보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Spotlight] AhnLab ISF 2011, APT 대응에 자신감…’왜?’

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2011-11-01

올해 국내외에서 굵직한 보안 사고들이 잇따라 발생하면서 지능형 타깃 위협 'APT(Advanced Persistent Threat)' 공격이 주목 받고 있다. APT 공격의 가장 큰 특징은 오랜 시간을 들여 집요하게 공격 대상의 취약점을 찾아내거나 공격 루트를 찾아내는 것으로, 기존과 같이 단일 솔루션 단위로는 이에 대응하기가 사실상 불가능하다. 한편 개인정보보호법의 시행으로 컴플라이언스 이슈에 대한 기업의 고민도 깊다.

 

이에 안철수연구소는 APT를 비롯한 최근 공격 기법에 대한 이해와 해법을 한눈에 확인하고 컴플라이언스 이슈에 효과적으로 대응할 수 있는 방법을 제시하는 통합보안 세미나 AhnLab ISF(Integrated Security Fair) 2011을 개최했다. 1,000여명이 마지막 발표까지 세션을 자리를 가득 메우며 보안 이슈와 해법에 대한 뜨거운 관심을 확인할 수 있었던 그 현장을 지금부터 함께 살펴보자.

 

 

▲ 안철수연구소는지난 10월 20일, 융합보안 전략 세미나 ISF 2011을개최했다.

 

안철수연구소가 지난 10월 20일, 서울 삼성동 코엑스 인터컨티넨탈호텔에서 ‘APT 현황과 대응 방안’을 주제로 융합보안 전략 세미나 ‘AhnLab Integrated Security Fair 2011(이하 ‘ISF 2011’)’을 개최했다. 이날 행사는 APT를 비롯한 나날이 고도화, 지능화되고 있는 위협과 개인정보보호법으로 대표되는 기업의 컴플라이언스 이슈에 대한 구체적인 정보와 대응 전략을 확인할 수 있는 자리였다. 특히 APT와 같은 최근의 위협은 한 가지 솔루션만으로는 대응할 수 없다는 관점에서 이번 ISF 2011에는 안철수연구소의 솔루션뿐만 아니라 한국IBM과 인텔 등 전문 업체들의 솔루션과 정보도 함께 제공됐다.


본격적인 행사에 앞서 안철수연구소 김홍선 대표이사는 감사 인사를 통해 "최근 대규모 보안 사고가 잇따라 발생하면서 보안 위협에 대한 경각심이 높아진 탓인지 많은 분들이 오셨다"며 "기업 내 보안과 관련한 다양하고 유익한 정보를 가져가실 수 있을 것"이고 말했다. APT 시연과 대표이사의 기조 연설을 비롯해 3개 트랙으로 나뉜 9개의 세션 발표 등, 총 11명의 발표자들이 전하는 내용에 금융, 통신, 교육, 유통 업계 IT 관리자 및 보안담당자 등 1,000여명의 눈과 귀가 집중됐다.


APT 시연으로 지능형 타깃 위협의 정체를 밝히다

첫 순서로는 ‘고도화된 보안 위협, APT(Advanced Persistent Threat)’라는 주제로 안철수연구소 시큐리티대응센터 이호웅 센터장의 발표와 시연이 진행됐다. 시연에 앞서 이호웅 센터장은 “직관적으로 보여주기 위해 시연을 준비했다”며 “다만 APT는 공격이 이루어지기까지 장기간에 걸쳐 공격 환경 확보와 공격 준비가 이루어진다”고 전제했다.

 

▲ 안철수연구소 시큐리티대응센터 이호웅 센터장은 APT에 대한 직관적인

이해를 돕기 위한 시연을 진행해 1,000여명의 눈을 사로잡았다.

 

기업의 CFO와 경쟁 업체의 의뢰를 받은 해커가 등장해 진행된 APT 시연이 시작되자 장내의 집중도가 높아졌다. 집요하게 타깃의 인터넷의 행적을 추적한 해커가 사회공학적기법을 통해 타깃의 PC에 접근해 모든 폴더와 문서, 레지스트리까지 접근, 타깃이 원하는 문서에 접근할 때까지 기다렸다가 마침내 목적을 달성 한 후 피해자의 시스템을 파괴시켜 공격의 흔적을 말소하는 일말의 과정이 마치 영화처럼 펼쳐졌다.


