모바일 위협 방어, 위협 탐지가 최우선...“머신러닝, AI 대활약 가능성 엿보여”

Computerworld
기업들이 모바일 우선 전략을 추진하고, 직원들의 스마트폰과 태블릿이 비즈니스 도구로 쓰이면서 모바일 위협 방어 (mobile threat defense, MTD)의 중요성이 커지고 있다.

그러나 모바일 위협 탐지와 방어는 간단한 작업이 아니다. Ios와 안드로이드 스마트폰, 태블릿에 적용되는 앱과 네트워크, 기기 수준의 위협을 효과적으로 처리해야 하기 떄문이다.

가트너 모바일 보안 리서치 이사인 디오니시오 쥐멜르는 “탐지보다 방어에 초점을 맞추고 있다. 모바일 위협 방어 솔루션은 탐지뿐 아니라 위협을 예방하고 개선할 수 있다”고 말했다.

가트너의 최근 보고서에 따르면, MTD 시장은 도입 단계이며, 엔드포인트 보호 플랫폼 공급 업체와 관련 분야에서 주목을 받고 있다. 가트너의 모바일 위협 방어 솔루션 시장 가이드에 따르면, 2019년까지 모바일 맬웨어가 표준 테스트에 감지된 전체 맬웨어의 1/3에 달할 것으로 예상된다. 또, 2020년까지 조직의 30%가 MTD를 인식하고 전략을 짤 것이다.

가트너는 MTD가 어떤 위험을 해결할 수 있는지, 또 얼마나 긴급하게 사용할 수 있는지와 유용성에 대한 사용자들의 불확실성과 혼란이 여전히 큰 단계라고 말했다.

즉, 간단히 말해 머신러닝으로 컴퓨터는 패턴 인식같이 더 정교한 동작을 구체적으로 프로그래밍하지 않고 개발할 수 있게 된다. MTD에서 머신러닝은 소프트웨어가 백그라운드에서 애플리케이션과 사용자 행동을 모니터하고, 비정상적인 동작을 식별하는 데 쓰인다.

쥐멜르는 “기기의 작동 방식을 관찰해 정상적인 동작, 비정상적 동작, 악의적인 행동을 유발하는 동작을 판단한다. 머신러닝은 이 프로세스를 가속화할 수 있다. 크라우드소싱 역시 다른 구성요소다”라고 말했다.

예를 들어, iOS 11.1을 설치한 1,000 개의 iOS 기기가 있고, 그 중 대부분이 매우 유사한 펌웨어를 가지고 있지만 그 중 하나만 표준과 크게 다를 경우 수정된 라이브러리가 있을 수 있다. 쥐멜르는 이때의 수정은 비정상적이고 악의적으로 수행 될 수 있다고 말했다.

맬웨어, 탐지 어려운 특성 지녀
사용자 및 응용 프로그램 동작을 모니터링하는 기능은 과거보다 더 많이 필요해졌다. 모바일 조사업체 J. 골드 어소시에이츠 수석 애널리스트 잭 골드에 따르면, 악성 프로그램은 항상 합법적인 앱처럼 위장되어 왔지만, 갈수록 찾아내기가 어려워졌다. ‘비정상적인 동작’의 범위를 어떻게 정의하는가도 어려운 문제다.

골드는 "과거에는 바이너리 스캔으로 자신이 수행한 것과 일치하지 않는 패턴을 찾아서 탐지할 수 있었다. 그러나 이제는 단순 스캔으로 맬웨어를 탐지하기가 더 까다롭고 어려워졌다”며, "앱의 동작을 구분해야 한다”고 강조했다.

예를 들어, 개발자는 합법적인 것으로 간주되는 가짜 앱을 만들 수 있다. 이런 앱은 일반 사용자를 아마존에서 민감한 데이터를 훔칠 수 있는 유사 사이트로 우회해 유인한다. 골드는 “이런 앱을 단순 스캔으로 찾을 수 있는가?”라고 반문한다.

