CISO의 편안한 밤을 위한 8가지 보안 솔루션

최근 발생한 3.20 사태를 비롯해 보안에 대한 기업의 관심이 최고조에 올라있는 가운데, 지난 4월23일 양재동 엘타워에서 사이버공격 트렌드와 기업 정보보호 대응 전략 등 최적의 방안을 제시하는 컨퍼런스가 개최돼 150여 명의 정보보안 관계자들로 성황을 이뤘다.
‘Security Solutions for CISO comfortable Night(CISO의 편안한 밤을 위한 보안 솔루션)’이라는 주제로 열린 이번 컨퍼런스에는 APT 대응, 모바일 아이덴티티 네트워크, 차세대 보안, VDI, 관리자 계정 및 권한관리 등 보다 다양해진 솔루션이 선보여 유익한 정보제공의 장으로 마련됐다.

“메일 첨부 파일에 의한 APT 대응 방안”

▲ 김용민 트렌드마이크로 영업본부 이사

이제까지의 보안 솔루션은 시그니처 기반의 백신이기 때문에 알려진 보안위협에 대해서만 방어가 가능하며 알려지지 않은 위협에 대해서는 상당히 취약하다. 그렇기에 이번 3.20 사태로 피해를 입은 기업들도 유수의 보안솔루션을 모두 갖추고 있었음에도 APT 공격 앞에 무력할 수밖에 없었던 것이다.
김용민 트렌드마이크로 영업본부 이사는 이에 대응하기 위해 네트워크 가시성을 확보하고 글로벌 위협 정보를 연계하며 서버 무결성을 검증할 수 있는 솔루션이 필요하다고 강조했다.
김 이사는 “트렌드마이크로의 APT 솔루션은 네트워크 가시성을 확보함으로써 내부로 유입되는 모든 파일에 대한 탐지, 분석이 가능하며, 기업의 환경에 맞는 맞춤형 샌드박스를 무제한으로 제공해 맞춤형 방어 솔루션을 구축하는 데 상당히 유용하다”고 설명했다. 또 그는 “트렌드마이크로는 실시간으로 클라우드 서버에 최신 글로벌 위협 정보를 업데이트함으로써 사이버 위협에 대해 빠르게 대응할 수 있다”는 한편 “서버 주요 파일에 대한 무결성 검증을 통해 서비스 중지 없이 최신 패치를 적용하고 있다”고 덧붙였다.

“VDI 활용한 효율적인 보안 데스크탑 환경”

▲ 김영일 굿모닝아이텍 클라우드컨설팅본부 상무

최근 업무환경이 모바일 또는 스마트 워크로 옮겨감에 따라 BYOD에 대한 요구가 높아지고 있는 추세다. 이러한 요구에 대응하기 위한 방안으로 데스크탑 가상화(VDI)가 떠오르고 있다. VDI는 PC, 스마트폰, 태블릿PC 등 여러 디바이스를 중앙에서 모두 관리할 수 있어 관리적인 측면에서나 보안적인 측면에서 우수하다.
김영일 굿모닝아이텍 클라우드컨설팅본부 상무는 “이제까지 모든 유출사고 원인은 인터넷을 통한 것이었다. 인프라 차원에서 해결책은 업무망과 인터넷을 분리하는 것이고 데스크탑 가상화를 통한 논리적 망분리가 합리적인 방법이 될 수 있다”고 설명했다.
기존 PC로는 업무환경에 접속하고, 그 안에 구축한 가상머신으로는 인터넷을 접속하도록 해 그 사이를 단절시켜 줌으로써 인터넷의 위협으로부터 업무망을 보호하는 방식인 셈이다. 또는 두 대의 제로클라이언트를 제공해 인터넷망과 업무망을 각각 주면 거의 물리적인 수준으로의 망분리도 가능하다는 것이 김 상무의 설명이다.
또 김 상무는 “굿모닝아이텍이 공급하는 VMware의 VDI 솔루션과 미래테크 OTP를 결합, 적용하면 보다 안전한 사용자 인증이 가능하다고 전했다.

