지능화되는 보안위협에 CDR, EDR, NFV, SDN 등 보안기술로 맞대응
[보안뉴스 김경애 기자] 2017년 공격에 악용한 특정 한글 악성파일의 경우 57개 엔진 중 28개만이 탐지하고, 3개 샌드박스에서 악성행위를 탐지하지 못하거나 우회하는 상황이 발생하는 등 사이버위협이 날로 높아짐에 따라 기존 보안 솔루션에도 하나 둘 구멍이 생기기 시작했다. 이에 따라 보안기업에서는 신기술을 도입해 새로운 보안 솔루션을 출시하거나 기존 솔루션에 접목하는 방법으로 고도화된 공격에 맞대응하고 있다. 특히, 이번 전자정부 정보보호 솔루션 페어(eGISEC FAIR 2018)에서 눈길을 끌었던 최신 정보보호 기술은 CDR, EDR, NFV, SDN 등이었다.
▲eGISEC FAIR 2018에서의 지란지교시큐리티 기술 소개[사진=보안뉴스]
1. CDR(Content Disarm & Reconstruction)
CDR은 파일을 스캔에 구조를 분석한 뒤, 액티브 콘텐츠가 있는지 분석해 제거하고, 파일을 재조합해 안전한 파일로 제공하는 보안기술이다.
지란지교시큐리티 이상준 이사는 “콘텐츠 보안 위협에 대한 예방적 대응을 위해 CDR 기술이 접목된 것”이라며 “악성파일이 백신이나 샌드박스를 우회하는 지능적인 보안위협에 보안에 대한 관점도 예방적 대응 추세로 변화하고 있다”고 밝혔다.
▲eGISEC FAIR 2018에서의 소프트캠프 기술 소개[사진=보안뉴스]
소프트캠프 임성택 부장도 “최근 공격위협 동향을 살펴보면 업무 파일로 위장한 문서들이 많다”며 “이메일을 통해 한글 악성파일이 기업에 유입되곤 하는데, 공격자가 한글파일 취약점을 이용해 악성코드를 생성하고 특정시간 이후 악성코드를 동작하게끔 한다”며 “외부에서 유입되는 이메일을 무해화 처리해서 안전한 메일과 첨부파일만 내부로 유입되도록 해야 한다”고 설명했다.
2. EDR(Endpoint Detection & Response)
이와 함께 주목받고 있는 기술은 EDR이다. 침해사고 발생경고 이후 기존 대응이 수일에서 수십일의 장기간이 소요되는 등 즉각적인 대응이 어렵다는 측면에서의 대안으로 최근 높은 관심을 얻고 있다. 또한, 가시성과 대응 기술의 미흡함을 보완하는 측면에서 기존 솔루션에 접목되고 있는 상황이다.
▲eGISEC FAIR 2018에서의 투씨에스지 부스 모습[사진=보안뉴스]
EDR의 조건에 대해 투씨에스지 신승목 전략사업부 부장은 실행 가능한 파일 라이프 사이클 로그와 비정형 데이터 라이프 사이클 로그, 벤더사별 자체 인텔리전스, 타사 자체 인텔리전스, 사스(SaaS) 인텔리전스 서비스 단계로 구분해 차단, 격리, 삭제, 치료, 복원(레지스트리, 파일 등) 기능을 갖춰야 한다고 설명했다.
EDR의 지향점에 대해 이노티움 이형택 대표는 “공격탐지와 방어 매커니즘의 핵심은 어떤 공격기술, 도구, 절차를 통해 이루어지는지 행위 판단을 실시간으로 하는 것”이라며 “소프트웨어 인증 알고리즘, 행위기반 방어 알고리즘, 실시간 보안백업 알고리즘 등을 통해 공격피해가 발생해도 즉시 데이터를 복원하고 업무를 정상화 할 수 있어야 한다”고 강조했다.
▲닉스테크 김종연 연구소장[사진=보안뉴스]
EDR 기술에 기반한 보안 솔루션이 갖춰야할 기능으로 닉스테크 김종연 연구소장은 “NAC와 DLP 등이 분리되지 않고 하나로 관리될 필요가 있다. 식별정보나 하드웨어 정보, 사용자 정보 등이 수집돼 보안관리자가 한 눈에 파악할 수 있도록 제공돼야 한다”며 “이상행위, 악성코드는 물론 알려지지 않은 위협까지 모두 탐지할 수 있어야 하고, 사용자에게 육하원칙 기반의 처리 프로세스를 제공해야 즉각 대응할 수 있다”고 강조했다.
