백업 시스템은 최소 세 군데 마련해 유기적으로 활용
미래에 또 일어날 수 있는 공격까지도 예상하고 대비해야
[보안뉴스 문가용] 디도스 공격이 무서운 추세로 증가하고 있다. 공격 자체로도 서비스 마비 및 사이트 잠정 중단 등 적지 않은 피해가 일어날 수 있는데, 이를 ‘시선 끌기’용으로 활용해 데이터 탈취 등 추가 피해를 일으키는 등 해커들의 수가 날로 묘해지고 있기까지 하다. 최근 파이어아이(FireEye)의 맨디언트(Mandiant)에서 엠트렌드(M-Trend) 보고서를 통해 이런 공격에 대비해 취할 수 있는 방법들을 몇 가지 제안했다.
1. 공격의 유형을 먼저 파악하라
공격을 제대로 이해하지도 못했는데 방어나 복구를 논하는 건 비논리적이다. 공격자들이 공격을 하는 데에는 이유가 있고, 이루고자 하는 목적이 있기 마련이다. 그 목적에 따라 장기적인 공격을 할 수도 있고, 단발적인 공격을 할 수도 있다. 만일 공격자가 장기적인 공격을 계획하고 있다면 멀웨어 하나 제거한 것에 승전보를 울리는 것이 아니라 최초 감염 경로를 파악해 시스템을 격리시켜야 한다. 데이터를 파괴하는 게 목적이라면, 암호화라는 훌륭한 보안 기술이 무용지물이 될 수도 있다. 누군가 우리 회사를 공격한다면 무엇을 노리는 것인지부터 고민을 시작해보는 게 중요하다.
2. 로그 검토와 멀웨어 삭제
로그가 항상 남도록 해야 한다. SQL 시스템, 방화벽, 데스크톱, 침입방지 시스템 등 모든 곳의 로그 기능을 켜둔다. 너무나 당연하지만 로그를 남기는 것은 혹여나 있을 공격의 수사 자료를 남기는 것이다. 물론 공격자들도 멍청하지 않아, 공격할 때 로그를 지우거나 비활성화 시킨다. 하지만 모든 로그를 다 켜놓는다면, 해커의 이런 노력도 소용이 없게 된다.
하지만 켜놓는다고 능사가 아니다. 데이터베이스에 로그만 잔뜩 쌓아놓을 수만도 없기 때문이다. IT 관련 근무자들과 함께 정기적으로 이를 분석해 공격과 관련된 내용이 없으면 삭제하는 시간을 가져야 한다. 로그와 SIEM 툴을 활용해 수사 및 포렌식을 평소에도 활성화시킨다.
3. 백업 시스템의 복구
백업은 아무리 강조해도 지나치지 않다. 백업은 심지어 여러 본 마련하는 것이 이상적이다. 데이터센터에도 하나 두고, 전혀 다른 장소에도 하나 두고, 클라우드에도 하나 마련하는 식으로 말이다. 어떤 식으로 백업 계획을 세워놓든 일단 백업 드라이브는 필요할 때만 네트워크에 연결을 시켜야 한다. 백업은 피해로부터 완전 복구가 아니라 ‘최소화’를 목표로 한다.
치명적인 데이터 저장소는 한 시간 이내에 복구가 되어야만 한다. 이런 때 위에 제시한 것처럼 다중의 백업 장치를 마련한다면 이는 그다지 어려운 해결사항이 아니게 된다. 백업이 있다면 ‘복구 훈련’도 주기적으로 실시하는 편이 바람직하다. 소방서가 있다고 무조건 안심하는 게 아니라 주기적인 대피훈련 등을 하는 것처럼 말이다.
4. 가장 민감한 데이터의 키들을 보호하라
가장 귀중한 자산에 대해서는 훨씬 더 집중해서 신경을 써야 한다. 암호화와 같은 투자도 아끼지 않는 편이 속도 편하고 나중에 사고로 손해 보는 일도 없어질 것이다. 다만 많은 기업들이 그렇듯 암호화로 가장 민감한 데이터를 보호하기로 했다면 복호화 키를 정말 목숨처럼 관리해야 한다. 가장 좋은 방법은 복호화 키를 암호화된 데이터베이스에 같이 저장하지 않는 것이다. 예를 들어 고객 정보를 전부 암호화해서 저장하고 있다면, 그곳에 복호화 키를 같이 저장하지 말라는 것이다.
