2024-03-29 20:40 (금)
팔로알토 아태지역 CSO “정보공유 않으면 보안 인텔리전스 DB구축 힘들어”
상태바
팔로알토 아태지역 CSO “정보공유 않으면 보안 인텔리전스 DB구축 힘들어”
  • 길민권
  • 승인 2016.01.20 18:14
이 기사를 공유합니다

팔로알토 네트웍스, 2016 보안 전망 발표
팔로알토 네트웍스(사장 최원식)는 본사 션 두카(Sean Duca. 사진) 아태지역 CSO 방한을 맞아 보안전문 기자들과 간담회를 열었다. 이 자리에서 그는 2016년 보안 전망을 발표하며 6가지 키워드를 중심으로 발표했다. 내용은 랜섬웨어의 증가, 위협 인텔리전스의 공유, 2차 타깃을 위한 공격 확산, ‘제로 트러스트’ 보안 모델 기반의 선제적 방어, 사물인터넷을 공격하는 위협 증가, 사이버 범죄에 대한 법률 제정 필요성 등이다.
 
특히 션 두카 CSO는 “대부분의 공격은 미연에 방지할 수 있고 선제적으로 대응할 수 있다. 공격이 이루어지기 전에 사전에 방지하는데 초점을 맞춰야 한다. 팔로알토는 사전대응에 중점을 두고 있으며 만약 사고가 발생하면 15분 내에 대책을 제시해 줄 수 있고 향후 이 시간도 줄여 5분 안에 고객들에게 대책을 제시해 줄 수 있을 것”이라며 사전 대응과 사고후 빠른 대처를 강조했다.
 
또한 사이버 보안법과 관련, 최근 한국의 자율규제 이슈와 정부와 기업간 정보공유의 모범사례를 들어달라는 질문에 “보안은 자율적으로만 맡길 수는 없다. 특히 아시아권은 정보유출이 발생하면 기업 명예와 신뢰도가 떨어지고 매출도 줄어든 다는 것을 알고 있다. 자율규제만으로는 최근의 공격들을 방어하기 힘들며 강제규정들이 필요하다”고 말했다.
 
또 “정부와 기업간 정보공유 문제는 한국의 문제만이 아니다. 정부와 기업이 힘들다면 보안업계끼리 정보공유를 할 수 있도록 체계를 만들어야 한다. 이때 피해 정보보다는 어떻게 하면 피해를 예방할 수 있고 사전에 방지할 수 있는지에 대한 정보공유가 중요하다”며 “팔로알토, 시만텍, 포티넷, 맥아피 등 8개 글로벌 보안기업들이 정보공유를 위해 구축한 CTA(Cyber Threat Alliance)가 좋은 예다. 맴버기업들은 매일 1000개의 새로운 악성코드 정보를 제출하고 있고 공유된 정보들을 각 제품에 반영하고 있다. 정보는 혼자만 가지고 있으면 인텔리전스 정보가 될 수 없다. 모두가 정보를 공유하고 서로의 정보를 내 놓아야 보안 인텔리전스 DB를 구축할 수 있다”고 강조했다.
 
그는 마지막으로 “사이버 공격으로 인한 피해 규모가 증가하는 것은 물론 새로운 보안 위협의 출현 속도가 더욱 빨라지고 있다. 이에 따라 지능형 위협 방어, 즉 폭넓은 가시성과 광범위한 보안 인텔리전스를 기반으로 알려지지 않은 위협에도 효과적으로 대응할 수 있는 보안 역량을 확보해야 한다. 특히 랜섬웨어와 같이 치명적인 보안 위협의 확산으로 선제 방어의 중요성이 높아지는 만큼 기업들의 보안 전략에도 많은 변화가 있을 것으로 전망된다”고 말했다.
 
다음은 팔로알토 네트웍스의 2016년 보안 전망에 대한 자세한 내용이다.
 
