▲ 웹센스 이상혁 지사장

APT(Advanced Persistent Threat)가 기승이다. 기업 네크워크에 누가, 몇 명이, 언제, 어떻게 왔다가 갔는지 모른다. 어떤 정보가 새어나갔는지도 모른다. 고객정보와 기밀이 빠져나가면 대형사고로 이어지기 마련.
웹센스는 차세대 방어책으로 ‘킬 체인’을 소개, 누가 어디로 무엇을 이동하는지 실시간으로 치밀하게 분석해 APT를 사전에 차단한다.

APT 지속적이고 은밀
APT란 해커가 특정 기업이나 조직의 네트워크에 지속적으로 가하는 공격을 뜻한다. 지능형 지속 공격이다. 특정 조직 내부 직원의 PC를 장악한 뒤 그 PC를 통해 내부 서버나 데이터베이스에 접근한다. 기밀정보 등을 빼오거나 파괴하는 것이 APT의 공격 수법이다. APT의 특징은 바로, 지속성과 은밀함이다.

기업들은 대부분 보안 솔루션을 최소 10개 내외로 깔고 있다. 웹센스 이상혁 지사장은 “하나의 하드웨어에 여러 개의 보안 솔루션이 깔려 있는 것도 문제이다. 여러 제품들은 서로 실시간으로 커뮤니테이션을 못한다. 일반적으로 로그를 통합해서 분석한다. 즉 CCTV와 같아서 사고가 터지고 나서야 안다”며 “APT는 실시간 전체적 동향 정보가 가장 중요하다“고 강조했다.

이동 상황 알면 게임은 달라진다
이 말은 침입하는 APT의 처음부터 끝까지의 동선과 데이터 이동 상황을 알면 게임은 달라진다는 뜻. 이상혁 지사장은 지능형 침입자의 동향을 7단계 전략으로 나눈 ‘킬체인’을 설명했다. 킬체인은 ①정찰(Reconnaissance), ②유인(Lures), ③리다이렉트(Redirects), ④익스플로이트킷(Exploit Kits), ⑤드로퍼 파일(Dropper Files), ⑥콜홈(Call Home), ⑦데이터 유출(Data Theft)로 분류했다.
“최상은 APT의 이러한 흐름을 알고 하나로 막을 수 있는 것이다” 이상혁 지사장은 덧붙여 “APT는 usb, 이메일, 사람 3가지 방법으로 들어온다. 그러나 나갈 땐, 오로지 웹이다. 기업들은 USB와 사람으로 들어오는 방법을 먼저 막고 있다. 웹을 지켜야 한다”고 했다.

페이스북과 파트너십을 맺고 있는 웹센스는 페이스북에 올라오는 모든 단축 링크들의 유해 여부를 분석한다. 전 세계 페이스북 사용자들에게 경고창을 보내 유해정보를 미리 알려준다.

실시간으로 콘텐츠 상관관계 분석
웹센스의 APT 식별법은 APT를 막기 위해 실시간으로 콘텐츠별 상관관계를 분석한다. 처음부터 마지막까지의 전체 상황을 탐색한다. 즉 누가 어떻게 어떤 데이터를 무슨 방법으로 누구에게 보내느냐를 파악해낸다. 놈(?)의 가방에 뭐가 있는지, 어디로 이동 중인지 실시간으로 알아내는 것.
예를 들면, 침입자가 블로그 주소를 링크시켜 놓았다 하자. 웹센스는 대표 도메인만 분석하는데 그치지 않는다. 링크주소 안에 어떤 내용을 포스팅 했는지까지 식별, 파악한다. 따라서 APT 오탐은 줄었고 정확성은 높아졌다.
이 지사장은 이 기술을 위해 6년 간 공을 들였다고 했다. 더불어 그때 그때 고객이 원하는 이슈별로 최적화 시켜서 APT를 차단한다. 웹센스 고객들은 APT 일일리포트로 받아 볼 수 있다. 문자로도 받는다.

이상혁 지사장은 “실시간 컨텐츠를 분석하는 기술은 웹센스만 가능하다”고 했다. 웹센스는 매일 50억 개의 온라인 콘텐츠 분석하고 고객에게 초당 2.9건의 업데이트 제공하고 있다.