전문가 컬럼|2016.04.08
클라우드 기반 위협 인텔리전스 서비스로 지능형 공격 대응
2010년 이후로 악성코드의 수가 급격히 증가하면서 기존 악성코드 탐지 기술이 한계를 드러내게 됐으며, 클라우드 컴퓨팅 기술이 악성코드 탐지의 새로운 해법을 제시하게 됐다.클라우드 컴퓨팅은 보안업체의 연구, 분석, 서버와 다수의 시스템을 네트워크로 연결해 정보를 실시간으로 주고 받기 위해 활용되고 있다. 이러한 보안기술을 적용해 방대한 데이터를 수집하고 통합적으로 분석해 ‘알려진 위협’과 ‘알려지지 않은 위협’에 대응하는 ‘위협 인텔리전스(Threat Intelligence)’가 부상하고 있다. ‘악성코드 분석’ 패러다임의 변화 가트너는 위협 인텔리전스를 다음과 같이 정의한다. “현재 존재하거나 발생이 임박한 위협에 대한 증거 기반의 지식이며, 위협 대응에 관한 결정사항을 알려줄 수 있어야 한다.(2013)” 가트너 정의를 세밀하게 살펴보면, 첫째 ‘현재 또는 임박한 위협’은 알려진 위협과 알려지지 위협을 탐지하는 것으로 분류해 살펴볼 수 있다. 알려진 위협은 방화벽, IPS , 안티바이러스 등 기존 보안장비도 탐지, 차단, 치료가 가능하다. 알려지지 않은 신종 위협정보를 탐지하는 것이 더 중요하며 이를 수집, 분석하는 것이 위협 인텔리전스의 핵심이라고 할 수 있다. 또 다른 요건으로 꼽히는 ‘증거 기반의 지식’은 탐지된 악성코드가 구체적으로 어떤 행위를 하는지 알 수 있어야 한다는 것이다. 대부분 안티바이러스는 탐지명, 악성여부만 알려주지만, 실제 지능형 위협 탐지를 위해서는 악성으로 판명된 코드가 수행한 어떤 행위가 악성인지 상세분석내용을 증거로 제시할 수 있어야 한다. ‘위협 대응 의사결정 지원’은 탐지된 위협에 대한 대응방법을 알려주는 것을 말한다. 각종 사이트에서 글로벌 위협정보를 목록화, 시각화해 보여 주는 곳은 많지만 그 위협이 해당 조직에 실제로 피해를 입힐 것인지, 피해의 정도와 규모, 그리고 그 위협에 어떻게 대응해야 하는지 가이드와 적용방법을 제공해 야 한다. 즉 악성코드를 탐지할 때 하나의 의심스러운 샘플을 특정분석 기법만으로 해결하려는 방법이 아니라 연관된 모든 데이터들을 동원해 통합적인 관점에서 분석해 위협을 감지할 수 있다는 점에서 지능형 위협에 보다 포괄적인 대안으로 제시되고 있다. 이를 위해서는 끊임없이 나타나는 신종 악성코드와 최신 위협 동향을 지속적으로 철저하게 조사하고 분석해야 하며, 나아가 종합적인 위협 인텔리전스를 시각화하는 것이 중요하다. 네트워크를 통해 내부로 유입되는 악성코드들은 PC에 상주하면서 시스템 권한을 획득한 후 공격을 시도한다. 따라서 네트워크, 위협 인텔리전스, 엔드포인트 등을 연계한 보안 기능 체인화를 완성해야 한다. 전체 위협에 대한 가시성을 확보하고, 네트워크 단에서 발생하는 각종 이벤트뿐만 아니라 엔드포인트에서 발생하는 의심행위와 이상징후를 능동적으로 찾아내고 대응하는 프로세스를 제공해 통합 보안으로서 상호 유기적으로 결합된 방어체계를 제공해야 한다. <그림 1> 통합·상호 유기적으로 결합된 방어체계 네트워크-위협 인텔리전스-엔드포인트의 방어체계 시큐아이가 운영하는 위협 인텔리전스인 ‘STIC(SECUI Threat Intelligence Center)’의 경우, 네트워크-위협 인텔리전스-엔드포인트 사이버 위협 대응체계의 위협 인텔리전스 등 3개 부문으로 구성돼 모든 영역에서 보안위협을 차단한다. 네트워크, 엔드포인트, 써드파티 인텔리전스 등 넒은 범위의 위협정보를 위협 인텔리전스로 수집하고, 다각적 분석 기술과 위협 인텔리전스를 연결해 보안위협의 중요한 이벤트에 대한 우선순위를 산정한다. 또한 해당 위협에 대한 통계분석 자료와 공격주체, 공격기법 등의 축적된 정보를 즉각 대응할 수 있는 정보로 가공해 방화벽, IPS, 엔드포인트 등에 반영한다. 현재와 같이 고도화된 공격을 탐지하기 위해서는 악성코드가 침투할 수 있는 경로에 위치한 보안솔루션과 위협 인텔리전스 기술이 조화를 이뤄야 하며, 수집된 로그와 분석의 흐름을 분명하게 볼 수 있어야 한다. STIC의 핵심기술은 다음과 같다. ● 클라우드 컴퓨팅 위협 인텔리전스의 핵심 기술 중 첫 번째는 클라우드 컴퓨팅기술을 이용해 민첩성과 유연성을 확보하는 것이다. 클라우드 컴퓨팅 기술의 특징은 단말과 서버간의 양방향 통신이 가능하다는 것이며, 이 기술을 도입하면 새로운 위협에 실시간 적으로 대응할 수 있다. 예를 들면, 웹을 통해 내부로 유입되는 파일과 사용자가 접속하는 URL 정보 등을 즉시 클라우드 서버에 전송하고, 단말에서 의심스러운 정보를 발견 즉시 분석 요청을 할 수 있다. 악성코드가 자신을 은폐하거나 삭제하기 전에 해당 악성코드를 분석하고 대응할 수 있는 기회를 가질 수 있게 된다. 사용자 PC의 경우, 프로세스, 메모리, 레지스트리, 네트워크, 파일 행위 등을 종합적으로 분석해 이상행위로 감지된 공격은 위협 인텔리전스 센터로 전달돼 최종 공격 여부를 판단한다. 포착된 공격은 STIC에 연결된 모든 네트워크 보안 장비와 엔드포인트에 업데이트 해 악성코드 활동을 차단한다. <그림 2> 양방향 통신을 통한 실시간 분석 네트워크 보안 장비의 경우에도 내부로 다운로드 되는 파일, 사용자가 접속하는 URL, 유입된 파일의 메타정보, 네트워크 커넥션 정보 등을 전송해 위협 확산을 방지한다. 분석 되지 않은 파일, URL, IP 등에 대한 정보가 왜 중요할까? 이는 현재 존재하거나 발생이 임박한 위협에 대한 증거지식으로 볼 수 있기 때문이다. 따라서 알려지지 않은 정보를수집해 과거 분석된 데이터와 함께 통합적으로 분석하는 것이 위협 인텔리전스의 핵심이라 할 수 있다. 