"공격 수법 담긴 플레이북 공유"…팔로알토네트웍스, 2017년 보안 전망 발표

"보안 위협에 대한 정보들은 민관이 모두 공유해야 한다고 생각합니다. 저희도 60~100여개의 플레이북을 활용해 보안 공격에 대응하고 있습니다. 또 보안 분야 관련 업계들이 모여서 힘을 합치고 있는 이유도 함께 보안 위협에 대응하기 위해서입니다. 이런 정보를 기반으로 정부나 기업들이 어떻게 대응하는지 저희가 가이드하면서 수익을 내고 있습니다."

르네 본바니(René Bonvanie) 팔로알토네트웍스의  최고 마케팅 책임자는 코엑스 인터컨티넨털호텔에서 개최한 사이버 보안 행사 ‘사이버 시큐리티 써밋(Cyber Security Summit)’ 행사에서 이렇게 강조했다.

팔로알토네트웍스((https://www.paloaltonetworks.com)는 이 자리에서 2017년 보안 업계에서 주목해야 할 보안 전망으로 ▲피싱 공격의 증가와 진화 ▲자동화되고 빠른 대응이 가능한 위협 인텔리전스 기반의 효과적인 보안 전략 확보해야 ▲특정 공격 수법 관련 정보 담은 ‘플레이북’ 공유 모델 도입 ▲SaaS 앱 사용 확산으로 인한 의료 데이터 유실 사고 위험성 증가 ▲퍼블릭 클라우드의 확산에 따른 보안의 중요성 증대를 꼽았다.

팔로알토 네트웍스의 르네 본바니(René Bonvanie) 최고 마케팅 책임자는 “진화된 사이버 공격으로 인한 피해가 커지고 있는 것은 물론, 알려지지 않은 새로운 보안 위협이 지속적으로 출연하고 있다. 또한 연결성이 확대되고 있는 상황에서, 이제는 웹 혹은 이메일 보안만으로는 미래의 사이버 공격자들로부터 기업을 안전하게 지킬 수 없다. 사이버 범죄자들이 어떻게 잠입하고 어떤 방식으로 공격을 실행하는지에 대한 라이프사이클을 분석하여 이에 대한 정확한 이해와 이에 대응할 수 있는 최적의 지능형 차세대 보안 플랫폼을 갖춰야 할 때이다”라고 말했다.



팔로알토 네트웍스의 2017년 보안 전망의 자세한 내용은 다음과 같다.

피싱 공격의 증가와 진화
오랜 기간 다양한 피해 사례를 발생시킨 피싱 수법이 여전히 해커들에게 환영 받는 공격 수단이 될 것으로 전망된다. 2016 버라이즌 데이터 침해 보고서에 따르면, 타깃에게 발송된 피싱 메시지의 30%가 오픈 되며, 악성 첨부파일을 클릭하는데 걸리는 시간은 평균적으로 3분 45초 이내인 것으로 조사됐다. 매우 효과적이며, 성공률이 높은 공격 수단이라는 것을 반증하는 수치이다. 안티 피싱 워킹 그룹(APWG)의 2016년도 2분기 피싱 트렌드 보고서에 따르면, 2016년도 2분기 동안 발견된 피싱 사이트는 466,065 개로 집계되어 2016년도 1분기 대비 61% 증가한 것으로 나타났다. 공격자들은 점점 더 실제와 유사한 이메일 및 랜딩 페이지를 무기로 삼아 2017년 더욱 활발하게 활동할 것으로 전망된다.

자동화되고 빠른 대응이 가능한 위협 인텔리전스 기반의 효과적인 보안 전략 확보해야
보안 공급업체들과 선량한 화이트 해커들은 침해가 발생했음을 알리는 새로운 지표를 찾아내는데 지속적인 노력을 기울이고 있다. 지표를 확인한 후에는 방어 기제로 전환하여 이를 제어할 수 있는 방안을 탐색하고 보안 툴에 적용함으로써 공격의 라이프사이클이 가능한 빠르게 종료 될 수 있도록 조치한다. 이러한 과정을 실행 가능한(actionable) 인텔리전스라고 지칭한다. 과거에는 네트워크 보안 업체들이 일련의 과정을 모두 실행하는데 짧게는 며칠에서 수 주, 혹은 수 개월이 소요되기도 했다. 이 과정을 단축시키기 위해서는 자동화가 이루어져야 한다. 애널리스트가 인텔리전스 보고서를 읽고 분석하여 시스템에 적합한 방어 기제를 적용한 후 직접 제어하는 대신 네트워크 단의 자동 시스템이 이 모든 과정을 대체함으로써 네트워크 안정성을 높이고 효과적인 보안 전략을 확보할 수 있다.