◇랜섬웨어의 증가
랜섬웨어는 확산 방법 및 침입 기술 면에서 지속적으로 진화할 것이며, 통신 방식과 대상 타깃을 더욱 더 은폐시키는 방향으로 나아갈 것이다. CTA(Cyber Threat Alliance) 보고서에 따르면, 랜섬웨어는 짧은 시간 내에 막대한 금전적 이득을 취할 수 있는 공격수단으로서 수익성이 높아 사이버 범죄 조직들이 매우 선호하는 것으로 나타났다. 최근에는 신용카드 데이터보다 높은 가치의 데이터를 랜섬웨어에서 추출해내고 있어 피해 규모가 더욱 커질 것으로 전망되고 있다. 실제로 최근 발간된 CTA 보고서에 따르면, CryptoWall v3 랜섬웨어의 경우 3억 2500만 달러의 수익을 낸 것으로 조사됐다.
 
앞으로 더욱 다양한 유형의 랜섬웨어 공격이 등장할 것이며, 사이버 범죄 조직에서 데이터 복호화 키에 대한 금전을 요구하는 사례가 늘어날 것으로 전망된다. 또한 다양한 플랫폼, 즉 OS X 및 모바일 운영체제에 대한 랜섬웨어 공격도 늘어날 전망이다.
 
한편 한국랜섬웨어침해대응센터의 자료에 따르면, 지난해 11월에 확인한 랜섬웨어 피해사례는 926건으로, 3월부터 9월까지의 평균 피해 사례 대비 11배나 폭증한 것으로 나타났다. 팔로알토 네트웍스 코리아는 이에 국내 기업 및 기관들이 자사 네트워크 트래픽 보안 현황을 점검함으로써 선제적으로 랜섬웨어에 대응할 수 있도록 지원하는 '네트워크 보안 진단 캠페인'를 실시하고 있다.
 
◇위협 인텔리전스의 공유
각 위협 인텔리전스를 공유하고자 하는 노력이 계속되고 있는 가운데, 2016년은 그 어느 때보다도 보안 업체 간 정보 공유가 활발해지는 한 해가 될 것으로 전망된다. 사이버 공격자들이 하나의 멀웨어로 공격 후 보안 솔루션에서 탐지하기 어렵도록 이를 미세하게 변형시켜 여러 곳에 재배포하는 사례가 늘고 있어 정보 공유의 필요성이 더욱 중요해지고 있다. 보안 업체들이 커뮤니티를 이루어 대응함으로써 하나의 공격을 실행하는데 드는 공격자들의 비용은 높아지고, 방어 비용은 낮아지기 때문이다. 이러한 프로세스를 자동화하여 실시간으로 정보를 공유하는 경우 공격을 예방할 수 있어 더욱 효과가 증대된다. 공격 유형을 사전에 파악하고, 공격자가 사용하는 툴 및 전략을 예측하여 보다 효과적으로 네트워크를 보호할 수 있다.
 
세계 각국에서 관련 규정의 실효성에 대한 논의가 계속되고 있으나 정부 차원에서의 위협 인텔리전스 공유에 대한 정책이 육성되어야 할 것이며, 민간에서도 업종을 넘나드는 광범위한 정보 공유의 방식에 대한 방안을 마련해야 할 것이다. 사이버 위협과 취약점을 더욱 빠르게 탐지하고 대응하기 위해 정보를 공유할수록 더 안전하게 보호하는 것은 물론 공격자들에게 더 많은 해킹 비용을 부담시킬 수 있기 때문이다. 사이버 위협에 대한 협력 대응의 관점에서 이러한 정보 공유의 추세가 지속될 것으로 전망된다. 팔로알토 네트웍스는 지난해 포티넷, 인텔 시큐리티, 시만텍 등의 글로벌 보안 기업들과 함께 민간 주도의 사이버 위협 정보 공유 시스템인 CTA를 결성해 사이버 공격에 대한 대응에 앞장서고 있다.
 
◇2차 타깃을 위한 공격 확산
공격의 동기가 2차 타깃에 집중되는 사례가 늘고 있다. 2015 버라이즌 데이터 침해 보고서에 따르면, 써드 파티 웹사이트를 공격에 사용하는 사례가 증가하고 있으며, 이 경우 공격의 대상이 되는 특정 인물 혹은 기업은 실제 타깃이 아니라 보다 큰 공격의 진원지로 활용되는 것으로 조사됐다.
 
