보안 웹 게이트웨이(SWG: Secure Web Gateway)를 활용한 랜섬웨어 대응방안
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] ‘전 세계 피해액 22조 예상, 국내 피해 약 2조 5천억 원 예상.’ 이것은 2021년 랜섬웨어 피해 예상 금액에 대해서 각각 한국인터넷진흥원(KISA)과 한국랜섬웨어침해대응센터에서 보고된 내용이다.
[이미지=utoimage]
<보안뉴스>의 ‘2021 국내외 보안시장전망보고서’에 따르면 2020년 국내 사이버 보안 시장이 1조 9,186억 원 규모였다. 랜섬웨어로 인한 피해금액이 보안시장의 규모를 넘어선 것이다. 실제로 랜섬웨어 공격을 당한 기업의 사례를 살펴보면, 피해 금액이 사이버 보안에 대한 전체 투자금액을 넘어서는 경우가 대부분이다. 결국 랜섬웨어 방어를 위한 투자가 제대로 이루어지지 않고 있거나, 제대로 된 대응을 하지 못하고 있는 것이다.
지난해에 이어 지금까지 최대 보안이슈는 ‘랜섬웨어’다. 랜섬웨어 공격이 이렇게 끊임없이 확산되는 것은 결국, ‘돈’이 되기 때문이고, 그렇기 때문에 앞으로도 계속 기승을 부릴 것으로 예상된다. 기업들의 보안담당자들 대부분이 ‘올해는 랜섬웨어 대응으로 정신이 없다’고 대답하는 이유이다.
랜섬웨어를 비롯한 보안이슈 대응을 위한 첫 번째 단계로 고려해볼 수 있는 방안은 웹으로부터 악성코드 유입을 막는 것이다. 문제는 ‘어떻게’다. 유효성과 효율성에 대한 고민이 생기는 단계다. 유효성은 비용에 대한 고민 없이 100%에 가까운 악성코드 유입을 차단할 수 있는가의 문제다. 반면, 효율성은 기존에 있는 자원을 잘 활용하는 방법에 있다.
악성코드 대응 및 랜섬웨어에 대한 방어를 하나의 솔루션으로는 해결할 수 없다. 그러므로 ‘새로운 기술(up-to date)을 도입할 것인가?’, ‘운영하고 있는 보안 솔루션을 더 효율적으로 사용할 방안을 찾을 것인가?’라는 질문에 대한 해답을 기업에서 운영하고 있는 ‘보안 웹 게이트(SWG : Secure Web Gateway)’를 예를 들어서 생각해보자.
SWG를 통해서 할 수 있는 첫 번째 대응은 내부로 유입되는 웹사이트에 대한 악성코드 유무 검사다. 국내 기업들은 SWG를 URL 필터링을 통한 비업무사이트 차단을 목적으로 사용한다. 그렇지만 허용된 사이트를 통해서도 악성코드가 유입될 수 있는 현실을 생각한다면 SWG 활용법을 악성코드 유무에 대해서 확인하는 것까지 넓혀야 한다.
▲맥아피의 ‘Secure Web Gateway’를 활용한 악성코드 대응 전략[자료=맥아피코리아]
그림에서 보듯이 SWG를 이용해서 웹사이트로부터 있을 수 있는 악성코드에 대한 대응은, 알려진 악성코드뿐만 아니라 알려지지 않은 악성코드까지 브라우저에서 실행되기 전에 ‘실시간 행위 에뮬레션(emulation)’을 통해서도 차단이 가능하다. 그래도 의심이 되는 것은 브라우저 격리(RBI : Remote Browser Isolation) 기술을 이용해서 분석을 한다면 웹으로부터 유입되는 악성코드는 거의 100% 막을 수 있는 상태가 가능해진다. 그리고 보다 확실한 웹에 대한 대응방안으로는 접속하는 모든 사이트에 대해서 ‘모두 거부(Deny-All)’ 정책을 가져가는 것도 생각해볼 수 있다. 다만, 이렇게 되면 회사에서 필요한 업무사이트 외에는 외부로 접근할 수 없게 된다.
▲황민주 맥아피코리아 엔터프라이즈사업부문 대표[사진=맥아피코리아]
실제 맥아피의 경우도 이렇게 운영이 되고 있다. 업무상 필요한 사이트가 차단이 되어 있는 경우, 보안팀에게 필요한 이유와 함께 신청을 하면 사이트의 위험도 분석과 함께 허용이 된다. 즉, 외부로 나가는 트래픽은 방화벽에서 SWG를 통하지 않은 것은 모두 차단시키는 것이다. 이 방식으로 운영되는 회사들의 피드백을 보면, 이전보다 확실히 악성코드 감염이 줄어들었다고 한다. 최근 재택근무가 늘어나는 환경에서도 동일한 Proxy 정책을 사용할 수 있다.
보안 웹 게이트웨이(SWG) 활용만 보더라도 악성코드를 막기 위해서 꼭 새로운 기술을 도입해야만 하는 것은 아니다. 기존에 있는 SWG를 잘 활용한다면 웹사이트로부터 악성코드가 감염이 되는 것을 최대한 막을 수가 있다. ‘구슬이 서 말이라도 꿰어야 보배’인 것이다.