최근 서로 다른 악성코드를 조합한 공격이 늘어나면서 이와 같은 접근 방법은 효과적인 탐지 방법이 되고 있다. 서로 다른 단말에서 수집 된 다양한 분석 결과 데이터를 통합 분석함으로써 과거와는 다른 시각에서 분석이 가능하게 된 것이다. 동적 분석 및 정적 분석 데이터를 통합하고, 개별적인 공격을 연계하는 방법을 심층적으로 이해하면 악성코드 차단효과를 극대화 할 수 있다. ● 빅데이터 두 번째 핵심 기술은 분석 성능에 대한 요구를 보여주는 ‘빅데이터’다. 빅데이터는 많은 데이터를 분석대상으로 해 위협에 대한 예측력 을 높이고, 위협 가시성을 확보함으로써 새로운 위협을 탐지하는 흐름으로, 막대한 컴퓨팅 파워가 전제 조건으로 형성돼야 한다. 데이터가 폭증하는 현실에서 정형 데이터는 물론, 비정형, 반 정형 데이터 등 각종 다양한 데이터를 분석대상으로 하는 빅데이터는 강력한 컴퓨팅 파워에 의한 신속한 분석이 전제되지 않는다면, 결코 성립될 수 없다. <그림 3> 연관정보를 통한 위협 탐지 방대한 데이터 분석에 성공하더라도 분석에 오랜 시간이 소요돼 적절한 시기를 놓친다면 분석의 가치가 떨어지기 때문이다. 예컨대 3·4 대란과 같은 공격을 정확히 예측하는데 성공했다고 하더라도, 이 예측이 공격 발생 후 몇 일이 지나 도출됐다면, 예측의 가치는 떨어진다. 특히 수많은 기기가 네트워크에 연결돼 보안의 가시성을 제공하는 인터넷 환경에서 성능은 매우 중요한 요소다. 각종 네트워크 보안 장비, 엔드포인트, 써드파티 인텔리전스 등이 생성하는 수많은 데이터를 빠르게 취합, 분석해 유의미한 정보로 가공, 전달할 수 있어야 클라우드 컴퓨팅 기술의 이점을 극대화 할 수 있기 때문이다. 따라서 위협 인텔리전스 센터 전반의 강력한 컴퓨팅 성능이 필수적이다. ● 연관관계 도출을 통한 ‘위협 추출’ 세 번째는 강력한 컴퓨팅 성능을 기반으로 수많은 센서로부터 수집, 분석, 저장된 데이터 안에서 가치 있는 데이터를 뽑아내는 것이다. 단순히 수집된 샘플을 분석하는 것에 머무르지 않고 샘플에서 추출한 데이터 속에서 가치 있는 정보를 찾아내야 한다. 가치 있는 정보를 얻어내기 위해서는 먼저 대량의 데이터를 차곡차곡 쌓아 놓고 잘 정돈한 후 불필요한 데이터는 걸러내야 한다. 일차적으로 정리된 데이터를 잘 살펴보면서 서로 관련성 있는 데이터들을 세부적으로 분석하고 정리해서 가치를뽑아내야 한다. STIC의 예와 같이 위협 인텔리전스는 ‘클라우드 컴퓨팅’, ‘빅데이터’, ‘연관관계 분석’, ‘동적/정적분석’, ‘사전 필터링’ 기술과 같은 다각적 분석 기술을 통해 지능형 위협에 효율적 대응 전략을 제공해야 한다. 위협 인텔리전스 서비스로 지능형 공격 대응 시큐아이는 종합적인 위협 정보를 제공하는 플랫폼으로 STIC를 서비스 형태로 제공할 예정이다. 뿐만 아니라 사이버위협에 대한 조기 예·경보 대응책을 지원하고, 글로벌 위협을 사전에 인지해 공격을 예방하기 위한 서비스를 관제, 분석가, 일반 사용자들에게 까지 광범위하게 제공할 계획이다. 또한 오픈API 연동을 통해 지능형 보안 위협에 대응할 수있는 보안방어 체계 구축을 지원한다. 이를 통해 자체적으로 플랫폼을 구축하기 힘든 기업에 API 연동만으로 해소할 수 있도록 지원할 계획이다. 이미 STIC는 차세대 방화벽, 차세대 IPS, APT 솔루션들을 오픈API로 연동하여 지능형 보안 위협에 대한 통합 보안 방어체계를 구축했다. STIC 서비스 주요 기능 <그림 4> STIC 서비스 개념도 시큐아이가 위협 인텔리전스 연동을 통해 악성코드를 차단하는 방법은 다음과 같은 4단계로 이뤄진다. - 1단계 수집단계: 단말에서 의심 샘플 정보 추출 및 수집(접속URL/IP, 내부로 유입된 파일) - 2단계 접수단계: 의심 샘플 정보를 실시간으로 클라우드 서버에 분석 요청 - 3단계 분석단계: 의심샘플 다각적인 분석(시큐아이 인텔리전스 분석 5단계) - 4단계 대응단계: 단말로의 악성코드 차단 정보 제공 분석단계에서는 인텔리전스 분석 5단계를 거친 후, 결과가 악성인지 정상인지 모호할 경우에는 분석가에 의해 심층 분석이 수행된다. 분석이 완료되면 분석을 요청한 단말에 피드백을 주고 동시에 STIC에 연결된 모든 단말에 신속히 반영해 악성코드에 대한 차단효과를 극대화 하게 된다. 클라우드 기반 STIC 서비스를 이용해 많은 리소스를 필요로 하는 고도화된 분석 작업을 외부 서버에서 수행함으로써 새로운 악성코드 탐지 이슈를 해소하고, 동시에 단말에서의 분석에 따른 과도한 리소스 점유율 문제를 해결한다. 클라우드 기반 위협 인텔리전스 서비스는 공격이 발생한 후 처리를 시작해 피해의 확산을 막는 것이 목적이다. 안티바이러스를 실시간에 가깝게 대응할 수 있도록 해주고, 서비스 형태의 위협 인텔리전스 플랫폼을 통해 지능형 위협에 빠르게 대응할 수 있다. 현재의 보안 위협은 어느 한 가지 제품만으로 완벽하게 막을수 없기 때문에 특정 보안 솔루션에 의존하기보다 자주 발생하거나 예측 가능한 보안사고를 면밀히 분석해 다각적인 관점에서 분석하고 빠르게 대응하는 것이 필요하다. 시큐아이 R&D센터 클라우드서비스개발팀 강기수 책임연구원
대외행사|2016.03.21
Next Generation Netwk Security Vision 2016 참가
시큐아이는 지난 3월 10일 삼성동 코엑스인터컨티넨탈호텔 하모니볼룸에서 네트워크타임즈에서 주관하는 차세대 보안 세미나 NGNS 2016에 참가하였습니다. 당사는 새롭게 출시된 차세대 방화벽 SECUI MF2 AE와 차세대 IPS SECUI MFI v4.0을 선보여 기업 보안 관계자들의 높은 관심을 보였습니다.
