2013.05.20

다량 다품종 악성코드에 대응하는 3단계 보안 전략

이대영 기자 | ITWorld
"가장 높은 단계의 악성코드 공격과 전술이 직접 시험되는 곳, 바로 한국이었다."

빛스캔 전상훈 CTO는 자신의 페이스북에서 "현재 국내에서 발생되는 공격 위협은 대량, 다품종의 악성코드가 확산되는 상황으로 최근 출시되는 APT 장비로도 막을 수 없다"며, "사전 예방이 무엇보다 중요하며, 사전, 사후 대응 및 사후 탐지 등 단계별로 대응전략을 수립해야 한다"고 밝혔다.

전상훈 CTO는 "최근 출시되는 대부분의 APT 탐지 장비나 체제들은 감염된 이후, 즉 사후 대응과 탐지가 핵심이다. 이 때문에 소량, 다품종의 악성코드 공격의 경우에는 APT 유형 탐지 장비로 대응할 수 있지만, 만약 대량 감염이 발생한다면 사후 대응할 시간이 없기 때문에 당장 문제가 발생되고 만다"고 말했다.

전상훈 CTO는 "현재 국내의 상황은 대량 감염이 상시적으로 발생되는 상황"이며, "대량으로 유포되는 것들은 그 어느 업체에서도 적합한 해결 방안을 제시할 수 없다"고 지적했다.

전 CTO는 "감염된 이후가 아닌 감염되기 이전의 예방적 관점에서만 대량 유포를 끊어 낼 수 있고, 문제를 줄일 수 있다. 감염된 이후에는 백약이 무효일 수 밖에 없다"고 말했다.

전상훈 CTO가 설명한 악성코드 위협 유형을 요약하면 다음과 같다.

- 소량, 다품종 악성코드 공격 : APT 유형 탐지 장비 대응 가능
- 대량, 소품종 악성코드 공격 : 사후 대응 측면에서 백신 이외 방안이 없음
- 대량, 다품종 악성코드 공격 : 무대책

대량으로 유포되는 공격 방법의 핵심은 웹을 통한 모든 방문자 감염이다. 이런 감염의 근원을 끊어야 되는데 이를 위해서는 모든 웹서비스의 보안성을 일정수준 이상 유지해야 한다. 전 CTO는 이는 불가능에 가깝다. 너무 빠른 변화와 잦은 변동성은 유지를 불가능하게 만들기 때문이라고 설명했다.

전상훈 CTO는 최종 보호 대상에 대해서는 망분리 등과 같은 방안들이 강구되어야 하는데 망분리가 보안의 만능은 아니며, 단지 한 겹의 보안 단계를 더 만든 것 뿐이라는 것을 인식해야 한다고 경고했다.

"실제 차단 내역을 살펴보면 국내의 악성코드 대량 유포에 대해서 확인 할 수 있을 것이다. 하지만 차단된 악성코드는 대량으로 유포되고 수시로 변경되고 있는 악성코드 가운데 일부라는 점을 잊어서는 안될 것"이라고 덧붙였다.

"대량의 악성코드 유포에는 백신, APT 전용장비, 망분리로도 해답이 찾기 힘들다"며, "이런 유형들은 모두 소규모 유포에나 적합한 대응 방식인데, 국내는 현재 대량 감염이 적극적으로 발생되는 최전선"이라는 게 전상훈 CTO의 설명이다.

전 CTO는 이에 대한 해결 방안으로 초기 단계에서의 탐지와 차단을 통해 내부로 유입을 막는 예방을 가장 먼저 제시했으며, 이후 내부 감염을 없애거나 끊어내는 대응 체계가 필요하다고 말했다. 전 CTO가 제시한 3단계 대응 전략은 다음과 같다.

- 1단계 : 사전 감염 예방 - 대량 유포 되는 악성링크의 선제적 차단
- 2단계 : 사후 대응 - 백신을 통한 내부 감염의 제거
- 3단계 : 사후 탐지 - APT 대응 장비를 이용한 내부 감염 추출 editor@itworld.co.kr


2013.05.20

다량 다품종 악성코드에 대응하는 3단계 보안 전략

이대영 기자 | ITWorld
"가장 높은 단계의 악성코드 공격과 전술이 직접 시험되는 곳, 바로 한국이었다."