[글_ 황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸며, 시만텍과 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] ‘전 세계 피해액 22조 예상, 국내 피해 약 2조 5천억 원 예상.’ 이것은 2021년 랜섬웨어 피해 예상 금액에 대해서 각각 한국인터넷진흥원(KISA)과 한국랜섬웨어침해대응센터에서 보고된 내용이다.
[이미지=utoimage]
<보안뉴스>의 ‘2021 국내외 보안시장전망보고서’에 따르면 2020년 국내 사이버 보안 시장이 1조 9,186억 원 규모였다. 랜섬웨어로 인한 피해금액이 보안시장의 규모를 넘어선 것이다. 실제로 랜섬웨어 공격을 당한 기업의 사례를 살펴보면, 피해 금액이 사이버 보안에 대한 전체 투자금액을 넘어서는 경우가 대부분이다. 결국 랜섬웨어 방어를 위한 투자가 제대로 이루어지지 않고 있거나, 제대로 된 대응을 하지 못하고 있는 것이다.
지난해에 이어 지금까지 최대 보안이슈는 ‘랜섬웨어’다. 랜섬웨어 공격이 이렇게 끊임없이 확산되는 것은 결국, ‘돈’이 되기 때문이고, 그렇기 때문에 앞으로도 계속 기승을 부릴 것으로 예상된다. 기업들의 보안담당자들 대부분이 ‘올해는 랜섬웨어 대응으로 정신이 없다’고 대답하는 이유이다.
랜섬웨어를 비롯한 보안이슈 대응을 위한 첫 번째 단계로 고려해볼 수 있는 방안은 웹으로부터 악성코드 유입을 막는 것이다. 문제는 ‘어떻게’다. 유효성과 효율성에 대한 고민이 생기는 단계다. 유효성은 비용에 대한 고민 없이 100%에 가까운 악성코드 유입을 차단할 수 있는가의 문제다. 반면, 효율성은 기존에 있는 자원을 잘 활용하는 방법에 있다.
악성코드 대응 및 랜섬웨어에 대한 방어를 하나의 솔루션으로는 해결할 수 없다. 그러므로 ‘새로운 기술(up-to date)을 도입할 것인가?’, ‘운영하고 있는 보안 솔루션을 더 효율적으로 사용할 방안을 찾을 것인가?’라는 질문에 대한 해답을 기업에서 운영하고 있는 ‘보안 웹 게이트(SWG : Secure Web Gateway)’를 예를 들어서 생각해보자.
SWG를 통해서 할 수 있는 첫 번째 대응은 내부로 유입되는 웹사이트에 대한 악성코드 유무 검사다. 국내 기업들은 SWG를 URL 필터링을 통한 비업무사이트 차단을 목적으로 사용한다. 그렇지만 허용된 사이트를 통해서도 악성코드가 유입될 수 있는 현실을 생각한다면 SWG 활용법을 악성코드 유무에 대해서 확인하는 것까지 넓혀야 한다.
▲맥아피의 ‘Secure Web Gateway’를 활용한 악성코드 대응 전략[자료=맥아피코리아]
그림에서 보듯이 SWG를 이용해서 웹사이트로부터 있을 수 있는 악성코드에 대한 대응은, 알려진 악성코드뿐만 아니라 알려지지 않은 악성코드까지 브라우저에서 실행되기 전에 ‘실시간 행위 에뮬레션(emulation)’을 통해서도 차단이 가능하다. 그래도 의심이 되는 것은 브라우저 격리(RBI : Remote Browser Isolation) 기술을 이용해서 분석을 한다면 웹으로부터 유입되는 악성코드는 거의 100% 막을 수 있는 상태가 가능해진다. 그리고 보다 확실한 웹에 대한 대응방안으로는 접속하는 모든 사이트에 대해서 ‘모두 거부(Deny-All)’ 정책을 가져가는 것도 생각해볼 수 있다. 다만, 이렇게 되면 회사에서 필요한 업무사이트 외에는 외부로 접근할 수 없게 된다.
▲황민주 맥아피코리아 엔터프라이즈사업부문 대표[사진=맥아피코리아]
실제 맥아피의 경우도 이렇게 운영이 되고 있다. 업무상 필요한 사이트가 차단이 되어 있는 경우, 보안팀에게 필요한 이유와 함께 신청을 하면 사이트의 위험도 분석과 함께 허용이 된다. 즉, 외부로 나가는 트래픽은 방화벽에서 SWG를 통하지 않은 것은 모두 차단시키는 것이다. 이 방식으로 운영되는 회사들의 피드백을 보면, 이전보다 확실히 악성코드 감염이 줄어들었다고 한다. 최근 재택근무가 늘어나는 환경에서도 동일한 Proxy 정책을 사용할 수 있다.
보안 웹 게이트웨이(SWG) 활용만 보더라도 악성코드를 막기 위해서 꼭 새로운 기술을 도입해야만 하는 것은 아니다. 기존에 있는 SWG를 잘 활용한다면 웹사이트로부터 악성코드가 감염이 되는 것을 최대한 막을 수가 있다. ‘구슬이 서 말이라도 꿰어야 보배’인 것이다.
[글_ 황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸며, 시만텍과 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