전문가 컬럼|2016.03.21
[연구소 탐방] 시큐아이 RD센터
MFI 뉴에디션’ 개발한 시큐아이 R&D센터 … “글로벌 보안 트렌드 맞춘 NGIPS로 보안 패러다임 전환 이끌 것” “차별화된 NGIPS로 글로벌 시장서도 경쟁우위 보일 것” 시큐아이가 새로운 네트워크 보안 제품을 연이어 발표하며 대대적인 변신을 선언했다. 차세대 보안에서 요구하는 다양한 기능을 한 단계 더 발전시키는 한편, 지능형 공격 방어를 위한 에코시스템을 만들고 신속한 침해대응 기능을 업그레이드하고, 동시에 관리 편의성을 한층 높인 것이다. 최근 발표한 차세대 IPS ‘MFI 뉴에디션’은 시큐아이의 차세대 보안 전략을 보여주는 대표적인 제품으로, 콘텐츠 인지 기능을 한차원 더 업그레이드 시켜 지능적인 공격을 차단할 수 있도록 했다. 시큐아이 R&D센터를 찾아 ‘MFI 뉴에디션’에 대한 상세한 특징과 함께 향후 네트워크 보안 기술의 발전 방향에 대해 들어보았다. 사이버 공격의 패러다임이 또다시 바뀌고 있다. 특정 타깃에 맞춰 정교하게 제작된 소수의 악성코드를 이용하는 공격이 아니라, 자동화된 악성코드 제작 툴킷을 지하시장에서 저렴하게 구입해 다수에게 피해를 입히는 방식으로 확대되고 있다. 공격이 일상화되고 있으며 수많은 신변종 악성코드를 이용해 교묘하게 보안 시스템과 정책을 우회하는 방법으로 방어를 어렵게 만들고 있다. 2010년경부터 네트워크 보안 기술의 흐름을 주도해 온 차세대 방화벽(NGFW)은 새로운 공격 트렌드에 맞춰 ‘차세대 네트워크 보안 플랫폼’으로 진화하고 있다. 그러면서 NGFW과 통합돼 점차 시장의 관심에서 멀어져갔던 IPS가 차세대 IPS(NGIPS)로 독립해 본격적인 성장을 시작해 주목을 받고 있다. 시큐아이가 새롭게 출시한 ‘시큐아이 MFI 뉴에디션(이하 MFI)’가 NGIPS 시장을 리드하는 대표적인 제품으로, 진화하는 사이버 공격을 차단하고, 지능적인 선제방어 전략을 전개할 수 있도록 도와준다. 시큐아이 R&D센터의 김선호 수석연구원은 “공격의 패러다임이 바뀌고 있는 만큼, 보안 솔루션도 새로운 공격 트렌드에 맞는 기술을 개발시켜 나가야 한다. MFI는 이러한 이상을 기반으로 개발된 제품으로, 국내는 물론 글로벌 시장에서도 경쟁할 수 있는 기술적인 수준을 갖췄다”고 말했다. 한 단계 진보한 NGIPS로 지능형 사이버 공격 방어 새로운 MFI는 애플리케이션 인지, 사용자 인지 등 기존 차세대 보안 기술과 함께 콘텐츠 인지, 상황인지 기술을 한 차원 더 발전시켜 지능화되는 사이버 공격에 대비할 수 있도록 한다. 김선호 수석연구원은 “올해 사이버 범죄는 랜섬웨어와 같은 금전적인 목적의 공격, 사물인터넷(IoT)에 대한 공격 등 다양하고 넓은 분야에서 발생할 것이며, 이전보다 더욱 큰 피해를 양산하게 될 것”이라며 “진화하는 공격에 대응하기 위해 MFI는 콘텐츠와 상황인지 기능을 강화하고, 보안 정책 적용을 자동화해 관리자의 개입을 최소화하면서 공격 탐지?차단 정확도를 높였다”고 설명했다. 한영호 책임연구원은 이에 덧붙여 “진보한 사이버 공격 방어 전략의 하나로 새로운 NGIPS가 요구되고 있다. 오?미탐 없이 정확하게 공격을 탐지하고 빠르게 차단하며, 공격의 세부적인 내용을 분석해 대응할 수 있도록 해야 한다”고 강조했다. 이러한 요구를 수용한 MFI은 네트워크 트래픽으로부터 웹 기반 애플리케이션, 메신저, 클라우드 기반 데이터 저장 서비스, P2P 서비스등 다양한 종류의 애플리케이션을 인지하며, 애플리케이션 종류, 사용량을 파악하고 네트워크 환경이나 업무 환경, 위험도에 따라 상세한 제어가 가능하다. MFI의 차별화된 강점을 꼽는다면 수동형?능동형 상황인지 기능을 접목해 탐지 정확도를 한층 높였다는 점이다. 수동형 상황인지는 네트워크 트래픽으로 부터 접속하는 단말의 IP 주소와 접속 국가 및 지역, 애플리케이션, OS 등의 정보를 실시간으로 분석하는 기술이며, 능동형 상황인지는 내부 망에서 운영중인 단말의 다양한 정보를 스캐너를 통해 수집하는 방식이다. 수동형 상황인지 기술은 기존 차세대 보안 기술에서도 제공하고 있지만, 능동형 상황인지 기술까지 접목하는 방식은 시큐아이가 처음으로 소개하는 전략이다. 독자적으로 개발한 취약점 스캐너 ‘시큐아이 스캔’을 이용해 실시간 트래픽을 분석, 진행되고 있는 공격은 물론이고 공격을 당할 수 있는 취약점을 알려줘 공격을 예방할 수 있도록 한다. ‘시큐아이 스캔’은 취약점 정보 수집 뿐만 아니라 MAC 주소, 윈도우 호스트 이름, 디바이스 종류, OS 정보, 오픈된 네트워크 포트 인지 등 수동형 상황인지 기능을 통해 수집할 수 없는 정보를 수집해 분석한다. 수집된 취약점은 IPS 시그니처와 연동해 보안정책을 적용할 수 있는데, 예를 들어 스캐너에 CVE 취약점이 수집되면, IPS에 관련 시그니처 정책이 적용돼 있는지 확인하고 활성화해 보안을 강화할 수 있다. 