사용자 삽입 이미지
지난 1월 한국인터넷진흥원(KISA)은
웹트러스트(Webtrust) 인증을 받았지만 반년이 지난 지금도 모질라 파이어폭스에는 KISA의 루트 인증서가 미탑재된 상태다.

사용자 삽입 이미지
이로 인해 여전히 KISA나 KISA 하위기관이 발급한 인증서를 사용하는 웹사이트들은 ‘신뢰할 수 없는 인증기관에서 발급한 인증서이기 때문에 접속하지 않기를 권장합니다’라는 메시지를 뿜어내고 있다.



KISA의 웹트러스트 인증 획득 목적은 루트 인증서를 파이어폭스에서 사용할 수 있도록 하기 위해서였다. 하지만 모질라측에서 루트 인증서 탑재를 보류함에 따라 KISA만 답답해진 형국이다.
모질라는 웹트러스트 인증을 받은 공인인증기관의 인증서만 탑재해주는 방식을 고수하고 있다. 신뢰할 수 있는 사업자만 들어와야 소비자들의 피해가 줄어들 것이라고 판단했기 때문이다.


충분히 이해할 수 있는 조치다. 하지만 정작 웹트러스트 인증을 받은 KISA의 인증서 탑재가 보류되고 있었는데, 그 이유를 알아봤다.

한국모질라재단과 KISA 취재결과 모질라가 KISA의 루트 인증서 탑재를 보류하고 있는 이유는 KISA 하위에 있는 5개의 공인인증기관이 웹트러스트 인증을 받지 않았기 때문으로 보인다.

코모도(Comodo), 베리사인(Verisign) 등과 같은 해외 인증기관들은 하위 인증기관을 따로 두고있지 않다. 자신들이 인증서와 같은 모든 업무를 관장하기 때문에 탑재에도 문제가 없다.

하지만 KISA는 루트 인증기관으로의 역할만 수행하고 실제 인증서 발급과 같은 기능은 하위 인증기관인 금융결제원, 한국정보인증, 한국전자인증, 한국증권전산, 한국전산원, 한국무역정보통신 등에서 수행하고 있다.

(이 중 한국전자인증만 웹트러스트 인증을 보유하고 있다.)


KISA측은 최상위 인증기관인 자신들이 웹트러스트 인증을 획득했으므로 모든 하위 인증기관들도 이를 적용시켜줘야 한다고 주장하고 있다.

모질라측은 KISA가 웹트러스트 인증을 보유하고 있는 것은 인정하나, 이 인증을 하위 인증기관까지 적용해도 될지 여부를 논의 중인 것으로 알려졌다.

윤석찬 한국모질라재단 리더(제주대 교수)는 “하위 인증기관에 대한 해석을 놓고 KISA와 모질라간의 의견차가 있는 것 같다”고 전했다.

이에 대해 임진수 KISA 전자인증팀장은 “모질라측에서 하위 인증기관에 대한 논의가 필요하다는 지적을 전해왔다”며 “모질라가 이에 대해 동의해주지 않는 한 파이어폭스에서 ‘유효하지 않은 인증서’와 관련된 메시지는 노출될 수 밖에 없다”고 전했다.

한편 웹트러스트는 기업이나 기관의 개인정보보호, 트랜잭션 무결성 등 전반적인 보안상태를 점검하고, 그 상태가 일정 수준 이상일 경우 부여되는 인증이다. 이를 획득할 경우 신뢰성 확보와 더불러 다양한 인증서 발급사업을 추진할 수 있다.

KISA는 지난해 9월 딜로이트 안진회계법인과 계약을 맺고 인증 획득을 추진했으며 지난 1월 인증 획득을 완료했다.
2014/07/08 09:07 2014/07/08 09:07

악성코드 분석가를 비롯해 악성코드에 대해 공부를 하는 사람들이라면 ‘바이러스토탈(VirusTotal)’을 자주 이용하고 있을 것이다.

바이러스토탈은 구글이 2002년 9월에 인수한 악성코드, 악성URL 분석 서비스다. 최대 53개의 안티바이러스(백신)을 사용해 해당 파일이 악성코드에 감염됐는지를 분석해준다.

카스퍼스키랩, 맥아피, 시만텍 노턴 등 외산 백신을 비롯해 국내 백신의 시그니처도 등록돼 있기 때문에 편리하게 악성코드 유무를 확인할 수 있는 장점이 있다.

수 초내에 악성파일 여부를 파악할 수 있다는 장점으로 인해 바이러스토탈은 이메일 첨부파일용 백신으로 활용하는 사람도 많다고 한다.

(물론 잉카인터넷, 안랩 등에 재직 중인 악성코드 분석가들은 바이러스토탈의 결과를 무조건적으로 신뢰하지 말라고 주의를 준다.)

