보안사고의 유형이 여전히 해킹과 멀웨어를 중심으로 진행되며, 엔드포인트를 직접 타깃팅하는 공격이 여전히 증가하는 추세를 보이고 있다. 멀웨어 중에서 랜섬웨어도 지금까지는 이메일 첨부파일, 웹접속, 취약한 App 사용, 악성링크 클릭 등의 최종 사용자 행위가 개입하는 공격이 대부분을 차지하고 있었지만, 지난 5월12일부터 발생한 워너크라이(WannaCry) 랜섬웨어 사태는 최종 사용자 개입 없이 공격이 진행됐다. 물론 Patient-Zero (최초 감염자)는 피싱메일 등의 방법으로 감염된 것으로 알려지고 있다.
권영목 대표는 워너크라이 랜섬웨어가 전세계를 두려움에 떨게 했던 이유를 아래와 같이 3가지로 요약했다.
△웜 기반 랜섬웨어 (네트워크 배포 및 SMB 취약점을 이용한 자가 확산)
△짧은 시간동안 수백개의 변종 생성
△중요 기반 서비스 셧다운(의료서비스, 철도서비스, 텔레콤서비스 등)
그는 발표현장에서, 1년 전 2016년 5월 모스크바 보안컨퍼런스 참관기를 요약하면서, “타깃 공격이 헬스케어 인프라스트럭쳐로 변경되고 있다는 점과 치명적인 피해 위험성”에 대해서 상기시켜주었다. 또 1년 뒤인 2017년 5월 현재에 워너크라이 랜섬웨어로 인한 영국 NHS(National Health Service)의 환자 치료 중단 및 환자 이송 사태를 통해서 그 위험성을 실감하고 있다는 부분을 전했다.
◇엔드포인트 보안 기술 흐름…‘차단(Prevention)’에 대한 신기술 요구↑
AV(시그니쳐)+ATP(행위기반, 안티익스플로잇, 메모리보호, 초기머신러닝, 샌드박스, 평판조회) 등의 기술로 계속 발전해 오고 있지만, 마지막 10% 영역을 커버할 차단(Prevention) 기술이 미비한 것이 사실이다. 이로 인해 공격자의 체류시간(Dwell-Time)을 최대한 단축시키고 ‘사고 대응(IR, Incident Response)’ 중심의 보안 기술이 부각되고 있다는 점도 설명했다.
하지만 여전히 시장에서는 ‘차단(Prevention)’에 대한 신기술을 요구하고 있으며, 최근 인공지능∙머신러닝을 엔드포인트 보안에 적용한 기술이 시장의 요구사항에 부응하면서 실제 적용 사례를 만들어 나가고 있다고 설명했다.
◇인공지능∙머신러닝 기반 차세대 AV(안티바이러스)의 위력
이어 “인공지능∙머신러닝 기반 차세대 AV ‘사일런스프로텍트(CylancePROTECT)’는 4만개 이상의 GPU를 사용하고 15명의 데이터 과학자를 중심으로 지금까지 6백만개 이상의 벡터를 추출해내고 비교할 수 있는 기능을 제공하며 이를 바탕으로 이번에 발생한 워너크라이의 모든 변종을 방어하는데 성공했다”며 “현재 글로벌하게 오픈된 최신 인공지능 수학모델은 2017년 2월 버전으로, 2017년 5월에 발생한 워너크라이의 모든 변종을 방어했다는 것은 인공지능∙머신러닝 기반의 차세대 안티바이러스가 시그니쳐, 행위기반 또는 샌드박스 등의 방식이 아닌 전혀 다른 기술로써 차단 기술을 제공한다는 점을 증명하고 있다”고 설명했다.
한편 ‘사일런스프로텍트(CylancePROTECT)’는 5월 말부터는 차단된 멀웨어, 랜섬웨어가 어떤 유입경로를 통해서 들어왔고 어떤 프로세스 및 파일들을 수정했는지에 대한 사고대응(IR) 기능을 지원하는 EDR 모듈이 추가될 예정이다. 윈도우, 맥 OS X와 더불어 RedHat/CentOS 계열의 엔드포인트도 지원하게 된다.
PAGO Networks(파고네트웍스) 권영목 대표의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★