3. NFV(Network Function Virtualization)
기업의 클라우드 환경이 활성화되면서 클라우드컴퓨팅 시대 흐름에 맞는 NFV 기술도 관심을 얻고 있다. NFV는 네트워크 기능을 가상화 환경에서 동적으로 구성하고 운영하는 기술이다.
두루안 강준구 연구소장은 NFV 기술의 장점에 대해 “가상화 레이어 위에 가상화 컴퓨팅, 가상화 스토리지, 가상화 네트워크를 올려 이를 기반으로 차별화된 용도의 고가용으로 효율성을 높일 수 있다”고 설명했다.
또한, NFV가 갖춰야할 기능에 대해 두루안 심상민 대리는 “NFV는 도커(Docker)의 컨테이너(Container) 기술을 이용해 소형 단말에서도 원활하게 운용돼야 한다”며 “리소스를 신축적으로 배정하고, 원활한 이중화 지원이 돼야 한다. 또한, 백업을 자동화하고 로그를 통합해 가용성을 높일 수 있어야 한다”고 설명했다.
4. SDN(Software Defined network)
마지막으로는 소프트웨어 기반의 중앙집중형 네트워크 관제 기술인 SDN이다. 이 기술은 스위치의 패킷 처리부와 제어영역을 분리해 중앙을 제어하는 동적인 Programble Network 구축 기술이라고 볼 수 있다.
미국의 미군 MRC와 국토안보부, 국방부 등이 SDN을 도입해 보안에 적용하고 있는 것으로 알려져 있다.
케이클라우더 최성일 매니저는 “랜섬웨어 위협과 백도어 취약점 등의 보안위협은 네트워크 종단 중심으로 방어하는 현재 구조로는 효과적인 침입제어에 한계가 있다”며 “정적인(Static) 네트워크 구조 자체를 동적으로(Dynamic) 변경해야 하고, 해커를 역으로 교란시키는 공격적 대응 방법이 필요하다”고 강조했다. 이어 그는 “네트워크 경로를 주기적으로 변경해 공격에 대응하는 동적 경로로 설정하고, 네트워크 호스트 정보를 변경해 스캐닝 공격에 대응해야 한다”고 제시했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 2017년 공격에 악용한 특정 한글 악성파일의 경우 57개 엔진 중 28개만이 탐지하고, 3개 샌드박스에서 악성행위를 탐지하지 못하거나 우회하는 상황이 발생하는 등 사이버위협이 날로 높아짐에 따라 기존 보안 솔루션에도 하나 둘 구멍이 생기기 시작했다. 이에 따라 보안기업에서는 신기술을 도입해 새로운 보안 솔루션을 출시하거나 기존 솔루션에 접목하는 방법으로 고도화된 공격에 맞대응하고 있다. 특히, 이번 전자정부 정보보호 솔루션 페어(eGISEC FAIR 2018)에서 눈길을 끌었던 최신 정보보호 기술은 CDR, EDR, NFV, SDN 등이었다.
▲eGISEC FAIR 2018에서의 지란지교시큐리티 기술 소개[사진=보안뉴스]
1. CDR(Content Disarm & Reconstruction)
CDR은 파일을 스캔에 구조를 분석한 뒤, 액티브 콘텐츠가 있는지 분석해 제거하고, 파일을 재조합해 안전한 파일로 제공하는 보안기술이다.
지란지교시큐리티 이상준 이사는 “콘텐츠 보안 위협에 대한 예방적 대응을 위해 CDR 기술이 접목된 것”이라며 “악성파일이 백신이나 샌드박스를 우회하는 지능적인 보안위협에 보안에 대한 관점도 예방적 대응 추세로 변화하고 있다”고 밝혔다.
▲eGISEC FAIR 2018에서의 소프트캠프 기술 소개[사진=보안뉴스]
소프트캠프 임성택 부장도 “최근 공격위협 동향을 살펴보면 업무 파일로 위장한 문서들이 많다”며 “이메일을 통해 한글 악성파일이 기업에 유입되곤 하는데, 공격자가 한글파일 취약점을 이용해 악성코드를 생성하고 특정시간 이후 악성코드를 동작하게끔 한다”며 “외부에서 유입되는 이메일을 무해화 처리해서 안전한 메일과 첨부파일만 내부로 유입되도록 해야 한다”고 설명했다.