시연 후에는 APT의 흐름을 간단히 요약하며 "가장 무서운 것은 명확한 공격 대상을 찾기 위해 30~40만 명이 사용하는 자동 업데이트 서버를 장악하여 악성코드를 배포하고 확산시킨다는 점"이라며 “이에 "효과적으로 대응하기 위해서는 악성코드 감염 전에 감지하고 방어하는 것이 가장 중요하다"고 설명했다. 또한 "공격 징후를 발견한 후 대응하면 그 영향이 어디까지인지 파악하기 어렵다"고 지적하며 "조직 내 모든 파일에 대한 가시성 확보가 중요하다"고 강조했다.


사이버 공간은 지금 전쟁 중
 

김홍선 대표는 기조연설을 통해 “사이버 공간은 지금 전쟁터”라고 표현하며 “공격 지점도 변화하고, 다양하고 입체적인 공격 기법들이 치밀하게, 정적인 것이 아니라 타임라인에 따라 시간차를 두고 동적으로 변화하고 있다”고 설명했다. “악성코드 자체도 역동적(dynamic)하게 변화하고 있어 대응도 역동적으로 변화해야 한다”고 강조하고 앞선 이호웅 센터장이 언급했던 것과 관련해 "가시성이 중요하다는 것은 사이버 공간을 돌아다니는 엄청난 양의 데이터를 일부가 아니라 전체를 볼 수 있는, 즉 데이터의 신뢰성(accountability)을 확보한다는 것"이라고 설명했다.


이어 APT 종합 대응 시나리오를 설명한 김홍선 대표는 “APT는 기업의 내부적인 인력만으로는 대응하기 어려운 것이 사실”이라며 “고도화된 기술과 서비스가 유기적으로 맞물려 대응해야만 한다”고 말했다. 이와 관련해 “안철수연구소는 공격 루트를 요소 요소마다 막을 수 있는 솔루션과 기술을 갖추고 있기 때문에 APT에 대한 대응이 가능하다”며 “클라우드 컴퓨팅 기반의 ASD(AhnLab Smart Defense)기술과 엔드포인트, 네트워크의 핵심 기술을 갖춘 안철수연구소가 솔루션과 서비스로 전방위적으로 대응해드릴 것”이라고 전했다. 또한 “ISF 2011에서 준비한 다양한 세션을 통해 APT 대응에 필요한 솔루션을 상세하게 만나보실 수 있을 것”이라는 말로 관심을 끌었다.


한편 김홍선 대표는 “기업의 보안 담당자, 실무자들이 할 수 있는 것에는 한계가 있다”고 지적하고 “사업 자체가 IT와 관계되어 있다. IT가 잘 운영되려면 보안이 가장 중요하다. 결국 보안이 사업의 핵심이다. 그러므로 보안은 CEO의 일”이라고 강조했다. 또한 “개인화 등 사회적 영향으로 개인정보보호법 등 컴플라이언스 이슈가 증가할 것”이라고 예측하고 “IT의 현재와 미래는 어떻게 변해갈 것인가 진지한 고민이 필요하다”고 조언했다.


APT 대응, 컨버전스가 답이다!


트랙 1은 <시큐리티 컨버전스(Security Convergence): 고도화된 보안 위협, APT 대응 방안’이라는 주제로 강연이 펼쳐졌다. 이 트랙에서는 APT 공격에 대응하기 위한 보안 전략과 안철수연구소의 융•복합 보안 솔루션이 소개되었다.

 

첫 번째 강연에서는 APT 공격과 엔드 포인트 레이어에서의 방어 전략을 설명하고, 공격 루트로 활용될 수 있는 취약점 관리의 중요성을 강조했다.이에 따라 제품마케팅팀 정진교 팀장은 공격자에게 악용되는 취약점을 관리해주는 솔루션인 APC Appliance Patch Management를 소개했다. 이 제품은 다양한 OS 및 오피스 제품군에 대한 패치는 물론 V3제품군과 통합 관리를 제공함으로써 하나의 관리 제품으로 백신과 패치 관리를 동시에 제공하는 편의성을 제공한다.