김선호 수석연구원은 “독자적인 스캐너와 NGIPS를 연동하는 방식의 보안기술은 외산 솔루션과도 차별화된 기술로, NGIPS를 통과하는 단말의 트래픽은 물론이고, 내부에서만 운용중인 단말의 정보까지 수집 및 분석함으로써 보안 홀 없이 모든 트래픽을 분석할 수 있도록 한다”고 설명했다. 이민호 책임연구원은 “글로벌 NGIPS 중에서도 단일 벤더에서 스캐너와 함께 내부 자원 정보를 연동하는 곳은 거의 없다.”며 “수동적?능동적 상황인지 기술을 병행하는 방식으로 공격을 예상해 선제적으로 방어정책을 적용할 수 있으며, 각 트래픽 정보를 매칭해 공격 정탐률을 높여 보안을 더욱 강화할 수 있다”고 밝혔다. 양방향 암호화 트래픽 가시성 제공해 우회공격 차단 상황인지 기능에는 IP 지역정보와 사용자 정보도 포함된다. IP 지역정보 연동 기능은 국가별로 할당된 IP 대역정보를 이용해 트래픽이나 공격이 발생한 국가를 인지하고 이를 이벤트 로그나 보안기능과 연동하는 기술로, 오래 전 부터 사용되어온 기본적인 상황인지 기술이다. 그러나 이 기술은 특정 국가에 대한 트래픽 통제를 단순 패킷 유입으로만 제어할 때 국내에서 국외로 접속이 필요한 정상적인 서비스까지 차단된다는 문제가 있다. MFI는 해당 국가에서 유입되는 접속만을 차단해 유해트래픽을 지능적으로 막는다. 사용자 인지 기능도 경쟁사와 대비되는 차별점이다. 기업/기관에서 사용하는 단말 인증 시스템을 이용해 동적IP가 사용되는 환경에서도 정확하게 사용자를 제어하고 이벤트 발생 시점의 단말 이용자를 정확하게 파악한다. 또한 기업/기관에 기 구축된 사용자/IP 정보 관리 DB를 활용해 사용자 역할에 따른 정책관리를 제공한다. Proxy를 통한 우회공격도 MFI에서 차단할 수 있다. Proxy를 통해 접속하는 경우, 접속자의 IP가 Proxy IP로 변경되기 때문에 발생한 트래픽의 실제 사용자를 알 수 없지만, MFI는 X-Forwarded-For 헤더의 정보를 활용해 공격자의 IP를 파악하여 보안 정책에 적용할 수 있도록 했다. 양방향 암호화 트래픽 가시성도 획기적으로 개선된 부분이다. 일반 보안 장비에서 암호화 트래픽은 분석하지 않는다는 점을 악용해 공격자들은 암호화 트래픽에 악성코드를 숨겨 유입시킨다. 그래서 최근 출시되는 보안 제품은 인입되는 트래픽에 대한 복호화 기능을 개선시켰지만, 외부로 나가는 암호화 트래픽은 분석하지 않는다. 이 경우 중요한 정보가 불법적으로 유출되거나 C&C 서버와의 통신 등을 파악하지 못한다. MFI는 양방향 암호화 트래픽 분석을 통해 네트워크 내부로 유입되는 암호화 트래픽은 물론, 밖으로 빠져나가는 트래픽에서도 중요정보나 이상행위를 찾아낼 수 있다. 이와 같은 인지기능은 로그정보와 통합돼 이벤트 발생 시점의 상황을 관리자에게 제공하는 한편, 시큐아이가 운영하는 위협분석 및 대응시스템과 연동해 이벤트 발생 시점의 상황을 분석해 실제 공격 성공 가능성에 대한 정보를 제공한다. 다양한 보안 제품과 연동해 탐지능력 강화 실시간으로 발생하는 수많은 공격 이벤트 중 실제 기업/기관에 피해를 입히는 공격을 관리자가 직관적으로 알아내는 것은 쉽지 않은 일이다. MFI는 공격 위험 정도에 대한 점수를 수치화 해 대응 우선순위를 알려주는 장치도 마련했다. 한영호 책임연구원은 “MFI 뉴 에디션은 관리자가 실제 공격을 쉽고 정확하게 분석하고 빠르게 대처할 수 있도록 지원하는 한편, 미리 공격을 예측해 선제방어 할 수 있도록 하는데도 중점을 두었다”고 설명했다. 선제방어를 위한 방법으로, MFI에서 발생한 이벤트를 관리자가 클릭해 시큐아이 침해대응센터와 연동시켜 신속한 피드백을 제공받을 수 있다. 분석 지원 요청이 발생하면 즉시 등록 결과를 알리고, 정오탐 분석 및 결과를 STIC(SECUI Threat Intelligence Center)와 연계해 악성코드 및 URL에 대한 점검까지 수행하며 메일로 신속하게 분석 결과를 통보한다. 특히 MFI에서 직접 클릭해 시큐아이 침해대응센터로 이벤트를 전송하는 방식은 정확한 공격 분석 능력을 제고할 수 있는 방법으로, 여러 채널을 거치지 않기 때문에 정보가 왜곡되지 않고 빠르게 분석하고 대처할 수 있도록 한다. 복잡하게 전개되는 사이버 공격은 보안 제품 하나로 막을 수 없으며, 단일 벤더 제품만으로도 막지 못한다. 그래서 사이버 공격 방어를 위한 에코시스템 형성이 매우 중요한 일이며, 타사 보안 제품과도 연동해 지능적으로 진행되는 공격에 대한 탐지능력을 강화해야 한다. MFI는 자사 제품은 물론, 타사 제품과의 호환성을 크게 높였으며, 차세대 방화벽, APT 방어 솔루션, 취약점 점검 스캐너등 다른 제품과 쉽게 연동될 수 있도록 했다. 서연식 선임연구원은 “MFI는 제품 자체에서 분석한 정보를 제공할 뿐 아니라 타사 제품에서 발생하는 이벤트와 연계한 분석정보도 제공하며, 관리자가 직관적으로 알아볼 수 있게 해 정책에 반영할 수 있도록 한다”며 “클릭 한 두 번만으로 정책 변경이 가능하고, 상세하고 다양한 정보 분석을 제공해 오?