신뢰도 높은 회사에서 사고 발생 시 느껴지는 일반인들의 비애
트래픽 전체 파악하는 건 보안에 도움 안 돼...자동화가 이젠 필수
[보안뉴스 문가용 기자] 야후 같이 어마어마한 회사에서 유출 사고가 발생했을 때 일반 사용자가 느끼는 무력감은 굉장하다. ‘야후 같은 곳도 당했는데, 우리가 어떻게 살아남을 수 있을까?’ 그리고 이 절망은 꽤나 현실적이고, 사실이기까지 하다. 일반 직원 혹은 업체로서 우리는 솔직히 이 살벌한 사이버 세상에서 살아남을 방도가 없다.
.jpg)
야후만 해도 실제로 네트워크 보안에 큰 투자를 하는 업체다. 그런데도 두 번 이상이나 공격을 허락했다. 공격자가 야후의 투자금 이상으로 돈이 많고, 야후의 보안 실력을 상회하는 해킹 실력을 가지고 있다는 뜻이다. 우리가 돈이나 실력 면에서 이런 조건들을 능가하기란 불가능에 가깝다. 그럼에도 희망이 있다면, 야후가 완벽하지 않았다는 것이다. 즉, 우리 편에서도 교훈 삼아 보완할 점이 있다는 것이다.
유출 탐지 및 사건 대응의 측면에 있어서 대부분 기업들이 하는 일이라고는 네트워크 장비들의 로그를 검토하는 것이다. 사건 관리 시스템과 보안 정보를 함께 활용해 유출이 어떤 식으로 일어났는지 알아내는 것도 여기에 포함된다. 야후도 이런 과정들을 거쳤는데, 이 때 세 가지 약점이 드러났다. 다음과 같다.
1. 애플리케이션 정보, 아이덴티티 정보, 기기 정보, 위치정보가 부족했다. 넷플로우(NetFlow)와 같은 툴은 여러 가지 정보가 다양하게 교류될 때 차이를 잘 구분하지 못한다. 전체 트래픽 흐름은 잘 살피는데, 그 세세한 내용들을 파악하기에 적절치 않은 툴이라는 것이다. 그러므로 수신자, CC 대상, 발신자, 제목 등 특정 애플리케이션에서만 교류되는 귀한 정보들을 놓치게 된다. 당연히 첨부파일의 악성 여부도 마찬가지다. 비식별화 및 난독화가 적용된 토르 프로토콜 역시 제대로 분류해내는 게 불가능에 가깝다. 그런데 세부 트래픽 파악은 보안에 있어 매우 중요한 요소다.
2. 네트워크 히스토리 및 아카이브 살펴보는 것만으로도 버거웠다. 네트워크 로그를 오랫동안 저장하는 것 자체가 어렵거나 복잡한 기술력을 요하는 건 아니다. 다만 수사를 위해 분석하는 과정에서 아주 오랜 시간 전까지 거슬러 올라가는 건 매우 어려운 일이다. 특히 잠재적으로 악성행위와 연관될 수 있는 기록들을 오래된 로그와 맞춰 유의미한 정보를 추출해낸다는 건 불가능에 가깝다. 그러니 로그를 오래 남길 필요가 없다는 인식이 팽배하다.
이를 보완해줄 수 있는 게 바로 패킷 기록 저장 툴이다. 패킷 기록은 네트워크 데이터에 대한 보다 상세한 내용들을 저장해두고 있다. 오랜 시간이 지나도 열람하기가 용이하다. 하지만 패킷 기록은 오래 저장할수록 값이 빠르게 올라간다. 비용과 적당히 균형을 맞추어 운영하면 패킷 기록이 꽤나 유용하게 사용될 수 있다.
3. 위협 탐지를 하는 데에 있어 자동화 과정이 불충분했다. 위협 첩보의 생성량은 이미 수동으로 처리할 수 있는 경지를 넘어섰다. 게다가 요즘 보안 업계는 인력난으로 시달리고 있다. 이제 정보를 분석하는 능력이라 함은 자동화도 포함하는 개념이다. 실제 야후를 비롯해 첩보를 수동으로 분석하는 기업들이 수두룩하다.
야후의 정보 유출 사건은 장기간에 걸쳐 발생했다. 공격자들은 네트워크의 정상적인 트래픽 안에 자신들의 통신 트래픽을 숨겼다. 그 하나하나를 살펴보지 못했으니 2~3년 동안 이런 일이 발생해도 몰랐던 것이다. 버라이즌이 최근 발표한 데이터 유출 수사 보고서에 의하면 공격자들이 네트워크에 몰래 머무르는 평균 시간이 200일이라고 한다.
네트워크의 외곽 지점만을 위주로 한 침투 방지 보안은 특정 통신만을 걸러내는 데에 매우 취약하다. 이미 오래 전부터 나의 네트워크에 머물러 있는 사이버 공격자들을 발견하거나 막아내지 못한다. 야후가 겪었던 공격을 막아내기 위해서는 최소 야후가 하지 못했던 것들을 해내야 한다. 트래픽의 전체가 아니라 하나하나를 감시할 수 있는 툴을 마련하고, 패킷 기록을 저장하며 자동화 기술을 도입하는 게 바로 그것이다. 아니면 매우 운이 좋아 공격자들의 눈에 띄지 않거나.
