보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
위협 인텔리전스, 엔드포인트 보안의 차원을 높이다
사이버 위협, 그리고 보안 패러다임의 변화
사이버 위협은 점차 다양한 방식으로 그리고 고도화된 방법으로 계속되고 있습니다. 무엇보다 공격자들은 단순 공격을 위한 공격이 아닌, 일종의 목표와 방향을 가진 끈질긴 공격을 수행하고 있습니다. 공격의 배후에는 분명 인간이 존재하긴 하나, 과거와 달리 공격자들은 더이상 한 개인이 아닌 단일 목표로 움직이는 전문적인 집단입니다. 때문에 복잡한 대규모 사이버 위협의 대응이 쉽지 않아진 것이 사실이지만, 그 시발점은 분명 악성코드라는 점은 간과할 수 없는 부분입니다.
현재 주목해야 할 부분은 '알려지지 않은 위협'이며, 기존의 수동적인 탐지와 대응만으론 알려지지 않은 위협의 존재 여부조차 알아내기 어렵다는 것은 누구나 동의하는 사실이 되었습니다.
이에따라 전세계적으로새로운 기술과 ‘차세대’를 앞세운 고도화된 보안 솔루션들이 앞다투어 등장했습니다. 인공지능을 활용한 보안 솔루션부터 위협 헌팅(Threat Hunting), 위협 인텔리전스(Threat Intelligence)와 침해정보(IoC)가 화두에 오른지 수 년 되었고, 이른바 보안 업계는 패러다임 변화의 정점에 서있다고 볼 수 있을 것입니다.
보안 기술의 발전, 하지만 효율성은?
이처럼 위협이 점점 더 고도화되고 예상하지 못한 신.변종 악성코드들이 지속적으로 속출하는 가운데, 보안 기술도 발전하여 보안 이벤트의 수집과 이상행위의 분석을 통한 자동화된 악성 판별이 수월해졌습니다. 하지만 과연 적절히 수집되고, 적절히 활용되고 있다고 볼 수 있을까요?
수집된 보안 이벤트들, 즉 빅데이터를 기반으로 한 위협 판별은 분명 보안에 한발짝 더 다가간 선택이었지만, 결국 완벽하진 않았습니다. 기업들은 여전히 사이버 침해사실을 파악하는데 몇 달씩 걸린다고 합니다. 데이터 수집이 잘못되었다기 보단, 데이터 안에 위협에 대한 지표가 분명 존재하는데도 불필요한 데이터들의 파도에 함께 휩쓸려간 것입니다.
사이버 위협에 대해 최대한 많은 것을 담으려 하다 보니 정작 중요한 실마리는 놓치게 된 게 아닐까요? 만약 모든 보안 이벤트와 트래픽 수집이 가능하더라도, 그리고 악성으로 판별했더라도, 고도화된 위협을 상세히 분석하는데 들어갈 비용과 인력 부담을 감당할 수 있는 기업이나 기관은 많지 않을 것입니다.
한국정보보호산업협회(KISIA)에 따르면 "2017년 사이버보안 예산은 3,508억 원으로 지난해보다 3.8% 늘어났지만, 국가예산의 0.088%에 불과하며, IT 예산대비 6.78% 수준이다." 라는 조사 결과가 있었습니다.
또한 2017년 시스코 연간 보안 리포트에도 기업의 보안 담당자는 매일 평균 5,000개 보안 경보를 받지만, 절반 정도의 이벤트만 분석되며, 그 중 3분의 1정도는 정상적인 행위를 오탐한 것이며 단 8%만 대응한다고 합니다. 즉 보안 담당자의 대부분의 작업은 불량 정보에 의한 경보 피로로 낭비되고 있으며, 수집된 정보들을 100% 활용할 수 있는 리소스와 인력조차 부족한 것이 기업 보안의 현실적인 고민일 것입니다.
보안 정보에도 ROI, 즉 투자대비 효율성을 따져야 합니다. 예산이 제약되는 현실도 고려해야 함은 물론이며, 보다 실질적이고 실효적인 대응을 위해 취할 것은 취하고 버릴 것은 버리는, 사고 방식의 전환이 필요한 시점입니다.
차별화된 위협 인텔리전스가 필요하다. 왜?