미탐을 줄이고 정탐률을 높일 수 있다”고 설명했다. 김선호 수석연구원은 “MFI는 정확한 콘텐츠 분석과 다양한 상황을 종합적으로 분석하는 기능, 침해대응센터와 긴밀하게 연계해 공격을 정확하게 파악하고 대응할 수 있는 기능 등 다양한 기능을 실제로 구현했다. 특히 이처럼 다양한 기능을 이용하면서도 관리업무는 더욱 단순하게 하면서 공격 가시성을 높일 수 있으며, IPS 성능도 크게 개선했다는 점에서 경쟁사와 차별화된다”고 말했다. 김선호 수석연구원은 “시큐아이는 NGIPS의 획기적인 성능과 기능 개선을 통해 국내 시장에서의 입지를 확고히 다지는 한편, 글로벌 시장에서도 경쟁력을 강화할 수 있도록 했다”며 “MFI 뉴 에디션은 외산 제품과 경쟁할 수 있는 수준의 기술력을 제공해 글로벌 시장에서도 충분히 경쟁우위를 가질 수 있다고 자신한다”고 밝혔다. |글 네트워크타임즈 김선애 기자?iyamm@datanet.co.kr||사진 기구룡 기자?photoi@naver.com|
전문가 컬럼|2016.03.21
차세대 IPS, 위협 인텔리전스 연동해 한단계 업그레이드
보안 장비들과 네트워크 환경 네트워크 공격자로부터 내부 자원을 보호하기 위해 다양한 보안 장비들이 관문이나 서버팜에 위치하여 위협에 대처하고 있고, 방화벽, IPS, DDoS 방어 장비, WAF등의 보안 장비는 이미 기본적인 방어 시스템화되어 대부분의 기업이나 공공기관에서 운용중이다. 초고속 네트워크의 보급과 모바일 디바이스의 급속한 확산 및 애플리케이션의 폭발적 증가 및 다양한 보안 위협 툴의 보급으로 인해 해커들뿐만 아니라 누구나 손쉽게 다양한 공격을 할 수 있는 환경이 되었고, 금전적 목적을 위해 범죄 조직이 관여하여 정교하고 진보된 공격을 수행하고 있다. 방화벽의 운용으로 외부로 노출된 자원 및 서비스는 대부분 차단되어 있지만, DDoS 일부 공격을 제외한 대부분의 공격은 정보 공유를 위한 웹과 전자 메일 서비스을 통해 이루어 지고 있고, 이와 더불어 직접 내부 서버를 공격하기 보다는 내부 자원이 인터넷에 접근할 때, 이를 감염시켜 내부의 네트워크로 접근을 위한 매개체로 이용하거나 좀비화하여 2차 공격에 사용하는 공격들이 증가하고 있다. NG IPS 등장의 배경과 보안 위협 전통적인 IPS는 프로토콜 이상 유무, 시그니처 기반의 공격 탐지 및 차단 지원한다. 그러나 네트워크 환경의 변화에 따라 다양한 신종 및 변종 공격 출현 및 SSL을 통한 보안 장비의 우회 공격이 증가하고, 서버 취약점 공격뿐만 아니라 클라이언트를 대상으로 악성 코드나 랜섬웨어 배포 공격을 수행한다. 이러한 사용자들에 대한 공격은 웹이나 메일 서비스를 통해 OS나 프로그램의 취약점을 이용하는 공격을 사용한다. 이에 대해 전통적인 IPS 장비에서는 탐지 및 대응이 어려워짐에 따라, Next Generation IPS의 개념이 도입되었고, IPS 업체는 NG개념을 탑재한 IPS를 출시하고 있으며 벤더 마다 접근 방향에 따른 차이점이 존재 한다. 가트너 그룹이 발표한 NG IPS 기능의 요약은 다음과 같다. NG IPS는 표준 1세대 IPS 기능을 포함하고 애플리케이션 인지와 애플리케이션 레이어 상태의 보안 정책 적용, IPS의 정책 결정을 위한 다양한 소스들의 정보 사용, 파일에 대한 분류 및 검사 등 위협에 적합한 대응을 할 수 있도록 인지 기능을 제공해야 한다. NG IPS의 주요 기능 및 활용 NG IPS의 가장 큰 기능적인 요소는 인지 기능이다. 인지 기능은 관리자에게 이벤트에 대한 분석 정보를 제공할 뿐만 아니라 내부 리소스에 대한 정보를 파악함으로써 위협에 대한 사전 예방을 수립할 수 있게 한다. 애플리케이션 인지 및 제어 차세대 보안 기능의 가장 대표적인 기능은 애플리케이션 인지 기능이다. 애플리케이션 인지 기능은 네트워크 트래픽으로부터 웹 기반 애플리케이션, 메신저, 클라우드 기반 데이터 저장 서비스, P2P 서비스등 다양한 종류의 애플리케이션을 인지한다. 애플리케이션이 인지되면 관리자는 네트워크상의 애플리케이션에 대한 종류, 사용량을 파악하고 네트워크 환경이나 업무 환경, 위험도에 따라 애플리케이션등을 제어할 수 있다.. 상황인지 관리자가 위협에 효과적으로 대응하기 위해서는 네트워크 상황과 연결되어 있는 단말을 인지하는 것이 필요하다. NG IPS는 관리자에게 다양한 인지 정보를 제공하고 단말의 정보를 관리하는 기능을 제공한다. 단말로부터 정보들을 수집하는 방법은 장비를 지나가는 트래픽으로부터 수집하는 수동적인 방법과 네트워크 연결되어 있는 정보들을 찾아내어 수집하는 능동적인 방법이 있다. 수동형 상황인지 수동적인 상황인지 방법은 단말간에 이루어지는 트래픽으로부터 정보를 실시간으로 인지함으로써, 이를 기반으로 지능적인 보안능력을 제공할 수 있다. 