또 다른 예로는 피싱 공격이 있다. 이런 공격은 스캔을 통해서도 탐지할 수 없다. 골드는 “앱의 행동 내역과 사람의 행동 모두 악성 공격 탐지에 중요하고, 적절하게 훈련된 머신러닝과 인공지능은 매우 유용할 것”이라고 예측했다.

그러나 악성 코드와 맬웨어 개발자들도 점차 발전을 거듭하고 있기 때문에, 끊임 없는 주도권 다툼이라 할 수 있다. 골드는 “100% 완전한 해결책은 없다”면서 모바일 위협을 저지하려는 기업들은 여러 단계에 걸친 방어가 필요하다고 덧붙였다.

MTD 공급 업체와 가이드라인
업계를 선도하는 MTD 솔루션 제공 업체로는 체크포인트(CheckPoint)의 샌드블라스트 모바일(SandBlast Mobile), 룩아웃(Lookout)의 모바일 엔드 포인트 시큐리티, 프루프포인트(Proofpoint)의 모바일 디펜스(Mobile Defence), 프라데오(Pradeo)의 모바일 스레트 디펜스(Mobile Threat Defense), 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 원더라(Wandera)의 스레트 디펜스(Threat Defense), 짐퍼리움(Zimperium)zIPS 프로텍션이 있다.

가트너는 MTD 솔루션을 채택할 때 기업이 고려할 몇 가지 권장 사항을 공개했다.
• 산업, 적용 가능한 규제, 모바일 장치의 데이터 민감도, 특정 사용 사례 및 조직의 위험 선호도에 따라 점진적으로 MTD 솔루션을 도입하라. 정책 시행은 보안 개입만큼이나 충분하다.

• 보안 등급이 높은 분야, 대량의 안드로이드 기기 관리 부서, 금융 및 의료 등 규제 대상 분야에서는 빨리 MTD를 채택하라.

• 엔터프라이즈 이동성 관리(EMM) 도구와 MTD 통합 네트워크 트래픽 프록시 배치 옵션은 BYOD (bring-your-own-device) 정책을 채택하지 않고, 엄격한 장치 관리가 적용되는 경우에만 선택해야 한다.

대부분의 MTD 제품은 에어워치, 블랙베리, 마이크로소프트, 모바일아이언, IBM과 SOTI 등 많은 EMM 및 MAM 공급 업체 솔루션과 호환된다. MTD 솔루션은 예상되는 행동 패턴을 추적해 비정상적인 행동을 탐지할 수 있어야 하고, 악성코드를 여는 구성 약점도 검사할 수 있어야 한다. 또한, 네트워크 트래픽을 모니터링해 의심스러운 연결을 차단하고, 기업 데이터를 위험에 빠뜨릴 애플리케이션을 식별할 수 있어야 한다.

기업에서 우려하는 것은 오탐지나 합법적인 앱에서 위험요소로 분류되는 사용자 행동이다. 골드는 "모바일뿐 아니라 모든 악성코드 탐지의 약점으로 꼽히는 문제다. 좋은 앱을 다운로드했지만, 시만텍의 소프트웨어가 나타나 악성으로 판단하는 문제"라고 지적했다.

쥐멀렌은 그러나 MTD가 머신러닝에만 의존하지는 않는다고 말했다. MTD 옵션으로 수행할 수 있는 단순한 작업이 많아 기업에서 유익한 것으로 증명될 수 있다.

예를 들어 "패치되지 않은 기기에 플래그를 붙인다거나 위험도가 높은 순으로 기기를 정렬하는 대시보드는 간단한 기술이다. 또는, 사용자 거주국 외의 서드파티로 연락처 목록을 전송하는 모든 애플리케이션을 블랙리스트에 올리는 기업 정책을 적용하는 것도 단순"한 과정이라는 것이다. 요약하자면, MTD 솔루션은 전방위적인 기업 모바일 보안 솔루션로 기능해야 할 것이라는 것이 그의 요점이다.editor@itworld.co.kr