2. EDR(Endpoint Detection & Response)
이와 함께 주목받고 있는 기술은 EDR이다. 침해사고 발생경고 이후 기존 대응이 수일에서 수십일의 장기간이 소요되는 등 즉각적인 대응이 어렵다는 측면에서의 대안으로 최근 높은 관심을 얻고 있다. 또한, 가시성과 대응 기술의 미흡함을 보완하는 측면에서 기존 솔루션에 접목되고 있는 상황이다.
▲eGISEC FAIR 2018에서의 투씨에스지 부스 모습[사진=보안뉴스]
EDR의 조건에 대해 투씨에스지 신승목 전략사업부 부장은 실행 가능한 파일 라이프 사이클 로그와 비정형 데이터 라이프 사이클 로그, 벤더사별 자체 인텔리전스, 타사 자체 인텔리전스, 사스(SaaS) 인텔리전스 서비스 단계로 구분해 차단, 격리, 삭제, 치료, 복원(레지스트리, 파일 등) 기능을 갖춰야 한다고 설명했다.
EDR의 지향점에 대해 이노티움 이형택 대표는 “공격탐지와 방어 매커니즘의 핵심은 어떤 공격기술, 도구, 절차를 통해 이루어지는지 행위 판단을 실시간으로 하는 것”이라며 “소프트웨어 인증 알고리즘, 행위기반 방어 알고리즘, 실시간 보안백업 알고리즘 등을 통해 공격피해가 발생해도 즉시 데이터를 복원하고 업무를 정상화 할 수 있어야 한다”고 강조했다.
▲닉스테크 김종연 연구소장[사진=보안뉴스]
EDR 기술에 기반한 보안 솔루션이 갖춰야할 기능으로 닉스테크 김종연 연구소장은 “NAC와 DLP 등이 분리되지 않고 하나로 관리될 필요가 있다. 식별정보나 하드웨어 정보, 사용자 정보 등이 수집돼 보안관리자가 한 눈에 파악할 수 있도록 제공돼야 한다”며 “이상행위, 악성코드는 물론 알려지지 않은 위협까지 모두 탐지할 수 있어야 하고, 사용자에게 육하원칙 기반의 처리 프로세스를 제공해야 즉각 대응할 수 있다”고 강조했다.
3. NFV(Network Function Virtualization)
기업의 클라우드 환경이 활성화되면서 클라우드컴퓨팅 시대 흐름에 맞는 NFV 기술도 관심을 얻고 있다. NFV는 네트워크 기능을 가상화 환경에서 동적으로 구성하고 운영하는 기술이다.
두루안 강준구 연구소장은 NFV 기술의 장점에 대해 “가상화 레이어 위에 가상화 컴퓨팅, 가상화 스토리지, 가상화 네트워크를 올려 이를 기반으로 차별화된 용도의 고가용으로 효율성을 높일 수 있다”고 설명했다.
또한, NFV가 갖춰야할 기능에 대해 두루안 심상민 대리는 “NFV는 도커(Docker)의 컨테이너(Container) 기술을 이용해 소형 단말에서도 원활하게 운용돼야 한다”며 “리소스를 신축적으로 배정하고, 원활한 이중화 지원이 돼야 한다. 또한, 백업을 자동화하고 로그를 통합해 가용성을 높일 수 있어야 한다”고 설명했다.
4. SDN(Software Defined network)
마지막으로는 소프트웨어 기반의 중앙집중형 네트워크 관제 기술인 SDN이다. 이 기술은 스위치의 패킷 처리부와 제어영역을 분리해 중앙을 제어하는 동적인 Programble Network 구축 기술이라고 볼 수 있다.
미국의 미군 MRC와 국토안보부, 국방부 등이 SDN을 도입해 보안에 적용하고 있는 것으로 알려져 있다.
케이클라우더 최성일 매니저는 “랜섬웨어 위협과 백도어 취약점 등의 보안위협은 네트워크 종단 중심으로 방어하는 현재 구조로는 효과적인 침입제어에 한계가 있다”며 “정적인(Static) 네트워크 구조 자체를 동적으로(Dynamic) 변경해야 하고, 해커를 역으로 교란시키는 공격적 대응 방법이 필요하다”고 강조했다. 이어 그는 “네트워크 경로를 주기적으로 변경해 공격에 대응하는 동적 경로로 설정하고, 네트워크 호스트 정보를 변경해 스캐닝 공격에 대응해야 한다”고 제시했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