특정 공격 수법 관련 정보 담은 ‘플레이북’ 공유 모델 도입
과거에는 네트워크 보안 커뮤니티에서 침해 지표를 공유함으로써 주요 사례(best practice)를 구축해 왔다. 그러나 이러한 접근법은 많은 경우에 수집된 지표들 간의 상황적 연관성을 찾아낼 수 없다는 한계가 있다. 일반적으로는 네트워크 보안 업체에서 차단해야 할 악성 IP, URL, 파일 해시 등을 수집해왔으나, 이는 공격자의 라이프사이클 중 특정 포인트에 해당 되는 데이터라는 한계가 있다. 해당 침해 지표에 맞춰 차단 시스템을 구성하는 경우 다른 방법을 사용해서 우회할 수 있는 여지를 남겨두는 것이다. 이러한 방법론에 대한 대안으로 일부 네트워크 보안 커뮤니티에서는 특정 공격 집단에 대한 플레이북을 통해 지표를 공유하고 있다. 플레이북에는 특정 공격 수법에 관련된 모든 지표가 담겨 있으며, 이를 기반으로 네트워크 보안 업체들은 공격의 전체 라이프사이클 중 하나의 포인트를 차단하는 대신 공격의 모든 단계에 대한 방어 기제를 구축할 수 있다. 기존에는 공격자가 차단 포인트를 발견하고 나면 이를 우회할 수 있는 방법을 계속 시도할 수 있었지만, 플레이북 모델의 경우 공격자가 다른 옵션을 선택할 여지를 제공하지 않는다. 공격을 성공시키기 위해서는 완전히 새로운 공격을 다시 설계해야 하는 것이다. 플레이북 모델을 도입할 경우 네트워크 보안 업체에서는 단순히 하나의 포인트를 방어하는 것이 아니라, 공격자가 시도할 수 있는 모든 포인트에 대한 방어 기제를 마련해 둘 수 있다.

SaaS 앱 사용 확산으로 인한 의료 데이터 유실 사고 위험성 증가
다양한 의료 기관들이 정보를 효과적으로 공유하기 위해 클라우드 기반의 SaaS 애플리케이션을 사용하는 사례가 늘어남에 따라 이 과정에서의 보안 사고 가능성 또한 높아질 것으로 전망된다. 개인 의료 정보(PHI)를 공유하는 과정에서 파일 접근 권한이 있는 사용자들을 통해 데이터가 유출될 수 있기 때문이다. 이 중 일부 서비스의 경우 엔터프라이즈 버전을 통해 무료 버전 사용자들 또한 접근이 가능하지만 관리자가 권한을 엄격하게 관리할 수 있도록 지원하고 하고 있다. 의료 기관에서 내, 외부의 사용자들에게 합법적인 방법으로 파일 공유 서비스를 제공하고, 인증되지 않은 사이트 사용을 금지하더라도 과도한 정보 공유로 인한 진료 데이터 유출 가능성이 높아지고 있다.

퍼블릭 클라우드의 확산에 따른 보안의 중요성 증대
금융 시장은 퍼블릭 클라우드 컴퓨팅 도입의 마지막 경계에 있는 것으로 알려져 있다. 정보 보안에 대한 우려로 대부분의 금융 기관들이 퍼블릭 클라우드 사용을 주저하고 있는 가운데, 아마존웹서비스(AWS)와 마이크로소프트 애저(Azure)의 금융 기관 도입 사례가 연이어 공개되고 있다. 2016년 한해 동안 테스팅 및 평가, PoC 등 다양한 과제가 사이버 보안 사례에 중점을 두고 진행된 것으로 알려졌으며, 2017년은 클라우드 컴퓨팅에 대한 금융업계의 도전이 결실을 맺는 한 해가 될 것이다. 초반에는 민감 데이터 사용이 적은 애플리케이션을 중심으로 시작되는 한편 금융 시장에서의 클라우드 사용에 대한 우려의 목소리가 점차 줄어들 것으로 분석되고 있다. 탄력성, 확장성, 비용 효율성 등 클라우드 컴퓨팅의 이점이 확실시 되고 있는 상황에서 보안 기술이 단순히 서비스에 추가되는 대신 아키텍처로써 통합됨으로써 퍼블릭 클라우드 사용이 늘어날 것으로 전망된다.

한편 팔로알토 네트웍스는 13일 코엑스 인터컨티넨탈호텔에서 ‘사이버 시큐리티 써밋(Cyber Security Summit)’을 개최했다. 국내외 보안 전문가 1000여명이 참석한 가운데 업계 다양한 전문가들이 연사로 참여해 진화하는 사이버 위협에 효과적으로 대응하기 위한 방안을 심도 깊게 논의하는 한편 보안 시장의 최신 트렌드 및 적용 사례를 발표했다.

‘사이버 시큐리티 써밋’은 우리나라 외에도, 호주, 태국, 인도네시아 등 아태지역 5개 국에서 개최된 보안 업계 대표 행사로, 국내에서 열린 보안 행사 중 가장 큰 규모로 진행되었으며, 사이버 보안에 대한 총체적인 내용을 다루는 한편 글로벌 시장에서 쌓아온 팔로알토 네트웍스의 보안 리더십을 공유해 참석자들로부터 큰 호응을 얻었다. <테크수다 Techsuda>