익명을 요구한 보안업계 관계자에 따르면 “최근 지능형지속가능위협(APT) 공격의 초기 단계인 스피어피싱에 대응하기 위해 이메일로 받은 첨부파일을 로컬에서 열기 전 바이러스토탈을 통해 검사하는 사용자들이 많아진 것 같다”며 “문제는 순수하게 기업 내부정보일 수 있는 파일을 아무런 고민없이 클라우드(바이러스토탈)에 던지는 것이다. 그럴리는 없겠지만 바이러스토탈이 클라우드에 저장된 파일들을 다른 용도로 사용하거나, 외부 공격에 의해 유출될 가능성도 고민해봐야 할 것”이라고 전했다.

실제로 얼마전에는 한 인터넷기업의 자산정보 내역 파일로 유추되는 파일이 바이러스토탈에 업로드되기도 했다. 이는 엄연히 내부정보유출이 될 수 있다.
사용자 삽입 이미지

스피어피싱과 같은 해킹 공격에 대응하기 위한 방법을 강구하고 실천한다는 것은 바람직한 일이지만, 그 이후에 발생할 수 있는 사안에 대한 문제도 고민해봐야 할 것이다.
2014/07/03 13:56 2014/07/03 13:56
사용자 삽입 이미지

특정 국가의 치명적인 혼란을 꾀하는 공격자는 어떤 영역을 공격할 것으로 예상하는가. 사람에 따라 생각이 조금씩 다를 수 있겠지만 대부분은 전력, 교통, 통신 등 국가 기반 인프라를 공격할 것이라고 답할 것이다.

만약 우리가 사는 동네에 전기 공급이 끊기는 상황을 가정해보자. 장기간의 단전이 지속된다면 정상적인 삶은 불가능해질 것이다.

국방의 의무를 지고 나온 우리나라 남성이라면 전쟁 발발 시 적국이 가장 먼저 발전소나 기지국 등을 노린다는 것을 배운 기억을 다시 한번 되새겨보자.

이런 가능성을 고려한다면 많은 공격자들이 국가의 기반 인프라를 공격하는 것이 새삼스럽지 않다. 이미 스턱스넷(Stuxnet), 플레임(Flame), 듀큐(Duqu) 등의 공격이 있었다.

2011년, 사이버공격 증가할 듯…‘스턱스넷’ 등장 큰 위협 - 2010.11.25
(http://www.ddaily.co.kr/news/article.html?no=71236)


스턱스넷과 유사한 사이버 표적공격 ‘듀큐’ 발견 - 2011.10.20
http://www.ddaily.co.kr/news/article.html?no=83576


“새로운 악성코드 플레임, 국가단위 해킹 가능성 높다” - 2012.06.05
http://www.ddaily.co.kr/news/article.html?no=91564

이러한 공격 중 국가 전력시스템을 노린 공격이 등장했다.

지난 1일 시만텍은 서방 에너지회사들의 산업제어시스템(ICS)을 노리는 공격 ‘드래곤플라이(Dragonfly)’를 포착했다고 밝혔다.

드래곤플라이의 가장 큰 특징은 ICS 장비 공급업자들의 시스템에 침투해 트로이목마를 감염시킨다는 점이다. 이 의미는 발전소 등에서 운영하고 있는 ICS 장비에 악성코드가 탑재된 소프트웨어를 업데이트의 명목으로 보낼 수 있다는 점이다.

망분리가 돼 있더라도 이러한 악성코드에 감염된다면 원격지에서 조정이 가능해지고, 이는 대형 사고로 이어질 수 있게 된다.

이와 관련 윤광택 시만텍코리아 이사는 “이번에 발견된 드래곤플라이는 공격을 시도하는 도중에 포착이 됐기 때문에 어느정도의 파괴력을 지녔는지는 파악할 수 없다”며 “하지만 특정 기반산업을 공격한다는 특징으로 인해 주목해야 할 부분”이라고 설명했다.


만약 드래곤플라이를 사전에 탐지하지 못했다면 큰 사고가 발생했을 수 있다. 드래곤플라이 등장에 대해 외신들은 에너지산업의 위협이란 주제로 기사를 송고하고 있다.

드래곤플라이는 우리나라를 공격할 가능성도 있다. 우선 특정 산업 기기에 대해 영향력을 끼칠 수 있는 서버를 점령하므로 해당 서버를 통해 업데이트를 받는 기기가 모두 공격 대상이 될 수 있다.

우리나라 역시 해외와 유사하게 지멘스나 ABB, 쿠카 등에서 생산된 기기를 운영하고 있다. 이때문에 우리나라도 드래곤플라이와 같은 공격에서 자유로울 수 없다.

