보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

지능형 위협 대응, 왜 가시성 확보가 핵심인가

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2017-12-29

지난해 보안의 화두는 단연 랜섬웨어였다. 그러나 2017년 연초부터 발생한 굵직한 사건들로 보안 관계자들의 이목이 랜섬웨어에 집중된 사이 지능형 위협(Advanced Persistent Threat, 이하 APT)은 여전히, 더욱 집요하게 전개되었다. 또한 지난해 국내 웹 호스팅 업체의 랜섬웨어 감염 사례에 대해 과학기술정보통신부는 APT와 랜섬웨어가 결합된 공격이라고 발표한 바 있다.

이러한 APT 공격의 변화에 맞춰 대응 솔루션 역시 지속적으로 발전하고 있다. 기존의 네트워크 샌드박스 기반의 대응에서 엔드포인트와 네트워크의 통합 대응으로 무게 중심이 이동한 것. 특히 APT 공격의 유입 경로가 다변화됨에 따라 즉각적이며 능동적인 대응을 위해 통합적인 ‘위협 가시성’ 확보가 핵심으로 떠올랐다. 이와 관련해 안랩은 최근 자사 지능형 위협 대응 솔루션 AhnLab MDS(이하 MDS)의 위협 가시성을 대폭 강화한 새 버전을 발표했다.

 

‘가시성(Visibility)’은 효과적인 보안 위협 대응을 위한 첫 번째 요소로 꼽힌다. 보안 위협이 다양한 공격 기법을 이용해 복잡다단한 형태로 나타남에 따라 어떤 위협이 어디서 어떻게 유입되었으며 무엇을 노리는지를 얼마나 신속, 정확하게 파악하느냐가 위협 대응(Response)의 성패를 좌우하기 때문이다. 특히 기업 및 기관을 노리는 지능형 위협(APT 공격)이 지속적으로 나타나고 신•변종 랜섬웨어가 급증하다 보니 가시성 기반의 위협 대응이 어느 때 보다 강조되고 있다.

 

위협 가시성은 크게 위협의 ▲유입 경로 ▲형태 및 행위 ▲공격 대상(타깃 시스템)등 3가지 요소로 구성된다.

 

  

[그림 1] 위협 가시성의 3가지 요소

 

보안 위협은 기업 및 기관의 사용자나 시스템이 사용하는 다양한 애플리케이션 및 서비스를 통해 내부로 유입된다. 대표적인 위협 유입 경로는 웹, 이메일, 파일전송 및 공유 시스템 등 네트워크 구간이다. 그러나 최근 USB 등 각종 저장매체를 통해 엔드포인트 시스템에 직접 유입되는 경우도 증가하고 있다. 따라서 내부로 유입되는 위협을 신속히 탐지하고 대응하기 위해서는 위협의 종류나 행위뿐만 아니라 위협이 유입되는 경로부터 피해 시스템(공격 대상)까지 한눈에 파악하는 것이 급선무다.

 

안랩 MDS의 위협 가시성, 무엇이 다른가

안랩은 최신 위협에 대한 효과적인 대응과 동시에 보안 관리자의 운영 효율성을 위해 MDS의 UX를 전면 개편한 최신 버전을 발표했다. 최신 버전의 MDS는 다양한 경로를 통해 유입되는 위협에 대해 직관적인 공격 흐름도를 제공한다. [그림 2]와 같은 공격 흐름도를 통해 가상머신에서 분석한 악성코드 정보를 알기 쉽게 보여줄 뿐만 아니라 해당 악성코드에 대한 상세한 행위분석 보고서를 제공한다.

 

 

[그림 2] MDS의 공격 흐름도: 이메일 기반 공격(왼쪽)과 웹 기반 공격(오른쪽)

 

공격 흐름도와 함께 [그림 3]과 같이 해당 위협에 대한 즉각적인 조치 방안도 제공한다. 보안 관리자는 공격 흐름도와 상세 분석 보고서를 통해 내부로 유입된 위협을 정확히 파악할 수 있을 뿐만 아니라 즉각적이며 능동적으로 위협에 대응할 수 있다.

 

 

[그림 3] 공격 흐름도 기반의 대응 조치 안내

 

행위 분석보고서도 대폭 개선되어 파일과 프로세스의 관계에 대한 더욱 명확하고 상세한 정보를 제공한다. 상세 행위 분석 보고서는 한국어뿐만 아니라 영어, 중국어로도 제공된다.

 

 

[그림 4] 다국어로 제공되는 상세 행위 분석 보고서

 

전반적인 위협 가시성 기반의 즉각적인 대응

효과적인 위협 대응을 위해서는 각각의 파일 및 세부적인 위협에 대한 상세한 이해뿐만 아니라 내부로 유입되는 전반적인 위협에 대한 파악이 선행되어야 한다. MDS는 대시보드를 통해 위협 유입 경로부터 분석 현황, 각 위협의 행위를 한눈에 파악할 수 있는 위협 추이(Threat Flow)를 제공한다. [그림 5]와 같은 위협 추이 화면을 통해 보안 관리자는 조직 내부의 전체적인 위협 요소에 대해 이벤트 중심의 탐지 및 대응 현황을 모니터링하고 조치할 수 있다.

 

 

[그림 5] 유입 경로별 이벤트에 대한 위협 추이 정보

 

최근 보안 솔루션의 탐지를 회피 또는 우회하기 위해 네트워크 패킷을 세분화하거나(Packet Splitting) 암호화 트래픽(SSL)을 이용하는 공격 방식이 주를 이루고 있다. 엔드포인트단에서의 위협 수집 및 대응에 대한 니즈가 증가하는 이유다.

 

엔드포인트단에서의 대응을 위해서는 에이전트와의 연동이 필수며, 특히 자동 및 수동 대응이 가능한 전용 에이전트가 요구된다. MDS는 엔드포인트와 네트워크의 연계 대응을 고려해 설계 및 개발된 솔루션으로, 전용 에이전트를 통해 자동 및 수동 대응은 물론 엔드포인트단으로 직접 유입된 위협을 수집한다. 기존에 V3나 안랩의 엔드포인트 보안 관리 제품을 이용 중인 경우, MDS 에이전트를 V3 또는 APC 에이전트와 통합된 형태로 이용할 수 있어 솔루션 도입 및 운용이 더욱 편리하다.

 

필요 시 보안 관리자가 추가적인 대응 및 조치를 할 수 있도록 실제 운영 및 대응 프로세스에 따른 관리자 페이지를 제공한다. 또한 에이전트를 그룹화(Grouping)하고 각 그룹에 대한 공통 및 개별 정책도 적용할 수 있어 부서별 또는 사용자별로 정책을 적용할 수 있다. MDS의 차별적인 위협 가시성과 편리한 관리 기능을 통해 더욱 효과적인 위협 대응이 가능하다.​ 

  • AhnLab 로고
  • 제품기획팀 안병무 차장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.