글 : 세말 디크멘(Cemal Dikmen)
[국제부 문가용 기자(globoan@boannews.com)]
트래픽 전체 파악하는 건 보안에 도움 안 돼...자동화가 이젠 필수
[보안뉴스 문가용 기자] 야후 같이 어마어마한 회사에서 유출 사고가 발생했을 때 일반 사용자가 느끼는 무력감은 굉장하다. ‘야후 같은 곳도 당했는데, 우리가 어떻게 살아남을 수 있을까?’ 그리고 이 절망은 꽤나 현실적이고, 사실이기까지 하다. 일반 직원 혹은 업체로서 우리는 솔직히 이 살벌한 사이버 세상에서 살아남을 방도가 없다.
야후만 해도 실제로 네트워크 보안에 큰 투자를 하는 업체다. 그런데도 두 번 이상이나 공격을 허락했다. 공격자가 야후의 투자금 이상으로 돈이 많고, 야후의 보안 실력을 상회하는 해킹 실력을 가지고 있다는 뜻이다. 우리가 돈이나 실력 면에서 이런 조건들을 능가하기란 불가능에 가깝다. 그럼에도 희망이 있다면, 야후가 완벽하지 않았다는 것이다. 즉, 우리 편에서도 교훈 삼아 보완할 점이 있다는 것이다.
유출 탐지 및 사건 대응의 측면에 있어서 대부분 기업들이 하는 일이라고는 네트워크 장비들의 로그를 검토하는 것이다. 사건 관리 시스템과 보안 정보를 함께 활용해 유출이 어떤 식으로 일어났는지 알아내는 것도 여기에 포함된다. 야후도 이런 과정들을 거쳤는데, 이 때 세 가지 약점이 드러났다. 다음과 같다.
1. 애플리케이션 정보, 아이덴티티 정보, 기기 정보, 위치정보가 부족했다. 넷플로우(NetFlow)와 같은 툴은 여러 가지 정보가 다양하게 교류될 때 차이를 잘 구분하지 못한다. 전체 트래픽 흐름은 잘 살피는데, 그 세세한 내용들을 파악하기에 적절치 않은 툴이라는 것이다. 그러므로 수신자, CC 대상, 발신자, 제목 등 특정 애플리케이션에서만 교류되는 귀한 정보들을 놓치게 된다. 당연히 첨부파일의 악성 여부도 마찬가지다. 비식별화 및 난독화가 적용된 토르 프로토콜 역시 제대로 분류해내는 게 불가능에 가깝다. 그런데 세부 트래픽 파악은 보안에 있어 매우 중요한 요소다.
2. 네트워크 히스토리 및 아카이브 살펴보는 것만으로도 버거웠다. 네트워크 로그를 오랫동안 저장하는 것 자체가 어렵거나 복잡한 기술력을 요하는 건 아니다. 다만 수사를 위해 분석하는 과정에서 아주 오랜 시간 전까지 거슬러 올라가는 건 매우 어려운 일이다. 특히 잠재적으로 악성행위와 연관될 수 있는 기록들을 오래된 로그와 맞춰 유의미한 정보를 추출해낸다는 건 불가능에 가깝다. 그러니 로그를 오래 남길 필요가 없다는 인식이 팽배하다.
이를 보완해줄 수 있는 게 바로 패킷 기록 저장 툴이다. 패킷 기록은 네트워크 데이터에 대한 보다 상세한 내용들을 저장해두고 있다. 오랜 시간이 지나도 열람하기가 용이하다. 하지만 패킷 기록은 오래 저장할수록 값이 빠르게 올라간다. 비용과 적당히 균형을 맞추어 운영하면 패킷 기록이 꽤나 유용하게 사용될 수 있다.
3. 위협 탐지를 하는 데에 있어 자동화 과정이 불충분했다. 위협 첩보의 생성량은 이미 수동으로 처리할 수 있는 경지를 넘어섰다. 게다가 요즘 보안 업계는 인력난으로 시달리고 있다. 이제 정보를 분석하는 능력이라 함은 자동화도 포함하는 개념이다. 실제 야후를 비롯해 첩보를 수동으로 분석하는 기업들이 수두룩하다.
야후의 정보 유출 사건은 장기간에 걸쳐 발생했다. 공격자들은 네트워크의 정상적인 트래픽 안에 자신들의 통신 트래픽을 숨겼다. 그 하나하나를 살펴보지 못했으니 2~3년 동안 이런 일이 발생해도 몰랐던 것이다. 버라이즌이 최근 발표한 데이터 유출 수사 보고서에 의하면 공격자들이 네트워크에 몰래 머무르는 평균 시간이 200일이라고 한다.
네트워크의 외곽 지점만을 위주로 한 침투 방지 보안은 특정 통신만을 걸러내는 데에 매우 취약하다. 이미 오래 전부터 나의 네트워크에 머물러 있는 사이버 공격자들을 발견하거나 막아내지 못한다. 야후가 겪었던 공격을 막아내기 위해서는 최소 야후가 하지 못했던 것들을 해내야 한다. 트래픽의 전체가 아니라 하나하나를 감시할 수 있는 툴을 마련하고, 패킷 기록을 저장하며 자동화 기술을 도입하는 게 바로 그것이다. 아니면 매우 운이 좋아 공격자들의 눈에 띄지 않거나.
글 : 세말 디크멘(Cemal Dikmen)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
