메일에 담긴 링크 열기나 문서 다운로드, 외견상 실제 엑셀 스프레드시트와 똑같은 문서의 열람, 피싱 사이트 접속, 또는 전화기 너머로 누군가에게 패스워드를 발설하는 일 등이다. 업계는 이러한 ‘특정 개인을 공격(automation of personalized attacks)하는 것’을 제어하는 방안을 고민하고 있다. 개인화 된 공격을 위해 해커가 투자하는 비용이 낮아지고 있으며, 이러한 공격을 막기 위해 보안 업체들은 보다 인적요소(human factor)를 고려한 개인 사용자에 맞춤화된 방어 기술을 구축하는데 더 많은 노력이 필요하다.”

IPv6 공격에 대한 대비가 필요한 시점이라고 강조했다.

“차세대 인터넷 주소 표현 방식인 'IPv6(internet protocol version 6)'에 대한 대비도 필요하다. 우리는 일상생활에서 IPv6를 사용하고 있지만 기업들은 이전 버전인 IPv4를 기반으로 방화벽을 구축했다. 특히 IPv4 주소는 43억 개로 한정적이지만 IPv6 주소는 거의 무한대다. 그러나 IPv6에 대한 방화벽을 구축하지 않은 기업이 많아 해킹을 시도할 경우 기업은 무방비로 당할 수 있다.”

“IPv4가 현재 소진된 만큼 IPv6의 확산에 따라 향후 등장할 보안문제에 대해서도 지속적인 관심이 필요하다. 특히 인터넷 환경이 장기간 IPv4와 IPv6가 공존할 것으로 예상되는 만큼 기업의 보안관리자 및 담당자들은 이에 대해 충분히 인지하고 대비를 해둬야 한다.”

“최근 많이 발생하고 있는 APT(Advanced Persistent Threat) 공격은 해커가 시스템에 침투해 장기간 잠복하며 정보를 지속적으로 빼내는 방법이다. 이러한 APT 공격은 사용자 및 기업들이 검색엔진과 이메일, 소셜 네트워킹 등의 인터넷 프로그램 활용이 증가하면서, 악성코드가 침입할 경로가 다양해져 상대적으로 방어가 안되고 있다.”

“특히 이러한 공격의 경우 오랜 기간 매우 정교하게 공격을 준비한 정황들이 확인되고 있으며 실제 하드디스크 파괴 등의 행위가 발생하지 않았다면 훨씬 더 오랫동안 문제가 발견되지 않았을 가능성이 높아 이에 대한 방어시스템의 필요성이 더욱 대두되고 있다.”
“이러한 APT 및 정보유출 공격을 위해서 가장 일반적으로 사용되는 것이 맬웨어(Malware)인 악성코드다. 블루코트 보안연구소에 따르면 실제 모든 웹 공격 중 2/3는 악성코드를 통해서 발생했으며 2012년 기준 전년대비 240%가 증가할 만큼 악성코드의 확산은 폭발적이다.”

“이러한 악성코드는 웹이나 메일을 통해서 전파되는 것이 가장 일반적인데 이는 다른 방법에 비해서 악성코드를 전파하기 쉽고 또한 웹이나 메일은 기본적으로 공개되어 있는 서비스이기 때문이다. 특히 웹의 경우 웹 브라우저(IE, 크롬, 사파리 등) 및 다양한 응용 애플리케이션(자바, 어도비, 한글HWP 등)의 취약점을 이용한 악성코드 전파가 주로 활용되고 있다.”

현안인 APT 공격에 대한 대응책에 대한 설명도 이어졌다.

“블루코트가 최근 전세계에 구축된 자사의 네트워크 트래픽 측정 시스템의 데이터 분석 결과, 지능형 위협이 기업에 미치는 영향은 다음과 같다. 지능형 지속 공격으로 인한 데이터 유실의 평균 비용은 222달러 (내부과실로 인한 데이터 유실 비용 대비 27% 많은 수치)였으며, 지능형 지속 공격이 발견되기까지의 평균 80일이 소요되었다. 최종적으로 보안 위협 상황을 해결하는 데에는 평균 123일이 걸렸다.”

브라이언 컨토스 부사장은 “모바일을 포함한 모든 기기에서 인터넷을 사용하고 있으며, 데이터 양과 인터넷 주소가 폭발적으로 증가하면서 보안 사고도 보다 지능화되고 자주 발생하고 있다. 이처럼 아무리 벽을 높이 쌓아도 모든 위험 상황을 예방할 수는 없다. 이러한 상황에 대응하기 위해서는 위협 요인을 가능한 빠른 시간 안에 탐지하고 대응할 수 있는 ‘네트워크상의 CCTV’인 지능형 통합 보안 시스템을 구축해야 한다”고 강조했다.

또한 그는 “이처럼 사이버 공격 방식이 점점 진화하고 있는 상황에서, 단일 보안 솔루션만으로 진화하는 APT 공격을 방어하는 데에는 여러 한계점이 존재한다. 보안의 특징상 999개의 공격을 아무리 잘 막아도 단 1개의 취약점 및 악성코드로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다. 보다 완벽한 방어를 위해서는 전방위적으로 보안 위협 요인을 탐지하고 대응이 가능한 통합적인 지능형 보안 시스템 구축이 반드시 필요하다”고 강조했다.

조남욱 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지