또한 산업용 시설에 최적화된 안철수연구소의 보안 제품인 안랩 트러스라인도 소개되었다. 트러스라인은 화이트리스트, 블랙리스트, 그리고 네트워크 및 매체 제어 기술이 융합되어 산업시설에서의 완벽한 보안을 제공하는 것이 특징이다. 정진교 팀장은 “IT 시스템 점점 발전하고 있으며 목적성에 따라 다르게 활용되고 있다”며 “시스템 운영 목적과 환경에 따른 보안 전략 수립이 필요하다”고 설명했다.


두 번째 강연의 주제는 ‘PC 기반 가상화 기술을 이용한 효율적 망 분리’로, 제품마케팅팀 권진욱 차장이 안철수연구소의 망 분리 솔루션 ‘안랩 트러스존(AhnLab TrusZone)’을 소개했다. 트러스존은 망 분리에 가장 적합한 방식인 애플리케이션 레벨의 PC 가상화 기술과 망 분리 전용 장비를 사용한 신개념의 망 분리 솔루션이다. 특히, SW와 HW가 융합된 망 분리 방식을 구현해 구축 비용이 저렴하면서도 높은 보안성과 편의성을 제공한다.


이 강연에서는 다양한 망 분리 솔루션의 장•단점과 도입 시 고려해야 하는 사항 등이 소개되어 망 분리 솔루션에 대한 청중들의 이해를 도왔다.
권진욱 차장은 “외부로부터의 공격이 정교할수록 인터넷 망과 업무 망을 분리하는 망 분리에 대한 관심이 높아지고 있다. 하지만 이것으로 완전한 것은 아니다. 망 분리 솔루션 도입과 함께 철저한 사용자 교육이 반드시 동반되어야 한다”고 강조했다.

 

트랙 1의 마지막 강연자로 나선 제품 마케팅팀 김우겸 과장은 “APT 공격 대응을 위해서는 악성 파일이 유입되는 시점부터 대응하는 것이 중요하다”고 강조했다.이에 따라 안철수연구소의 클라우드 보안 인프라와 좀비 PC 대응 솔루션인 트러스와처의 사전 대응 프로세스에 대해 자세히 소개했다. 트러스와처는 7•7 DDoS 대란과 3•4 DDoS 공격 때 대응 역량과 기술력을 세계적으로 인정받은 안철수연구소의 종합적 DDoS 대응 플랫폼을 보안 제품화한 것이다. 안철수연구소의 클라우드 기반 악성코드 분석 시스템인 ASD를 활용하고 있어 악성 파일 탐지 정확도가 매우 높다.


김우겸 과장은 “좀비 PC 대응 솔루션 분야에서 후발주자라 불리할 수도 있겠지만, 오히려 기존 제품들의 단점을 잘 알고 있고 이를 넘어설 수 있는 개선점을 적용시켰기 때문에 가장 강력한 기능을 제공하는 최고의 제품이다”라고 자신했다.

 

 

개인정보보호법의 해법을 찾아라

 

트랙 2는 <시큐리티 컴플라이언스(Security Compliance): 개인정보보호법 시행에 따른 정보보호 대응전략>이라는 주제로 진행됐다. 최근 개인정보보호법이 기업의 핫이슈로 대두되고 있는 상황에서 트랙 2에서는 개인정보보호법에 대한 쉽고 정확한 이해를 위한 내용과 효과적으로 법적 요구사항을 준수하기 위한 솔루션과 기술적 조언이 제시됐다.
 

첫 번째 세션의 발표자로 나선 관리컨설팅팀 이장우 이사는 실제 개인정보 침해사례와 더불어 개인정보보호법 대응에 필요한 관리적, 기술적 요건에 대해 설명했다. 이장우 이사는 “기술적 조치를 취해도 반드시 놓치는 부분이 있기 마련”이라며 “그런 부분을 찾아내 잠복해있다가 공격하는 것이 APT”라고 지적했다.