빛스캔 전상훈 CTO는 자신의 페이스북에서 "현재 국내에서 발생되는 공격 위협은 대량, 다품종의 악성코드가 확산되는 상황으로 최근 출시되는 APT 장비로도 막을 수 없다"며, "사전 예방이 무엇보다 중요하며, 사전, 사후 대응 및 사후 탐지 등 단계별로 대응전략을 수립해야 한다"고 밝혔다.

전상훈 CTO는 "최근 출시되는 대부분의 APT 탐지 장비나 체제들은 감염된 이후, 즉 사후 대응과 탐지가 핵심이다. 이 때문에 소량, 다품종의 악성코드 공격의 경우에는 APT 유형 탐지 장비로 대응할 수 있지만, 만약 대량 감염이 발생한다면 사후 대응할 시간이 없기 때문에 당장 문제가 발생되고 만다"고 말했다.

전상훈 CTO는 "현재 국내의 상황은 대량 감염이 상시적으로 발생되는 상황"이며, "대량으로 유포되는 것들은 그 어느 업체에서도 적합한 해결 방안을 제시할 수 없다"고 지적했다.

전 CTO는 "감염된 이후가 아닌 감염되기 이전의 예방적 관점에서만 대량 유포를 끊어 낼 수 있고, 문제를 줄일 수 있다. 감염된 이후에는 백약이 무효일 수 밖에 없다"고 말했다.

전상훈 CTO가 설명한 악성코드 위협 유형을 요약하면 다음과 같다.

- 소량, 다품종 악성코드 공격 : APT 유형 탐지 장비 대응 가능
- 대량, 소품종 악성코드 공격 : 사후 대응 측면에서 백신 이외 방안이 없음
- 대량, 다품종 악성코드 공격 : 무대책

대량으로 유포되는 공격 방법의 핵심은 웹을 통한 모든 방문자 감염이다. 이런 감염의 근원을 끊어야 되는데 이를 위해서는 모든 웹서비스의 보안성을 일정수준 이상 유지해야 한다. 전 CTO는 이는 불가능에 가깝다. 너무 빠른 변화와 잦은 변동성은 유지를 불가능하게 만들기 때문이라고 설명했다.

전상훈 CTO는 최종 보호 대상에 대해서는 망분리 등과 같은 방안들이 강구되어야 하는데 망분리가 보안의 만능은 아니며, 단지 한 겹의 보안 단계를 더 만든 것 뿐이라는 것을 인식해야 한다고 경고했다.

"실제 차단 내역을 살펴보면 국내의 악성코드 대량 유포에 대해서 확인 할 수 있을 것이다. 하지만 차단된 악성코드는 대량으로 유포되고 수시로 변경되고 있는 악성코드 가운데 일부라는 점을 잊어서는 안될 것"이라고 덧붙였다.

"대량의 악성코드 유포에는 백신, APT 전용장비, 망분리로도 해답이 찾기 힘들다"며, "이런 유형들은 모두 소규모 유포에나 적합한 대응 방식인데, 국내는 현재 대량 감염이 적극적으로 발생되는 최전선"이라는 게 전상훈 CTO의 설명이다.

전 CTO는 이에 대한 해결 방안으로 초기 단계에서의 탐지와 차단을 통해 내부로 유입을 막는 예방을 가장 먼저 제시했으며, 이후 내부 감염을 없애거나 끊어내는 대응 체계가 필요하다고 말했다. 전 CTO가 제시한 3단계 대응 전략은 다음과 같다.

- 1단계 : 사전 감염 예방 - 대량 유포 되는 악성링크의 선제적 차단
- 2단계 : 사후 대응 - 백신을 통한 내부 감염의 제거
- 3단계 : 사후 탐지 - APT 대응 장비를 이용한 내부 감염 추출 editor@itworld.co.kr


X