특히 우리나라는 ICS에 대한 보호조치를 제대로 하고 있는 곳이 많지 않다. 여전히 지원이 종료된 윈도XP를 사용하고 있는 곳이 많으며, 망분리가 돼 있다는 이유로 이에 대한 유지보수를 이행하지 않는 곳도 있다.

더 큰 문제는 ICS를 노리는 공격은 사전에 탐지하거나 분석하기가 매우 어렵다. ICS 특성상 기기로부터 얻을 수 있는 로그가 매우 제한적이며, 이조차도 없는 경우가 많기 때문이다.

글로벌 보험 중개사 윌리스(Willis)의 2014년 보고서에 따르면 국가 전력 시설을 담당하는 ICS 기기들은 단 한번이라도 꺼지면 안되기 때문에 이에 대한 유지관리가 힘들며, 이를 노린 공격이 다수 발생한다고 지적하고 있다.

이를 대비하기 위해서는 기반시설에 대한 투자를 확대해 관제, 컨설팅도 보다 디테일하게 실시하고, 새로운 위협에 대응할 수 있는 솔루션 도입에도 나서야 할 것이다.
2014/07/02 10:47 2014/07/02 10:47
사이버 공격은 네트워크 방어를 우회하기 위한 시도를 계속하며 끊임없이 진화하고 있습니다. 이미 탐지된 동일 위협으로는 지속적인 목적 달성이 어렵기 때문에, 기존에 알려진 악성코드를 변종으로 재탄생시켜 보다 정교화된 위협을 가하고 있는 것이죠.

가령 공격자들이 지속적으로 위협 행위를 성공시킨다면 그들은 공격 방식과 기술을 재구성하거나 업데이트할 필요가 없습니다. 공격자가 전술을 새롭게 짤 경우 악성코드 재생산, 인프라 업데이트, 새로운 프로세스에 대한 교육 등 상당한 노력이 수반되기 때문입니다.

이를 근거로 파이어아이는 이러한 위협에 대응하기 위해 새롭게 등장하거나 또는 변종된 악성코드의 공격 방식과 우회 전술을 탐지한 뒤, 공격자가 이러한 변종을 시도한 의도를 알아내는 것이 지능형지속가능위협(APT) 공격에 대응할 수 있다고 지적합니다.

그래야만 향후 또 다른 악성코드가 변종 될 경우 공격 양상을 예측할 수 있다는 주장이죠.

여기에 대해 박성수 파이어아이 악성코드 전문가는 “네트워크 보안망을 뚫고 공격에 성공한 기술들은 더 널리 전파되고 실패한 전술은 버려지기 마련입니다. 최근 파이어아이에 의해 분석된 최신의 APT 사례를 살펴보면, 악성코드가 최초 탐지된 후 상당 기간이 흘렀지만 여전히 변종된 형태로 활발하게 사용되고 있다는 점과 보통 스피어 피싱으로 네트워크에 침투되고 있다는 점이 공통된 특성으로 보입니다”라고 설명했습니다.

이번에는 파이어아이가 발간한 보고서를 바탕으로 전세계서 발생한 지능형지속가능위협(APT) 공격 사례 중 일부를 소개하려고 합니다.


◆야후 블로그를 활용한 타이도어(Taidoor) 변종 악성코드

타이도어(Taidoor)는 2008년부터 현재까지 지속적으로 APT 공격에 사용되고 있는 악성코드로, 주로 스피어 피싱 이메일을 통해 사이버 스파이 활동에 이용돼 왔습니다.

파이어아이는 타이도어를 이용한 공격방식에 있어 2011년과 2012년 사이 기술적인 변화를 밝혀냈는데, 기존 방식이 악성 이메일 첨부파일 실행 시 타이도어가 직접 드롭(drop)되는 방식이었다면, 새로 발견된 방식은 ‘downloader’를 드롭시킨 뒤 기존 타이도어 악성코드를 인터넷상에 다운로드하는 방식으로 알려졌습니다.

공격자들은 기존의 타이도어 악성코드를 C&C 서버로부터 다운로드 하는 대신, 특정 야후 블로그의 포스트에서 암호화된 텍스트를 다운로드 합니다. 암호가 풀린 텍스트는 DLL 파일로 기존 타이도어 악성코드의 변형 버전입니다. 즉, 타이도어 악성코드를 다운로드하는 메커니즘으로 야후 블로그를 악용한 사례라고 볼 수 있을 것 같습니다.

자료출처 : http://www.fireeye.com/blog/technical/2013/09/evasive-tactics-taidoor-3.html


◆악성코드 포이즌 아이비(PIVY) 변종을 이용한 몰레츠(Molerats) 공격 

몰레츠는 원격제어(RAT) 악성코드인 ‘포이즌 아이비(PIVY)’ 역시 8년 째 APT 공격에 이용돼 오고 있는 악성코드입니다.