이어 “이러한 부분을 챙길 수 있도록 안철수연구소는 컨설팅 서비스와 다양한 솔루션을 제공하고 있다”고 말했다. 아울러 "기술적인 것에 앞서 법에 대한 이해가 선행되어야 한다”고 지적하고 사내 전 직원 및 위탁 업체 등에 대한 지속적인 보안 의식 강화 및 교육의 중요성을 강조했다.


최근 잇따라 발생한 개인정보 유출 사건의 시발점은 웹 해킹이었다. 이와 관련해 서비스기획팀 김창희 차장은 “고객과의 소통을 위해 마련된 기업의 웹 사이트가 악성코드 유포지로 악용되거나 해킹 당하여 개인정보를 유출하는 등 고객을 배신해서는 안될 것”이라고 지적했다. 그러나 IT 담당자가 동적으로 변화하는 웹을 일일이 모니터링하고 조치하기는 쉬운 일이 아니다. 이에 안철수연구소는 웹 사이트 해킹 위협 및 개인정보 노출 탐지 솔루션 안랩 사이트케어 엔터프라이즈(AhnLab SiteCare Enterprise)를 제공하고 있다.


김창희 차장은 “사이트케어 엔터프라이즈는 웹 브라우저를 통해 사실적으로 위협을 감지한다”며 “지속적으로 기업의 웹 페이지를 모니터링하여 정확하게 어느 페이지, 어느 부분에 문제가 있는지 알려준다”고 설명했다. 또한 “웹 개발 업체나 웹 담당자가 아니더라도 쉽게 조치할 수 있도록 구체적인 가이드를 제공하는 것이 특징”이라고 말했다.


세 번째 발표는 '기업의 침해사고와 위기 관리 방안'이라는 주제로, 기업의 보안 침해사고 발생시 대처법에 대해 A-FIRST 김지훈 팀장의 조언을 들을 수 있었다. A-FIRST는 안철수연구소가 최근 신설한 사이버 사고 대응 전문조직으로, 포렌식 및 침해사고 대응 서비스 팀(AhnLab Forensic & Incident Response Service Team)이다.

 

김지훈 팀장은 “기업의 시스템에는 수십만 개의 파일이 존재하기 때문에 그 중에서 악의적인 가려내는 것은 매우 어렵다”고 말했다. 특히 기업의 침해사고 발생과 타임라인의 중요성을 설명한 김지훈 팀장은 “침해사고 발생 시 이를 은폐하거나 축소하기 위해 망설이는 동안 공격자의 흔적이 사라져 추적이 어렵다”며 “사고 발생 후 즉시 A-FIRST에 알려야 정확한 사고 원인과 영향 범위 파악이 가능하다”고 강조했다.

 


잠들지 않는 해커, 지능형 보안 관제로 막는다


트랙 3는 <컨버지드 MSS: 위험 관리 방법론에 기반한 컨버전스 보안 관제 전략>이라는 주제로 진행됐다. APT 공격을 비롯한 고도화된 보안 위협에 대응하기 위해서는 치밀하고 체계적인 정보 분석과 이에 기반한 통합 보안 관제 전략이 필요하다는 점이 강조됐다.
 

첫 발표자로 나선 서비스기획팀 신호철 팀장은 “해커는 잠들지 않는다. 해커로부터 피해를 당하지 않으려면 해커보다 더 부지런해야 한다”고 지적했다. 신호철 팀장은 지금까지는 이벤트 기반의 관제였지만, 차세대 관제는 상황 인식 상관 분석(context-aware correlation), 히스토리 분석, 멀웨어 관리와 지능형 보안(security intelligence)이 모두 포함된 통합 보안 관제 형태가 돼야 한다고 제안했다.


