▲ 고광수 안랩 어플라이언스사업본부 상무

“국가와 기업에게 치명적인 타격을 주는 APT 공격이 매 분기마다 일어나고 있다. 지금 이 자리에 있는 각 계의 CIO, CISO들도 추석 무렵 고향에 내려가는 길이 어려워질 수 있다”

고광수 안랩 어플라이언스사업본부 상무는 제 206차 CIOCISO 조찬 세미나를 통해 최근 보안사고에 대한 경각심을 일깨웠다. 그는 “모든 기업과 기관이 망분리를 하고, APT 솔루션을 보유하고 있는데, 해킹방어에 실패한 사례가 많다”며 “이번 세미나를 통해 APT 공격이 어떻게 이뤄지며, 실제로 방어하고 국가기관과 공조한 사례를 통해 향후 기업이 대비할 수 있는 방법을 모색하고자 한다”고 말했다.

양광수 기자 ksyang@ciociso.com  

성능과 정확함, 두 마리 토끼를 잡는다. 

강양수 안랩 전략제품사업팀 부장은 발표를 통해 APT란 기존의 악성코드를 이용한 공격과 3가지에서 다른 특징을 가진다고 말했다.
APT는 기존 본안 제품을 우회하도록 만들어진 알려지지 않은 새로운 형태의 악성코드(Unknown 파일)를 이용하며, 무작위적인 공격이 아닌 기업 관리자나 주요 담당자를 노리는 것이 특징이다. 이렇게 설치된 악성코드는 수개월에서 길게는 수년에 걸쳐 기업의 정보를 유출하고 시스템을 파괴하는 공격을 지속한다.

▲ 강양수 안랩 전략제품사업팀 부장

강 부장은 “과거에는 악성코드가 실행형 파일만 이용해 사용자가 첨부파일에 대한 의심이 가능해 악성코드에 의한 피해를 막을 수 있었다”며 “지금은 실행파일보다는 워드파일, PDF 파일 등을 이용한 비실행형 파일(non-PE)을 이용, 사용자에게 정상적인 파일을 보여줌으로써 안심을 시킨다”고 말했다.
APT 방지 솔루션은 실시간 탐지와 분석을 위해 빠른 성능이 요구한다. 따라서 Unknown 파일은 물론 기존 코드까지 분석할 수 있는 노하우가 필요하다. 안랩의 트러스와처는 시그니처 기반의 DB를 블랙·화이트리스트관리하고 악성 여부를 진단한다. 걸러진 Unknown 파일에 대해서 가상 머신에서 분석, 탐지함으로써 성능을 높이고, 오탐율을 낮췄다.
강부장은 “트러스와처는 점차 진화하는 APT 공격을 방어하기 위한 최적의 선택”이라며 “기업은 빠른 성능과 정확한 진단이라는 두 마리 토끼를 동시에 잡을 수 있다”고 말했다.

멀티 레이어드 시스템으로 보안강화
“보안은 기본적으로 뚫릴 것을 전제로 이뤄져야 한다. 완벽한 보안은 있을 수 없다”

▲ 김기영 안랩 융합제품개발실 실장

김기영 안랩 융합제품개발실 실장은 기업이 보안에 바라보는 관점을 바꿔야 한다며 발표를 시작했다. 그는 보안제품은 언제든지 뚫릴 수 있다고 말했다. 지난 6.25 공격 때도 4개의 악성코드가 이용됐으나, 안랩은 2개의 악성코드만 즉시 탐지했다. APT 관점에서는 나머지 2개의 악성코드 탐지가 실패한 것이다.
김 실장은 이처럼 단일 보안제품만으로는 기업을 지키는 데 한계가 있다며, 보안아키텍처를 구조적으로 분리할 필요가 있다고 말했다. 멀티 레이어드(Multi-layered)를 통해 한 가지 방법으로 방어하던 것과 달리 A레이어가 방어에 실패하면, B레이어가 방어하는 시스템으로 APT를 효과적으로 대처할 수 있다고 전했다.
특히 안랩은 실시간 해킹에 무력한 기존의 ID/암호 또는 인증서 방식 대신 기기인증과 사용자인증를 통해 사용자의 가용성을 높이고, 입력값보안 및 원격제어차단 기술을 접목하여 보안을 강화했다. ID/암호, OTP 등 계정정보가 실시간으로 탈취당해도, 다른 보안기술을 적용해 물리적으로 APT방어가 가능하다.
김 실장은 “이제는 한 가지의 보안 솔루션만으로 기업의 중요정보를 보호할 수 없다”며 “보안 담당자는 다양한 방법을 통합해 중요정보를 원천적으로 보호하는 관점의 변화가 필요하다”고 말했다.
한편 이번 세미나는 지난 7월 4일, 삼성동 코엑스인터컨티넨탈호텔에서 각 계의 CIO, CISO를 대상으로 진행됐다.