“효과적인 관리자 계정 및 권한 관리”

▲ 박준성 투씨엘시스템 대표이사

박준성 투씨엘시스템 대표이사는 “48%의 데이터 누출이 권한 남용으로 인해 발생한다”고 설명하며 이러한 손실 예방을 위한 액세스 권한 관리의 필요성에 대해 강조했다.
박 대표이사에 따르면 관리자 권한 계정을 통한 보안 위협이 증가하고 있고 이로 인해 책임 소재에 대한 확립과 접근통제 이슈가 발생하고 있으며, 모든 계정 사용 현황 및 사용이력에 대한 감사추적/모니터링이 필요성이 대두되고 있다.
투씨엘시스템이 협력사로 있는 소프트와이드시큐리티가 국내 총판을 맡고 있는 서버계정관리 솔루션 ‘Cyber-Ark’는 중요/기밀정보를 관리하는 ‘SIM(Sensitive Information Management)’ 세션과 주요 계정 관리하는 ‘PIM(Privileged Identity Management)’ 세션, 그리고 주요 세션 관리를 위한 ‘PSM(Privileged Session Management)’ 세션으로 제품이 구성돼 있다.
그 중 PIM 스위트는 사용자의 역할과 권한에 따른 계정 관리, 중요 자산에 대한 접근정책 및 감사/통제의 중앙 관리가 가능하다. 또한 Ghost 계정, 휴면 계정 및 정책에 위배된 계정을 자동으로 탐지해 처리할 뿐 아니라 OTP 인증 및 다이렉트 커넥션 기능으로 패스워드 유출을 방지한다.
PSM 스위트는 모든 작업 내역을 실시간으로 기록, 저장, 관리하며 로그의 빠른 조회 및 이력관리가 가능하다. 또한 기업의 내부 정책에 따른 세분화된 권한을 부여할 수 있는 것이 특징이다.

“지능화·자동화된 차세대 보안 솔루션”

“최근 차세대 보안 솔루션들이 속속 등장하고 있지만 정작 차세대 보안으로서의 요건을 갖춘 제품을 찾기는 힘들다”

▲ 정성준 웨이브텍코리아 기술지원부 차장

정성준 웨이브텍코리아 기술지원부 차장은 가트너의 정의를 차용하며 “차세대 보안솔루션은 패턴에 기반한 ISP 기능뿐 아니라 애플리케이션에 대한 인지기능을 갖고 있어야 모든 애플리케이션 단위로 세밀한 정책을 줄 수 있는 차세대 방화벽 기능을 포함하고 있어야 한다”고 강조했다. 정 차장은 또 “소스파이어는 이 두 가지 기능을 한 제품에 지니고 있는 유일한 회사”라고 설명했다.
소스파이어는 2만5000여 개의 시그니처를 보유하고 있으며, 탁월한 가시성을 활용해 네트워크 상황이 변하고 실시간 위협정보들이 업데이트될 때마다 그에 맞는 정책을 자동으로 만들어준다.
정 차장은 “보안위협이 진짜 위협적인 것인지 아니면 의미가 없는지 일일이 분석해보지 않으면 알 수 없는데, 이에 대해 소스파이어는 플래그로 실제 보안위협을 표시해준다”며 “이런 식으로 침입로그에 대한 최적화된 커스터마이징을 하게 되면 실제 담당자가 관리해야 하는 이벤트는 전체의 1%에 불과하다”고 설명했다.
또 그는 “기존 1세대 방화벽 제품들이 차세대라는 이름으로 리패키징돼 등장했으나 기능을 하나식 추가할 때마다 성능 저하가 나오는 것이 사실”이라고 지적하면서 소스파이어 제품은 어떠한 성능 저하도 일어나지 않는다고 강조했다.