이러한 통합 보안 관제만이 APT와 같은 고도의 보안 위협에 대응할 수 있는 방안이다. 이에 안철수연구소는 안랩 CERT와 ASEC, 세피니티 포탈과 세피니티 SOC, 세피니티 ESM 기반 위에 보안 관제 서비스와 전문가 서비스를 결합한 종합 보안 관제 서비스인 ‘안랩 세피니티(AhnLab Sefinity)’를 제공하고 있다고 소개했

 
한국IBM 정보관리사업부의 민선미 차장은 상대적으로 취약한 데이터베이스 보안에 대한 문제점을 지적하고 해결 전략에 대해 소개했다. 현재 기업들은 네트워크단에서 방화벽, IPS, IDS, 네트워크 취약점 진단 등을 통해 외부 침입을 차단하고 방어하고 있으며, 애플리케이션을 보호하기 위해 웹 방화벽이나 애플리케이션 취약점 진단을 시행하고 있다.


최근에는 데이터에 대한 보호가 화두로 떠오르면서 데이터베이스 모니터링, 데이터 유출 방지(DLP), 데이터 암호화를 진행하고 있다. IBM은 보안 프레임워크(IBM Security Framework) 전략 하에 정부 지침, 위험 관리, 컴플라이언스를 만족하는 솔루션을 제공하고 있다. 이 속에는 사람과 아이덴티티, 데이터와 정보, 애플리케이션과 프로세스, 네트워크, 서버와 엔드포인트, 물리적 인프라스트럭처 보호가 포함돼 있다.

 

기존 보안 솔루션의 탐지를 피해 교묘하게 공격해 들어오는 악성코드를 탐지하고 방어하기 위해서는 정밀한 분석과 관리가 매우 중요하다. 서비스기획팀 이상구 차장은 “APT 같은 고도화된 위협을 특정 솔루션만으로 해결하는 것은 불가능하다”고 전제하면서 “지속적인 모니터링과 추적, 실시간 감시와 히스토리 관리, 행위 분석과 DNA/평판 정보, 신종 악성코드 유입/감염 인지 등 다각도에서 정보를 수집하고 분석하는 것이 필요하다”고 강조했다.


안철수연구소는 국내 최다의 악성코드와 분석 정보를 보유하고 있으며, 국내 최고의 보안 전문가와 국내 유일의 탐지 기술로 실시간 분석과 대응, 지속적인 추적과 관리가 가능한 지능형 보안 관제 서비스를 제공한다. 이상구 차장은 “APT와 같은 지능형 악성코드 위협에 대응할 최고의 파트너는 안랩”이라고 강조했다.


 

원하는 솔루션, 직접 보고 듣고 확인하다  
 

ISF 2011에는 세션 발표와 더불어 APT 대응을 위한 다양한 솔루션을 현장에서 직접 살펴보고 문의할 수 있는 전시 부스가 마련됐다. 특히 국내 최초, 최대 50기가 방화벽 처리 성능을 제공하는 고성능 네트워크 통합보안 솔루션 ‘트러스가드 10000P’, 기업 내 PC에 보안 및 소프트웨어 패치 설치 유도 및 관리를 편리하게 해주는 패치 관리 시스템 ‘APC 어플라이언스 패치 매니지먼트(AhnLab Policy Center Appliance Patch Management)’ 등 안철수연구소의 신제품에 많은 사람들의 관심이 집중됐다.
 


▲ ‘트러스가드 10000P’, ‘APC 어플라이언스 패치 매니지먼트’ 등

안철수연구소의 신제품 전시에 사람들의 발길이 이어졌다.


또한 IBM의 데이터베이스 보안 솔루션 ‘인포스피어 가디엄(Infosphere Guardium)’과 인텔의 ‘2세대 코어 제품군 기반 하드웨어 보안 기술(IPT/AMT/AES-NI) 등 다양한 솔루션들에 대한 자세한 내용을 확인할 수 있는 기회가 제공됐다.


한편 ISF 2011 진행을 담당한 세일즈마케팅팀 이상국 팀장은 “잇따라 발생한 굵직한 보안 사고와 개인정보보호법과 같은 컴플라이언스 이슈 등으로 인해 관련 정보를 얻고자 하는 많은 기업 고객들의 요구가 있었다”라며 “앞으로도 안철수연구소는 고객에게 필요한 정보와 니즈를 먼저 파악하고 ISF를 비롯한 다양한 기회를 통해 고객을 찾아갈 것”이라고 전했다.@

  • 안철수연구소 로고
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.