애플리케이션 인지 기능도 수동적인 상황인지 방법이다. NG IPS는 애플리케이션뿐만 아니라 단말의 OS, 응용 프로그램등 더욱 진보된 정보를 제공한다. 능동형 상황인지 수동형 상황인지 방법은 실시간으로 정보를 인지할 수 있지만, 장비를 통과 하지 않은 트래픽의 디바이스에 대해서는 정보를 수집할 수 없다. 또한 IPS의 위치가 디바이스와 스위치를 통해 연결되어 있지 않은 경우도 있기 때문에 단말에 대한 정보를 파악하는데 한계가 있다. 이러한 한계는 보안 스캐너를 이용한 능동형 수집방식을 사용하고, 이를 장비와 연동함으로써 극복될 수 있다. 보안 점검 스캐너를 통해 취약점에 대한 정보 수집 뿐만 아니라 MAC 주소, 윈도우 호스트 이름, 디바이스 종류, OS 정보, 오픈되어 있는 네트워크 포트 인지등 수동형 상황인지 기능을 통해 수집할 수 없는 정보들을 수집할 수 있다. 수집된 취약점은 IPS의 시그니처와 연동하여 보안 정책을 적용할 수 있다. 예를 들어 스캐너에 CVE 취약이 수집되었으면, 관련 시그니처에 대한 정책을 확인하고 비활성화 상태이면 활성화하여 보안을 강화할 수 있다. 리소스 정보 관리 수동형 상황인지와 능동형 상황인지로부터 수집된 내부 네트워크 현황과 단말에 대한 정보들을 통합 관리하고 이러한 정보를 관리자에 제공함으로써, 내부 리소스를 쉽게 파악할 수 있다. 리소스 정보가 없을 경우 관리자는 이벤트 발생시 이벤트와 관련된 단말의 정보를 얻기 위해 여러 곳에 산재해 있는 정보를 수집하기 위해 많은 시간을 투자해야 한다. 이벤트가 발생하지 않더라도 주기적으로 리소스 정보를 확인함으로써 취약한 단말을 파악하고 예방적인 조치를 수행할 수 있다. IP 지역 정보 연동 IP 지역 정보 연동은 국가별로 할당된 IP 대역 정보를 이용하여, 트래픽이나 공격이 발생한 국가를 인지하고 이를 이벤트 로그나 보안 기능과 연동할 수 있다. 국가별 트래픽 통계를 실시간 모니터링 화면으로 제공하여 이상 징후를 인지하거나 로그 정보에서 국가를 키워드로하는 검색기능을 제공하여 공격 이벤트를 찾는데 이용한다. 그리고 공격이 많이 발생하는 국가나 비정상적인 트래픽이 다량 발생하는 국가에 대한 트래픽을 쉽게 식별하고 통제할 수 있도록 하는 지역 기반 방어 정책을 수행할 수 있다. 그러나 특정 국가에 대한 트래픽 통제를 단순 패킷 유입으로만 제어하면 국내에서 국외로 접속이 필요로하는 정상적인 서비스까지 차단되기 때문에 해당 국가에서 유입되는 서비스 접속만을 차단하는 지능적인 방식을 제공하여야 한다. 사용자 정보 연동 IP에 대한 사용자 정보를 연동함으로써, 내부에서 외부로 공격 시도 및 외부에서 내부로의 공격 대상 단말에 대한 인지 및 추적을 쉽게 한다. 사용자 정보를 얻는 방법은 사용자 인증 연동하는 방법과 IP 사용자에 대한 정보 DB를 활용할 수 있다. 사용자 인증 연동 방식은 기업체에서 단말에 대한 인증을 수행하고, 이 정보를 네트워크 사용 및 보안 정책에 이용하는 것이다. 이 방식은 사용자에 대해 동적으로 IP 주소가 변경되는 환경에 매우 유용하며, 이벤트 발생 시점에 단말에 대한 이용자를 정확하게 식별할 수 있도록 한다. 하지만 이러한 방식은 구축 비용이 수반되기 때문에 규모가 큰 사이트에서 많이 사용되고 있고, 보안 장비와 연동시키기 위한 리스소가 투입 및 검증하는 과정이 필요하다. 사용자 정보를 간단하고 쉽게 적용하는 방법은 각 기업이나 공공 기관등 사이트의 자원 관리 정보를 이용하는 방법이다. 대부분의 사이트에서는 사용자와 IP에 대한 정보를 관리하고 있으며, 이를 장비에 활용함으로써 사용자 정보를 보안 장비에 활용할 수 있다. IPS는 방화벽과는 다르게 실시간으로 사용자의 네트워크에 대한 통제를 수행할 필요는 없다. 공격자가 노리는 대상의 본질은 대부분의 경우 사용자가 아니라 단말 자체이며, 서버나 인증 받지 않은 단말은 계속 동작하고 있으며 이에 대한 공격에도 대처해야 하기 때문이다. 그러므로 자원 관리 정보를 기반으로 사용자 인증 연동을 활용하는 것이 더욱 효과적이라고 할 수 있다. 인지 정보의 활용 구슬이 서말이라도 꿰어야 보배라는 옛 속담이 있다. NG IPS가 다양한 인지 기능을 가지고 있더라도 이를 통해 얻어진 정보들이 보안 기능과 결합되어 표현되어야만 높은 효용성을 가질 수 있다. 기본적으로 인지 정보는 로그와 통합되어 이벤트 발생시점의 상황을 관리자에게 제공되어야 한다. 이벤트 로그가 발생했을 때, 시간 정보, 공격 정보, IP 뿐만 아니라 단말 사용자, 사용중인 애플리케이션, 프로그램, 발생지 국가 등이 포함되었을 경우의 예를 보자. 공격 종류는 SQL 인젝션, 공격자의 국가가 중국, 애플리케이션이 HTTP, 프로그램이 Paros 이고, 공격 대상 단말의 OS가 Windows, 프로그램이 IIS 이라고 하면, 별도의 분석과정이 없이도 이벤트는 웹 서버를 대상으로한 SQL 인젝션 공격임을 쉽게 판단할 수 있다. 