“고도화된 위협 탐지 및 대응 위한 네트워크 포렌식”

▲ 조남용 한국이엠씨컴퓨터시스템즈 보안사업본부 차장

이제까지의 보안 활동은 이전에 발생한 공격을 막을 수 있는 방법들을 적용하는 식으로 이뤄져왔다. 그러나 해커는 이미 노출된 방법은 다시는 사용하지 않는 법이다. 게다가 최근에 일어나는 해킹은 자동화된 툴로 공격하는 것이 아니라 최고로 고도화된 사람이 어딘가에서 창조적인 방법으로 공격하기 때문에 기존의 보안솔루션으로는 한계가 있다는 것이 전문가들의 공통적인 의견이다.
조남용 한국이엠씨컴퓨터시스템즈 보안사업본부 차장은 “APT 공격은 기존의 알려진 시그니처에 대한 방어로는 막을 수 없으며 모든 트래픽에 대해 새로운 취약점과 새로운 패턴을 탐지해내지 않으면 막을 수 없다”며 “이를 위해서는 네트워크 포렌식이 필요하다”고 주장했다.
한국EMC가 선보이는 네트워크 포렌식 솔루션 ‘넷위트니스(NetWitness)’는 모든 네트워크 트래픽을 저장하며 이를 실시간으로 패킷 단위가 아닌, 세션 단위로 모두 재조립하는 한편, 재조립된 세션들의 통신내용, 프로토콜, 행위, 파일타입 등 모든 metadata에 의한 고속검색이 가능하다. 자동으로 재조립이 되기 때문에 몇 번의 클릭만으로 네트워크를 훤히 들여다볼 수 있다는 것이 이 제품의 강점이다.
조 차장은 “정책 정의-탐지-통제-모니터링/분석의 보안정책 4단계 과정을 도와주는 것이 바로 네트워크 포렌식”이라고 설명하며 “또한 통합로그관리와 연계 운영하는 경우 로그와 트래픽 분석을 통합해 완벽한 가시성을 확보할 수 있다”고 전했다.

“시그니처 방식+평판 기능, 강력한 SWG 보호기술”

▲ 최재우 시만텍코리아 SE본부 차장

최재우 시만텍코리아 SE본부 차장은 “최근 사이버 보안 위협의 양상이 이전과는 다른 모습을 보이고 있다”고 분석하고 있다.
그에 따르면 △국가 주도, 또는 국수주의자들에 의한 사이버공격이 증가하고 있으며, △웹사이트에서의 다운로드를 통한 공격이 증가할 것으로 예상된다. 또 △소셜미디어가 보안전쟁의 주 무대가 되고 있으며 △클라우드 서비스 제공업체를 겨냥한 공격이 증가하고 있고 △모바일 악성코드가 심각한 보안 문제로 대될 전망이다. 뿐만 아니라 피싱 공격이 보다 지능화되고 정교화될 것으로 보인다.
최 차장은 이러한 고도화된 사이버공격에 대응하기 위해서는 사람, 프로세스, 기술이 모두 복합적으로 융합돼야 막을 수 있다고 주장한다.
그는 기업 보안 담당자가 APT 솔루션 도입 시 고려해야 할 요소로 △전통적인 시그니처 방식이 아닌 신종 변종 악성코드를 탐지 및 차단할 수 있는가 △파일 평판에 대한 DB를 얼마나 보유하고 있는가 △악성 url, IP에 대한 정보를 얼마나 보유하고 있는가 △관리자 편의성 △오탐지, 미탐지 발생빈도 △후속조치 지원이 얼마나 잘 되는가 등이라고 소개했다.
최 차장은 “시만텍의 SWG(시만텍 웹 게이트웨이) 보호기술은 악성 도메인 및 url/IP를 차단하며 기존 시그니처 방식뿐 아니라 평판 기능을 같이 이용하는 것은 물론 IP 스캐닝 등 이상 활동의 봇넷을 탐지해 차단한다”고 설명했다.
최 차장은 “보안은 사슬이다. 사슬의 가장 약한 고리만큼만 안전하다”고 한 브루스 슈나이어의 말을 인용하며 “보안 관리자들은 많은 보안 솔루션을 다루느라 고생이 많지만, 다시 한 번 생각해야할 부분은 우리가 갖고 있는 사슬의 가장 약한 부분이 어디이며 그 부분을 어떻게 강화해 나가야 할 것인가 이다”라고 조언하며 세션을 마무리했다.