'위협 인텔리전스(Threat Intelligence)'를 규정하는 목소리는 여러가지 이지만, 분명한 것은 위협 인텔리전스란 정적인 개념보다는 동적인 개념입니다. 위협 인텔리전스라고 일컬어지는 정보들이 담고있는 침해지표, TTPs(Tactic, Technique, Procedure, 전술, 기법, 절차)들은 공격의 방향성 혹은 흐름, 그리고 연관성을 포함해 장기간 축적된 히스토리를 포함하고 있는 정보 자산이라고 볼 수 있습니다.
신규 보안 위협과 점점 고도화되는 지능형 보안 위협을 효과적으로 막기 위해서는 엔드포인트에서의 빠른 위협 탐지와 대응이 뒷받침되어야 합니다. 때문에 엔드포인트 보안 위협을 지속적으로 탐지 및 모니터링하고, 종합 관리하는 EDR(Endpoint Detection & Response)과 EPP(Endpoint Protection Platform) 체계가 등장하게 되었습니다.
이스트시큐리티의 강력한 보안 체계는 Threat Inside를 중심으로 알약 엔드포인트 보안, 시큐리티대응센터(ESRC)와 유기적으로 결합되어 있습니다.
알약을 중심으로 한 '엔드포인트 보안 솔루션들은 곧 센서'이며, 1,600만개 이상의 센서들로부터 수집된 라이브 데이터들을 전문 보안 분석 인력 풀을 가진 ESRC가 분석합니다. ESRC의 인텔리전스와 악성코드 분석 노하우를 집약한 '인텔리전스 리포트', 그리고 본사의 연구인력이 자체 개발한 강력한 딥러닝 알고리즘을 기반으로한 A.I. 분석과 정적, 동적, 네트워크, 평판 분석 등 '다차원 분석 엔진 결과'가 Threat Inside를 통해 함께 제공됩니다.
기존의 보안 솔루션들이 위협을 탐지하고 차단하는 데 중점을 두었다면, Threat Inside가 결합된 EDR 체계는 위협의 식별과 분류를 통해 한층 더 강화된 위협 대응을 제공합니다.
APT(Advanced Persistent Threat) 공격에 대한 Threat Inside의 대응은 이렇게 진행됩니다. 사이버 위협의 각 단계별로 이용되는 악성코드가 다른 상황에서, 기존 EDR 솔루션은 악성코드 배포 단계의 '드롭퍼'를 개별 악성코드로 인식하고 탐지/차단하여 대응이 종료됩니다. 하지만 추가적인 대응이 이루어 지지 않는 사이, 공격 그룹의 수차례 드롭퍼를 이용한 공격은 이후에도 계속되었고, 탐지하지 못한 드롭퍼를 통해 다음 단계인 백도어 설치 단계까지 진행되게 됩니다.
이에 반해, Threat Inside는 초기 탐지 시점에서 해당 드롭퍼가 사실은 APT 공격에 사용되는 악성코드임을 식별하고, 이 위협이 어떤 유형인지 분류합니다. 기업은 해당 공격에 사용되는 C&C(명령 및 제어) 서버 또는 유포지 정보를 통해 차단 정책을 적용시키거나, 관련 공격 그룹이 사용하는 취약점을 패치하는 등 공격 그룹이 활동을 지속할 수 없도록 대응할 수 있었을 것입니다.
이스트시큐리티의 위협 대응, Threat Inside를 중심으로
이러한 강화된 위협 대응을 위해서는 악성코드의 실체를 식별해 내고, 식별한 악성코드와 관련된 위협 인텔리전스를 활용할 수 있어야 합니다. 지능화된 공격들은 이미 기존의 보안 솔루션들을 우회하고 있으며, 사람의 힘으로 그 속도를 따라가기가 어려워졌습니다. 기업 및 기관들은 공격 발생의 이전, 과정, 사후의 전반적인 보안 가시성을 통해 위협에 대응하고자 하기 때문에, EDR과 EPP 체계에서도 위협 인텔리전스가 곧 핵심이 될 수 밖에 없습니다.
Threat Inside의 위협 인텔리전스는 다시 알약 엔드포인트 제품군에 반영됩니다. 이스트시큐리티의 위협 대응 선순환 사이클은 확장된 보안 가시성과 고도화된 대응을 제공함으로써 엔드포인트 보안 체계 전반을 강화시킵니다. 이는 단순 탐지/차단으로 대응이 종료되는 기존 솔루션들과 Threat Inside의 큰 차별점입니다.
확실한 위협 인텔리전스, 양질의 위협 인텔리전스가 엔드포인트 보안 가시성을 좌우합니다.