공격자의 관점에서 볼 때 이러한 방식은 공격의 신뢰도가 확보되는 것은 물론 다른 기업의 리소스를 활용할 수 있다는 장점이 있다. 아태지역에서 가장 흔히 발견되는 유형은 ‘워터링 홀(Watering hole)’ 공격으로, 특정 기업의 웹사이트를 감염시켜 이 사이트를 방문하는 사용자들까지 모두 감염시키는 방식이다. 국내에서도 최근 종교단체 웹사이트를 명령제어(C&C) 서버로 이용하는 한편 홈페이지를 방문한 신도들이 경유지를 거쳐 악성코드를 배포하도록 한 정황이 드러나고 있어 2016년에는 이와 유사한 방식의 2차 피해자를 발생시키는 사이버 공격이 늘어날 것으로 전망된다.
 
◇ ‘제로 트러스트’ 보안 모델 기반의 선제적 방어
최근 몇 년간 사이버 공격의 양상이 대단히 과격해지는 한편 성공 확률도 높아지고 있는 추세이다. 공격을 실행하고 완수하는데 드는 비용이 더욱 낮아지고, 방법 또한 간편해지고 있는 가운데 온라인 시스템에 대한 디지털 신뢰가 무너지고 있는 것이다. 이렇게 무너진 신뢰도는 전통적인 레거시 보안 아키텍처에도 적용된다. 기업 네트워크 망 내부에 존재하는 오래된 데이터에 의존한 추측성 대응은 적절한 가시성, 제어, 보호 등을 보장하지 않기 때문이다.
 
앞으로는 기존에 시도하였던 주변 중심의 보안(perimeter-centric security) 전략을 비롯하여 레거시 디바이스 및 오래된 기술을 개선하기 위해, ‘제로-트러스트(Zero Trust)’와 같은 새로운 보안 모델을 도입하는 기업이 늘어날 전망이다. 즉 ‘완벽한 신뢰는 배제하고 끊임없이 확인하는 것(never trust, always verify)’을 원칙으로 보안 전략을 수립하는 것이다.
 
제로 트러스트 모델은 고유의 보안 정책을 통해 위치에 관계 없이 모든 사용자와 디바이스, 트래픽 간 통신 등을 보호하는 방식의 ‘신뢰하되 확인하는(trust but verify)’ 접근법과는 상이하다. 외부의 네트워크 침입 시도 자체를 최소화하여 사이버 범죄가 발생하기 전에 이를 차단시키고자 하는 선제적 방어 접근법으로서, 2016년에는 이러한 제로 트러스트 모델에 대한 관심이 더욱 높아질 것으로 전망된다.
 
◇사물인터넷을 공격하는 위협
가전 제품에서부터 홈 시큐리티 등 인터넷 연결을 지원하는 커넥티드 디바이스가 늘어나고 있다. 가트너는 인터넷에 연결된 기기가 향후 매일 550만개씩 생겨나는 속도로 증가하며2015년 65억개에서 2020년 210억개까지 늘어날 것으로 전망하고 있다. 이러한 추세에 따라 커넥티드 디바이스를 노리는 사이버 범죄 또한 급증할 것으로 전망된다. 2015년 8월 미국에서 열린 해킹 컨퍼런스 블랙햇(Blackhat)에서는 차량을 대상으로 하는 공격을 비롯해 표적을 변경하는 스마트 소총에 대한 사례도 소개된 바와 같이, 향후 더욱 다양한 종류의 공격 및 이를 위한 PoC(개념검증) 사례가 등장할 전망이다.
 
◇사이버 범죄에 대한 법률 제정
아태지역은 그 동안 사이버 범죄에 대한 법률이 관대하게 적용되어 온 경향이 있다. 전세계적으로 보안 기업들은 물론 소비자들을 위한 법률이 강화되고 있는 가운데, 특히 미국의 경우 미국 기업을 타깃으로 하는 하이 프로파일 공격으로 보고된 숫자가 압도적으로 높은 상황이다. 이에 따라 미국에서는 ‘사이버보안 정보 공유 법(Cybersecurity Information Sharing Act)’을 통해 기업들이 정부와 협업하여 해커의 공격에 대응하도록 하는 법률을 시행하고 있다. 유럽에서도 이와 비슷하게 ‘주요 정보 기반 시설 보호(CIIP)’ 협력을 통해 사이버 보안에 관련된 14개의 법을 시행함으로써, EU 차원에서 각국의 ICT 인프라를 보호하기 위한 대비책 및 회복 역량을 확보하는 등 보안 수준을 강화하고 있다.
 
★IT/정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★