그런데, 사용자 ID(혹은 이름)가 웹 서버가 아닌 “홍길동”이라는 일반 사용자라고 기록되어 있다면, 홍길동이라는 사용자가 허가 없이 웹 서버를 운영하여 외부의 공격 위협에 노출되었음을 간단히 파악할 수 있다. 이 경우 로그로부터 사용자 상세 정보 조회를 통해 부서와 연락처를 파악하고 알림으로써 즉시 웹 서버 운영중지 같은 시정 및 보안 검사를 조치를 수행 할 수 있다. 또한 공격 이벤트의 특징과 공격 IP의 평판 및 단말 정보를 조합하여 공격의 성공 가능성 같은 영향도를 제공할 수 있다. 예를 들어 Windows의 취약점을 노린 이벤트 발생시, 사용자 단말의 OS 정보와 연동하여 실제 공격의 성공 가능성에 대한 정보를 제공한다. 위협 분석 및 대응 시스템 연동 광범위하게 일어나는 위협에 대응하기 위해서, 단일 사이트나 사업장에서 정보뿐만 아니라 외부에서 발생하는 위협 분석 및 대응 시스템의 필요성이 .높아지고 있다. 클라이언트를 노리는 공격들은 대부분 웹을 통해 이루어 진다. 일반 사용자들은 널리 알려진 포털의 게시판, 블로그들을 아무런 의심없이 접근하지만, 이들 웹사이트들도 악성 코드가 포함된 실행 파일이 업로드되어 있거나 악성 실행 프로그램이 다운로드 될 수 있는 URL로 접근하도록 유도할 수 있다. 이러한 URL들은 매우 동적으로 생성과 삭제가 반복되고 수 만개에서 수십 만개이기 때문에, 단순 시그니처 기반 IPS로만 대응하는 것은 불가능하며, 악성 코드가 포함된 URL을 자동으로 분석해 주는 외부 보안 시스템과 연동이 필요하다. 이벤트 분석 지원 침해 의심 이벤트가 발생하였을 경우, 보안 담당자는 해당 이벤트를 분석하고 침해 사고에 대한 대응을 해야 한다. 그러나, 많은 네트워크 담당자들이 보안업무를 병행하고 있고, 보안 담당자들도 이벤트 정보로부터 명확한 분석에 어려움을 겪을 수 있다. 이러한 경우 벤더의 대응 센터에 도움을 요청하기 위해서 벤더사 웹사이트에 해당 이벤트에 관련된 여러 정보를 올려서 문의하거나 엔지니어에게 도움 요청을 한다. 이 과정에서 정보의 누락이 발생할 수 있으며 방문 예약 및 이벤트 분석, 결과 피드백에 몇 일의 시간이 소요될 수 있다. SECUI MFI New Edition은 이벤트 분석 GUI에서 클릭만으로 침해 대응 센터와 연동하여 신속한 피드백을 제공한다. 분석 지원 요청시 바로 등록 결과를 알리고, 정오탐 분석 및 결과 그리고 STIC(SECUI Threat Intelligence Center)와 연계하여 악성 URL에 대한 점검까지 수행하며 메일로 신속하게 분석 결과를 통보한다. 이제 차세대 IPS의 선택은 필수 단순 이벤트만 발생시키는 1세대 IPS는 매우 제한된 정보만을 제공하기 때문에, 날로 복잡해 지는 외부 위협에 효과적으로 대응이 어렵다. IPS에서 이벤트 발생시 많은 사이트에서 아래와 같은 과정으로 이슈를 처리한다. 이벤트 발생시 네트워크 환경에 대한 정보 수집하고, 패킷 정보 및 콘텐츠 분석과정을 거쳐 정오탐 여부 판단하고, IP로부터 서버 및 단말 사용자를 찾아는 과정을 거쳐, 사용하는 OS 정보 및 프로그램 정보를 파악하고 공격 영향도 분석 및 대응 조치를 한다. NG IPS는 네트워크 환경과 트래픽으로부터 다양한 데이터를 인지하고 통합하여 이에 대한 위협에 대한 분석과 방어를 효과적으로 수행하고 이러한 과정을 단축함으로써 업무 효율 및 침해 대응 시간을 단축할 수 있다. 그리고 NG IPS의 보안 기능과 인지 정보들은 다른 보안 솔루션과 연동됨으로써 더욱 강력한 위협 대응 기능을 제공한다. SECUI MFI New Edition은 지금까지 설명한 NG IPS의 요소 기능 뿐만 아니라 이러한 정보간의 지능적 연계를 통한 신속한 상황 파악 및 보안 정책 연계, 실시간 위협 분석 시스템(STIC)과의 연동, 국내 최고의 사용자 인증 방화벽 SECUI MF2 시리즈와 연계된 사용자 정보 연동으로 더욱 효과적으로 위협에 대응을 할 수 있으며, 한 번의 클릭으로 시큐아이 침해 대응 센터의 위협 분석 서비스를 통해 신속하게 위협에 대처에 할 수 있다. 시큐아이 R&D센터 MFI 개발팀 김선호 수석연구원, 한영호 책임연구원
보도자료|2016.02.11
Jump Together 2016 시큐아이 파트너스데이 행사개최
정보보호 전문기업 ㈜시큐아이(대표 석경협/www.secui.com)가 4일 한국프레스센터에서 약 50여개 파트너사 임직원 100여 명이 참석한 가운데 파트너십 화합을 위한 'Jump Together 2016 시큐아이 파트너스데이'를 개최했다. 이번 행사는 시큐아이가 운영 중인 파트너십 프로그램 및 서비스 정책을 소개하고, 동반성장을 통한 비즈니스 방안을 모색하기 위해 진행됐다. 석경협 대표이사는 파트너스데이 기념사를 통해 “최근 국내 보안 위협이 증가하며 보안산업에 대한 관심이 높아지고 있어 새로운 비즈니스 기회가 많이 생겨날 것”이라며 “시큐아이는 채널사와의 동반성장을 위한 비즈니스를 적극 발굴하고 지원해 나가겠다.”라고 밝혔다.