5. 미래 공격에도 대비하라
공격을 탐지하고 대응하는 것도 중요하지만, 이번 공격이 다가 아니라는 걸 기억하는 것도 중요하다. 즉, 일의 마무리는 지금 일어난 일을 진정시키는 것이 아니라 앞으로 다가올 것에 대해 대비책까지 마련하는 것까지를 포함한다. 사실, 많은 기업들이 미래 사건에 대한 대비책을 제대로 마련하고 있지 않아서 사고가 더 커진다고도 볼 수 있다.
그러나 미래 대비란 말은 굉장히 모호하다. ‘뭘 어떻게 해야 할지 모르겠다’고 느낀다면 다음 두 가지 부분에서부터 시작하는 편이 좋아 보인다. 바로 로그인 정보 관리와 출구 필터링이다. 최근 로그인 정보를 탈취해 사기 및 공격을 실행하는 수법이 대유행하고 있는 중이고, 멀웨어가 네트워크에 침투했다고 해도 출구 필터링을 함으로써 C&C 서보와의 통신을 제한할 수 있다.
또한 많은 업체들이 백신과 방화벽만 가지고도 충분히 대비했다고 생각하는 경향이 있는데, 이는 정말 순진한 생각이다. 샌드박싱 기술과 첨단 분석 툴들도 최대한 마련해 주기적으로 네트워크 상태를 모니터링하고 긴급조치를 취할 수 있도록 하는 게 필요하다.
6. 전문적인 파트너를 찾아라
위 5번까지 했다면 할 수 있는 일은 다 했다고 보면 된다. 그러나 사람은 혼자 살 수 없는 존재. 내 능력이 벗어나는 일이 생겼을 때를 대비해 능력 있는 전문 파트너를 알아두자. 보안 관련 컨설턴트도 괜찮고 관제업체도 괜찮다. 지금 기업 환경에서 가장 필요한 기능을 잘 수행할 수 있는 업체를 선정하는 것이 중요하다.
또 하나 고려해볼 만한 건 ‘보안 관련 훈련 및 교육’을 시켜주는 파트너를 구하는 것이다. 이는 꼭 ‘강사가 교실에서 칠판을 두고 진행하는’ 수업을 말하는 건 아니다. 사건 대응 프로그램을 공유하고 활용 방법을 알려줄 수 있는 기업이나 컨설팅 서비스를 해주는 업체와도 역시 서로 교육해주는 관계로 발전할 수 있다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
미래에 또 일어날 수 있는 공격까지도 예상하고 대비해야
[보안뉴스 문가용] 디도스 공격이 무서운 추세로 증가하고 있다. 공격 자체로도 서비스 마비 및 사이트 잠정 중단 등 적지 않은 피해가 일어날 수 있는데, 이를 ‘시선 끌기’용으로 활용해 데이터 탈취 등 추가 피해를 일으키는 등 해커들의 수가 날로 묘해지고 있기까지 하다. 최근 파이어아이(FireEye)의 맨디언트(Mandiant)에서 엠트렌드(M-Trend) 보고서를 통해 이런 공격에 대비해 취할 수 있는 방법들을 몇 가지 제안했다.
1. 공격의 유형을 먼저 파악하라
공격을 제대로 이해하지도 못했는데 방어나 복구를 논하는 건 비논리적이다. 공격자들이 공격을 하는 데에는 이유가 있고, 이루고자 하는 목적이 있기 마련이다. 그 목적에 따라 장기적인 공격을 할 수도 있고, 단발적인 공격을 할 수도 있다. 만일 공격자가 장기적인 공격을 계획하고 있다면 멀웨어 하나 제거한 것에 승전보를 울리는 것이 아니라 최초 감염 경로를 파악해 시스템을 격리시켜야 한다. 데이터를 파괴하는 게 목적이라면, 암호화라는 훌륭한 보안 기술이 무용지물이 될 수도 있다. 누군가 우리 회사를 공격한다면 무엇을 노리는 것인지부터 고민을 시작해보는 게 중요하다.
2. 로그 검토와 멀웨어 삭제
로그가 항상 남도록 해야 한다. SQL 시스템, 방화벽, 데스크톱, 침입방지 시스템 등 모든 곳의 로그 기능을 켜둔다. 너무나 당연하지만 로그를 남기는 것은 혹여나 있을 공격의 수사 자료를 남기는 것이다. 물론 공격자들도 멍청하지 않아, 공격할 때 로그를 지우거나 비활성화 시킨다. 하지만 모든 로그를 다 켜놓는다면, 해커의 이런 노력도 소용이 없게 된다.
