“모든 조직이 침해를 당하고 있다는 전제하에 보안서비스가 이루어져야 한다. 그래야 책임질 사람을 잡는 희생양 찾기 보안이 아닌 실제로 문제를 해결할 수 있는 보안이 이루어질 수 있다. 보안 문화의 체질 개선이 필요하다. 아무리 뛰어난 방어자도 모든 공격을 막지 못한다. 그런 전제하에 제로 트러스트 개념도 출발한 것이다. CA 서비스를 제대로 하는 기업은 아직 국내에 없다. 이번에 양사가 10년 이상 사고 대응 경험과 객관적인 데이터를 기반으로 한 분석 노하우로 호스트와 네트워크에서 위협 징후를 효과적으로 탐지해 실질적인 보안 강화 서비스를 제공하겠다.” -나루씨큐리티 김혁준 대표-

디지털포렌식 및 침해사고 대응 전문기업 플레인비트(대표 김진국)와 타겟 공격 대응 전문기업 나루씨큐리티(대표 김혁준)가 6월 5일 침해평가(Compromise Assessment, CA) 서비스를 출시하고 이를 통해 시장을 적극 공략할 계획이라고 밝혔다. 이를 위해 서울 삼성동 인터콘티넨탈 파르나스 호텔에서 공동 기자간담회를 열고 CA 서비스의 중요성과 특징에 대해 설명했다.

◆침해평가 서비스의 필요성

플레인비트 김진국 대표는 이날 간담회에서 “조직이 이미 해킹되어 있는 것은 아닌가”라는 질문을 던지며, 이를 해결하기 위한 CA 서비스의 필요성과 배경을 설명했다.

그는 “정보보안 체계는 이미 네트워크나 단말이 외부 공격자에 의해 침해되어 있다는 가정 하에 대응해야 한다”며 “인간이 건강을 유지할 수 있는 이유는 외부에서 내부로 이미 침입한 바이러스를 식별해 제거하는 면역 체계가 작동하기 때문”이라고 강조했다.

◆기존 보안 서비스의 한계와 양사 CA 서비스 주요 특징

김진국 대표는 국내 정보보안 서비스의 현황을 설명하며, “현재 국내 정보보안 서비스는 주로 침투 테스트나 취약점 점검, 사고 대응 서비스에 초점을 맞추고 있다. 하지만 본질적인 문제 해결에는 한계가 있다”고 밝혔다.

나루씨큐리티 이재광 센터장은 CA 서비스의 구체적인 내용을 발표했다. 그는 “CA 서비스는 조직의 컴퓨터 시스템과 네트워크에 침투한 악의적 행위를 탐지하고 대응하는 과정”이라며 “이를 통해 조직 내부에서 침입이 발생했는지 확인하고 그 영향을 조사하며, 조직에 침투한 공격자를 조기에 발견해 방어할 수 있도록 보안 체계를 강화하는 것”이라고 말했다.

이재광 센터장은 “CA 서비스는 이미 시스템에 침해가 발생했다고 가정하고, 해당 침해에 대한 조사와 대응을 수행하는 것”이라고 설명했다. 이를 위해 대량의 로그 및 네트워크 데이터를 분석해 이상 징후를 식별하는 데이터 분석 능력과 보안 분야에서의 실무 경험이 필요하다고 강조했다. 또한 CA 서비스는 기존의 보안 활동이 외부에서의 공격에 중점을 두는 것과 달리, 조직 내부에서의 침해에 대한 감지와 대응에 초점을 맞추고 있다고 덧붙였다.

◆네트워크와 호스트 기반의 통합 평가

이번에 플레인비트와 나루씨큐리티가 공동으로 출시한 CA 서비스는 해킹이 진행 중일 때 나타나는 특성들을 근거로 네트워크에서부터 호스트에 이르기까지 모든 영역을 침해 관점으로 평가하는 서비스라고 할 수 있다. 이를 통해 조직 내에 침투해서 머물러 있는 공격자의 활동을 조기에 발견해 제거함으로써 비즈니스의 연속성을 보장하는 것이 CA 서비스의 최종 목표라고 설명했다.

두 회사의 침해평가 서비스가 추구하는 ‘3S’ 개념은 다음과 같다.

△Secure: 공격 대상이 될 수 있는 표면과 공격에 취약한 구조적인 문제점을 식별한다.

△Safe: 해킹 공격을 조기에 식별해 공격이 완성되기 전에 무력화한다.

