최근 공격 트렌드 및 사례 분석해보니...우회 가능성 항상 염두해야이글루시큐리티 김동우 소장 “관행적인 보안전략에서 벗어나야”

[보안뉴스 민세아] 해커들의 공격방식은 점점 복잡해지고 대응하기 힘들어지고 있다. 이와 관련 이글루시큐리티 선행기술연구소 김동우 소장이 공격자의 트렌드와 최근 공격사례를 분석해 관심을 끌고 있다.

▲공격자와 방어자의 쫓고 쫓기는 모습을 두 마리의 우로보로스로 나타냈다.

그는 현재 우리가 처한 보안상황을 ‘우로보로스(Ouroboros)’라는 생물에 비유했다. ‘우로보로스’는 그리스 신화에 등장하는 자신의 꼬리를 물고 있는 용 혹은 뱀의 형상을 한 생물이다.

현 상황이 공격자와 방어자가 서로 꼬리를 물고 있는 것처럼 서로 쫓고 쫓기는 관계라는 것. 공격자의 방식은 점점 진화하고 있고, 그러한 방식을 분석해 보완하고 차단하는 방어자의 모습이 두 마리의 ‘우로보로스’와 같다는 얘기다. 비슷한 사례로 그는 Anti-malware와 Malware를 꼽았다.


김동우 소장은 “대부분의 공격자는 악마도 아니고 정신나간 사람도 아니”라며, “그들은 가장 취약한 뭔가를 계속 찾아내는 사람일 뿐이라는 점을 이해해야 한다”고 말했다. 그러므로 이러한 공격자의 모든 공격을 막아내기보다는 회사·기관의 약한 부분을 가장 먼저 찾아보기를 권했다. 공격자들은 잘 설계된 보안 자체를 뚫지 않고 다른 길을 찾으므로, 이미 보안을 완료했더라도 공격자의 우회 가능성에 관심을 두어야 한다고 조언했다.

또한 그는 “여러분이 속한 회사도 얼마든지 공격당할 수 있고, 그로 인해 큰 데이터 유출이 발생할 수 있다”며, “사소한 것을 놓치지 않도록 준비한다면 지능형 공격을 방어할 수 있을 것”이라고 전했다.
그는 현재 침해대응에 두 가지 접근방법이 있는데, 통상적으로 RAS 방식이 사용된다고 말했다. RAS란 Respond Analysis and Stop it, 즉 시스템 해킹이 발생하면 먼저 대응하고 해킹방식을 분석한 후 차단하는 방식이다. 그러나 해킹기술이 복잡해지면서 Respond에서 Stop it까지 걸리는 시간이 점점 늘어나고 있다.

이에 김 소장은 Stop it이 먼저 이루어지는 SAR 방식을 제시했다. SAR은 first Stop, Analysis and Respond it으로, 시스템 해킹을 공격시점에서 발견해 Stop시킨 후 거꾸로 분석하는 방식이다. 공격자의 공격이 실패하면 다른 루트로 공격을 감행할 수 있으므로 Stop시킨 공격에 대한 정보를 회사 내에 공유하고 전파해 추가 피해를 막는다는 것이다.



▲이글루시큐리티 선행기술연구소 김동우 소장
RAS와 같이 관행적으로 하고 있는 보안전략을 바꿔야 한다는 것이 김동우 소장의 의견이다. 그는 “우리나라에서는 기존에 쓰던 보안기법들을 그대로 사용하고 있다”며, “공격자와 방어자는 결국 시간싸움을 하는 것인데, RAS 방식은 공격자에게 끌려가는 것 밖에 되지 않는다”고 설명했다. 그렇기 때문에 탐지차단기술에 좀더 투자해야 공격자와의 싸움에 이길 수 있다고 설명하며 ‘Back to the drawing board’를 제시했다.
 
이는 기존 대응방식을 고집하지 말고 새로운 보안전략을 처음부터 다시 수립해야 한다는 의미다.

마지막으로 그는 “공격자가 침투하는데 걸리는 시간은 그리 길지 않다”며 “그 대신 공격자는 사전에 공격대상에 대해 충분히 분석하고 준비하기 때문에 사전준비 기간이 길다”고 전했다. 이에 회사에서는 공격자가 공격을 준비하는 동안 정보노출을 최소화해야 하고, 침투당하더라도 침투초기단계에서 차단시킬 수 있도록 해야 할 것이라고 당부했다.
[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>