하지만 켜놓는다고 능사가 아니다. 데이터베이스에 로그만 잔뜩 쌓아놓을 수만도 없기 때문이다. IT 관련 근무자들과 함께 정기적으로 이를 분석해 공격과 관련된 내용이 없으면 삭제하는 시간을 가져야 한다. 로그와 SIEM 툴을 활용해 수사 및 포렌식을 평소에도 활성화시킨다.
3. 백업 시스템의 복구
백업은 아무리 강조해도 지나치지 않다. 백업은 심지어 여러 본 마련하는 것이 이상적이다. 데이터센터에도 하나 두고, 전혀 다른 장소에도 하나 두고, 클라우드에도 하나 마련하는 식으로 말이다. 어떤 식으로 백업 계획을 세워놓든 일단 백업 드라이브는 필요할 때만 네트워크에 연결을 시켜야 한다. 백업은 피해로부터 완전 복구가 아니라 ‘최소화’를 목표로 한다.
치명적인 데이터 저장소는 한 시간 이내에 복구가 되어야만 한다. 이런 때 위에 제시한 것처럼 다중의 백업 장치를 마련한다면 이는 그다지 어려운 해결사항이 아니게 된다. 백업이 있다면 ‘복구 훈련’도 주기적으로 실시하는 편이 바람직하다. 소방서가 있다고 무조건 안심하는 게 아니라 주기적인 대피훈련 등을 하는 것처럼 말이다.
4. 가장 민감한 데이터의 키들을 보호하라
가장 귀중한 자산에 대해서는 훨씬 더 집중해서 신경을 써야 한다. 암호화와 같은 투자도 아끼지 않는 편이 속도 편하고 나중에 사고로 손해 보는 일도 없어질 것이다. 다만 많은 기업들이 그렇듯 암호화로 가장 민감한 데이터를 보호하기로 했다면 복호화 키를 정말 목숨처럼 관리해야 한다. 가장 좋은 방법은 복호화 키를 암호화된 데이터베이스에 같이 저장하지 않는 것이다. 예를 들어 고객 정보를 전부 암호화해서 저장하고 있다면, 그곳에 복호화 키를 같이 저장하지 말라는 것이다.
5. 미래 공격에도 대비하라
공격을 탐지하고 대응하는 것도 중요하지만, 이번 공격이 다가 아니라는 걸 기억하는 것도 중요하다. 즉, 일의 마무리는 지금 일어난 일을 진정시키는 것이 아니라 앞으로 다가올 것에 대해 대비책까지 마련하는 것까지를 포함한다. 사실, 많은 기업들이 미래 사건에 대한 대비책을 제대로 마련하고 있지 않아서 사고가 더 커진다고도 볼 수 있다.
그러나 미래 대비란 말은 굉장히 모호하다. ‘뭘 어떻게 해야 할지 모르겠다’고 느낀다면 다음 두 가지 부분에서부터 시작하는 편이 좋아 보인다. 바로 로그인 정보 관리와 출구 필터링이다. 최근 로그인 정보를 탈취해 사기 및 공격을 실행하는 수법이 대유행하고 있는 중이고, 멀웨어가 네트워크에 침투했다고 해도 출구 필터링을 함으로써 C&C 서보와의 통신을 제한할 수 있다.
또한 많은 업체들이 백신과 방화벽만 가지고도 충분히 대비했다고 생각하는 경향이 있는데, 이는 정말 순진한 생각이다. 샌드박싱 기술과 첨단 분석 툴들도 최대한 마련해 주기적으로 네트워크 상태를 모니터링하고 긴급조치를 취할 수 있도록 하는 게 필요하다.
6. 전문적인 파트너를 찾아라
위 5번까지 했다면 할 수 있는 일은 다 했다고 보면 된다. 그러나 사람은 혼자 살 수 없는 존재. 내 능력이 벗어나는 일이 생겼을 때를 대비해 능력 있는 전문 파트너를 알아두자. 보안 관련 컨설턴트도 괜찮고 관제업체도 괜찮다. 지금 기업 환경에서 가장 필요한 기능을 잘 수행할 수 있는 업체를 선정하는 것이 중요하다.
또 하나 고려해볼 만한 건 ‘보안 관련 훈련 및 교육’을 시켜주는 파트너를 구하는 것이다. 이는 꼭 ‘강사가 교실에서 칠판을 두고 진행하는’ 수업을 말하는 건 아니다. 사건 대응 프로그램을 공유하고 활용 방법을 알려줄 수 있는 기업이나 컨설팅 서비스를 해주는 업체와도 역시 서로 교육해주는 관계로 발전할 수 있다.
글 : 스티브 주리어(Steve Zurier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