△Success: 조직의 비즈니스 연속성을 보장한다는 것이다. 이를 위해 사이버 킬체인과 제로트러스트 철학을 기반으로 하는 고유의 침해평가 전략도 자체적으로 마련했다.

CA 서비스의 차별점은 네트워크 기반 침해평가(NCA)와 호스트 기반 침해평가(HCA)를 결합한 통합적인 접근 방식이다. 네트워크 기반 침해평가는 고객의 네트워크 환경에서 발생하는 모든 통신 트래픽을 분석해 유해한 통신을 식별하고, 호스트 기반 침해평가는 시스템 내부의 로그와 데이터를 분석해 공격자의 활동을 식별한다.

이재광 센터장은 “CA서비스는 네트워크와 호스트에서 발생하는 모든 연결 행위를 모니터링해 초기침투, 거점확보, 실행/지속, 내부이동, 유출/파괴 행위 등을 식별한다”며 “MITRE ATT&CK(마이터 어텍) 기반의 공격 전술, 기법 및 절차를 활용해 체계적인 평가를 수행한다”고 말했다. 또한 “최근 3년 동안 발생한 침해사고에서 활용된 위협 지표를 기반으로 평가하며, 제로트러스트 철학을 반영해 보안 체계를 강화할 수 있다”고 덧붙였다.

◆이재광 센터장의 14년간 침해사고 현장 분석 노하우 접목

한편 지난 3월 나루씨큐리티에 합류한 이재광 센터장은 KISA(한국인터넷진흥원)에서 14년간 침해사고 분석 업무를 수행한 경험을 갖고 있다.

그는 “기업이 직면한 사이버 위협을 해결할 수 있는 유일한 방법은 내부에 이미 침투해 있는 공격자의 활동을 지속적으로 찾아내고 제거하는 역량을 갖추는 것”이라며 “이를 위해서는 반드시 침해사고를 직접 분석하고 대응한 경험이 많은 파트너와 협업해야 한다”고 강조했다.

이미 플레인비트와 나루씨큐리티는 최근 5년 동안 IT, 금융, 보험, 도소매, 제약, 제조 등 다양한 영역의 기업을 대상으로 4천건 이상의 CA 서비스와 50건 이상의 대규모 사고 조사·대응건을 진행해 왔다. 10년 이상의 사고 대응 경험을 보유하고 있으며, 데이터를 기반으로 한 분석 노하우를 갖춘 전문기업으로 잘 알려져 있다.

플레인비트와 나루씨큐리티 양사는 “CA 서비스의 주요 고객으로 IT, 금융, 보험, 제약, 제조 등 다양한 산업 분야의 기업을 대상으로 하고 있으며, 향후에도 검증된 사고 대응 전문가 및 신뢰된 파트너로서 고객의 보안 수준을 제고하는 데 적극 협력할 예정이다. 또한, 정확한 침해평가 서비스를 제공하여 기업을 타깃으로 하는 악의적인 공격자의 최종 목적을 무력화하고, 국가 주도형 위협 인텔리전스 업무 및 사고 대응 전문 교육 분야에서도 협력할 계획”이라고 밝혔다.

플레인비트 김진국 대표는 “CA 서비스는 조직의 사이버 환경에서 발생할 수 있는 모든 위협을 조기에 식별하고 제거하는 데 중점을 두고 있다”며, “이를 통해 조직의 비즈니스 연속성을 보장하고, 보다 안전한 정보보안 환경을 구축할 수 있다”고 밝혔다.

나루씨큐리티 이재광 센터장도 “CA 서비스는 기존의 보안 서비스와는 달리, 이미 발생한 침해에 대한 조사를 통해 실제 보안 위협을 확인하고 대응할 수 있도록 돕는 데 중점을 둔다”며 “이를 통해 조직 내부에서 발생하는 악의적인 활동을 조기에 발견하고 제거함으로써, 보다 안전한 비즈니스 환경을 구축할 수 있다. 기업들이 6개월에 한 번 정기적으로 CA 서비스를 받게 된다면 조직의 보안이 예전에 비해 실질적으로 강화됐다는 것을 체감할 수 있을 것”이고 강조했다.

이번 기자간담회에서 발표된 CA 서비스는 플레인비트와 나루씨큐리티의 협력을 통해 보다 강화된 정보보안 체계를 구축하고, 조직의 비즈니스 연속성을 보장하는 데 큰 기여를 할 것으로 기대된다. 두 회사는 앞으로도 지속적인 기술 개발과 고객 맞춤형 서비스를 통해 정보보안 시장을 선도해 나갈 계획이라고 밝혔다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★