“접근제어 기반의 BYOD 솔루션”

▲ 한유석 에어큐브 사업기획본부 상무

이제 BYOD는 거스를 수 없는 대세임이 분명하다. BYOD는 사용자들에게는 빠르고, 간편하며 기업 입장에서는 업무 단말에 대한 도입 및 유지비용을 낮춰주는 비용절감 효과가 있다. 실제로 인텔社의 경우 BYOD를 1년간 허용하고 부분적으로 지원한 결과 직원1인당 57분의 생산성 증가의 결과를 나타내기도 했다.
그러나 반면 BYOD는 정보의 유출 위험과 단말 도난 분실, 사용자 자산에 대한 통제권 확보 및 관리책임 범위로 인한 문제들이 존재해 기업이 쉽게 도입하기 힘든 측면이 있는 것도 사실이다.
이에 에어큐브는 접근제어 기반의 BYOD 솔루션을 선보이고 있다.
한유석 에어큐브 사업기획본부 상무는 “에어큐브 BYOD 솔루션은 직원 스스로 관리하므로 별도의 관리 부담이 없는 것이 큰 장점”이라며 “네트워크 접속 과정에서 등록하도록 유도함으로써 사용자 교육 부담이 없으며 단말의 정보가 접속과정에서 자동 수집되므로 사용자 개입이 최소화된다”고 설명했다.
또 그는 “누가, 언제, 어디서, 어떤 단말을 사용하는지 실시간 확인이 가능하며 다양한 보안 솔루션과 연계해 IP와 ID에 근거한 각종 보안정책 강제가 용이하다”는 한편 “마지막으로 사용자의 권한에 따라 분리 네트워크에 자동 할당되며 IP 및 네트워크 기반의 보안 정책 적용이 용이한 것이 특징”이라고 말했다.

“안전하고 보안성 높은 모바일 아이덴티티 네트워크”

▲ 이동협 마이크로스트래티지 컨설턴트 차장

이동협 마이크로스트래티지 컨설턴트 차장은 “패스워드는 사이버 공격에 대한 충분한 방어 수단이 아니다”라는 의견을 제기하며 ‘어셔 모바일 아이덴티티 네트워크(Usher Mobile identity Network’를 통한 인증 및 신원확인을 대안으로 소개했다.
마이크로스트래티지의 어셔 모바일 아이덴티티 네트워크는 신원 발급자가 ‘어셔 월렛(Usher Wallet)’이라는 애플리케이션을 통해 어셔 모바일 ID 네트워크에 접속, 다양한 범위의 IT 형태를 생성한 후, 이를 통해 ID 인증, 시스템 접근, 문서 사인 등에 사용할 수 있다.
어셔는 120초 동안 유효한 어셔 코드를 입력해 접근하거나 QR코드인 어셔 스탬프를 스캔함으로써 접근하는 OTP 방식으로 시스템에 접근할 수 있으며 이를 통해 잠긴 문을 연다던지 하는 물리적 접근 통제 또한 가능하다.
어셔는 사용자에 의해 패스워드가 유지되거나 인터넷을 통해 전송되지도, 애플리케이션에 패스워드가 저장되지도 않으므로 패스워드가 노출될 수 있는 모든 단계를 제거해 안전하다. 또한 어셔를 통한 시스템 접근은 언제, 어디서, 누구에 의해 요청됐는지 모두 기록되므로 사용자 관리도 소월하다.
이 차장은 “문서 파일에 대해 어셔 배지로 서명을 함으로써 전송 후에도 신뢰성 있는 서명이 가능하다”며 “또한 공유된 파일에 대한 서명자를 확인하고, 권한이 있는 사람에 한해 문서 조회도 가능하다”고 설명했다.