보도자료|2016.01.06
시큐아이, 2016년 목표 달성 결의대회 개최
정보보호전문기업 ㈜시큐아이(대표 석경협/www.secui.com)는 4일 청계산에서 2016년 목표 달성 결의대회를 개최했다고 밝혔다. 이날 행사는 시큐아이의 임직원 모두가 모인 가운데 탄탄한 팀워크를 다지고 2016년 목표 달성을 기원하고 이를 위한 새로운 각오와 다짐을 가지는 시간이었다. ㈜시큐아이 석경협 대표이사는 "어려운 여건 속에서도 지난 한 해 열심히 달려온 모든 임직원들에게 감사하다"며 "2016년은 소통과 일류의 실행력으로 목표를 반드시 달성할 수 있도록 집중하자”라고 말했다.
보도자료|2015.12.17
시큐아이, 굿디자인 어워드 기계/공구부문 대상
정보보호전문기업 ㈜시큐아이(대표 석경협/www.secui.com)는 2015굿디자인 어워드에서 시큐아이 차세대방화벽 제품이 기계/공구부문 대상(산업통상자원부장관상)을 수상하였고 3년 연속 굿디자인에 선정되는 쾌거를 달성했다고 16일 밝혔다. '2015 굿 디자인(Good Design)'은 산업통상자원부가 주최하고 한국디자인진흥원이 주관하는 국내 최고 권위의 디자인 선정 제도로, 종합적으로 상품의 외관 및 기능을 심사해 디자인의 우수성이 인정된 작품에 굿 디자인 마크를 부여하는 제도이다. 시큐아이Slim SOHO의 디자인 컨셉은 자연을 모티브로 제품의 열을 식혀주는 '부드러운 바람' 이다. 유기적으로 연결된 자연 그대로의 곡선을 채택하여 기존 제품에서 볼 수 없던 새로운 감성을 창조하였다. 소형이지만 강력한 플랫폼을 바탕으로 유/무선 네트워크 보안 및 IoT 등의 영역에서 다양한 응용이 가능한 장점을 가지고 있다. ㈜시큐아이 석경협 대표이사는 “글로벌 시장에서 경쟁력 확보를 위해서는 제품의 품질은 기본이며, 고객의 편의성과 업무 효율을 높이는 사용자 중심의 UX(사용자 경험) 및 디자인과 환경적인 고려도 빼놓을 수 없는 중요한 요소로 생각한다.”며, “끊임없이 노력하여 글로벌 수준을 뛰어넘는 완성도 높은 제품으로 고객에게 가치를 제공하겠다.”라고 말했다.
보도자료|2015.10.22
시큐아이, ‘행복 러브 하우스’ 사회공헌활동 실시
정보보호 전문기업 ㈜시큐아이(대표 석경협/www.secui.com)는 10월 20일 서울시 성북구에 위치한 성북장애인복지관에서 ‘행복 러브 하우스’ 사회공헌활동을 펼쳤다고 밝혔다. 이날은 시큐아이 임직원들이 동절기를 맞아 장애가족들에게 보다 쾌적하고 안락한 주거환경을 위해 대청소와 함께 주거환경 보수를 진행하였으며, 동절기 물품도 함께 지원하였다. 시큐아이는 2013년부터 성북장애인복지관과 자매결연 협약을 체결하여 나눔과 배려를 통한 지역사회 내 장애인 및 소외계층을 지원해 오고 있다. ㈜시큐아이 석경협 대표이사는 "사회공헌 활동은 사회의 혜택 속에서 성장하는 기업의 당연한 책무이며, 사회로부터 얻은 것을 돌려주는 보답행위"라고 언급하며, "향후 임직원들이 참여하는 다양한 봉사활동 프로그램을 통해 사회공헌 활동을 지속적으로 추진하겠다.”고 밝혔다.
보도자료|2015.10.20
시큐아이, 2015 하반기 대졸 신입사원 공개채용 실시
정보보호 전문기업 ㈜시큐아이(대표 석경협/www.secui.com)는 11월 2일까지 ▲연구/개발 직군으로 2015년 하반기 신입사원 공개채용을 실시한다. 시큐아이는 ‘2020年 세계 10대 네트워크 보안 전문회사’를 비전을 가지고 있으며, 현재 임직원의 역량개발을 위한 다양하고 우수한 복지제도를 운영하고 있다. 지역전문가제도, 자율출퇴근, 카페테리아(자기개발비), 각종 교육비, 어학 및 직무자격증 취득비, 의료비, 자녀학자금, 헬스클럽 등을 지원 중이다. 이번 공채는 내년 2월 졸업예정자 혹은 기졸업자를 대상으로 한다. 원서접수는 오는 11월 2일까지 시큐아이 채용홈페이지(https://secui.saramin.co.kr)를 통해서 할 수 있다. ㈜시큐아이 석경협 대표이사는 “꿈과 열정을 갖춘 인재들의 많은 관심과 지원을 기대한다”며 이번 공개채용에 “시큐아이와 함께 미래의 꿈을 키워나갈 수 있는 유능한 인재들의 지원을 기대한다”고 밝혔다.