2013년 여름 중동과 미국 내 몰레츠 해커집단이 C&C 인프라와 연결되는 포이즌 아이비 악성코드를 이용한 공격이 탐지됩니다. 몰레츠는 타겟 호스트를 감염시키기 위해 제로데이 취약점을 이용한 스피어 피싱을 이용했는데, 타깃 대상이 악의적인 파일을 열도록 유도하기 위해 현재 이집트 및 동유럽 전역에 걸친 위기 상황과 관련된 아라비아어로 된 콘텐츠를 활용한 것이 특징입니다.

몰레츠 공격은 본래 이스라엘과 팔레스타인 조직에만 초점을 맞춘 것으로 보였지만 다른 아랍권 국가나 미국 등 세계적인 공격을 감행하고 있어 보다 주의가 요구됩니다.

특히 그간 포이즌 아이비 악성코드는 대부분 중국 해커집단과 연관되어 있다고 여겨져 왔으나 변종 버전이 사용됨에 따라 그 배후에 대해서도 더욱 주의를 기울여야 한다고 합니다.

자료출처 http://www.fireeye.com/blog/technical/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html


◆IE의 제로데이 취약점(cve-2013-3893)을 악용한 ‘오퍼레이션 디퓨티도그(Operation DeputyDog)’

오퍼레이션 디퓨티도그는 가장 최근의 발견한 공격입니다. 올해 8월 17일 등장해 19일에 공격을 시작했습니다.

일본 내 기업들을 표적으로 한 이 공격은 해커들이 정보를 송수신하기 위한 C&C서버를 한국에 심어두기도 한 것으로 밝혀져 보안업계에서 회자가 됐습니다.(국내에서는 10월 9일 마이크로소프트가 10월 정기 보안업데이트를 실시하면서 알려졌습니다.)

파이어아이는 자사의 동적 위협 분석 클라우드 서비스(DTI)에 기반해 이번 악성코드 캠페인과 연관된 위협 활동을 지속적으로 모니터링한 결과, 이번 공격이 지난 2월 비트9(Bit9)을 공격했던 위협요소와 일치한다는 것을 발견했습니다.

특히 cve-2013-3893 취약점은 암호화된 JPG 확장자 형태의 파일로 알려졌는데, 이는 기존 시그니처 기반의 보안 솔루션을 우회할 수 있습니다.

출처 : http://www.fireeye.com/blog/technical/cyber-exploits/2013/09/operation-deputydog-zero-day-cve-2013-3893-attack-against-japanese-targets.html

앞서 3개의 사례에서처럼 공격자들은 이전에 알려지지 않은 제로데이(Zero-day) 취약점을 활용하고 보다 강력한 악성 코드를 만들어 내고 있습니다. 여기에 대비하기 위해서는 보안 위협을 실시간으로 모니터링하고 분석할 수 있는 대책마련이 필요할 것으로 보입니다.


2013/11/03 18:30 2013/11/03 18:30

네트워크, 보안 장비들과 보안정보이벤트관리(SIEM) 솔루션만으로 모든 보안 위협에 대응할 수 있을까?

일반적으로 보안정보이벤트관리(SIEM)는 보안 솔루션들이 내놓는 정보를 취합해 유의미한 데이터를 뽑아내는 것에 주력한다.

방화벽, 침입방지시스템(IPS)와 같은 네트워크 보안 어플라이언스에서부터 네트워크접근관리(NAC), 백신(AV) 등이 탑지한 위협요소를 분석해 대응하는 역할을 담당한다.

하지만 보안 장비들이 걸러내지 못하는 위협은 분명 있다. 지능형지속가능위협(APT) 공격이나 제로데이 공격 등은 일반적으로 알려지지 않은 공격이기 때문에 보안 솔루션들이 탐지하기가 어려운 것이 사실이다.

이러한 이유 때문에 최근에는 SIEM과 트래픽 분석을 결합하는 움직임이 나타나고 있다. 이는 SIEM 솔루션을 기보유한 업체들로부터 시작되고 있는데 EMC 보안사업부인 RSA와 이글루시큐리티가 시장에 선수를 쳤다.

트래픽 분석 솔루션은 빅데이터와도 연관이 있다. 매초 수천건이 쏟아져나오는 패킷을 모두 수집해 빠른 시간내에 분석하기 위해서는 빅데이터 처리 능력이 필요하기 때문이다.

EMC 보안사업부 RSA는 네트워크 트래픽 전수조사 솔루션인 넷위트니스를 보유하고 있다. 넷위트니스는 국내에서 APT 대응솔루션으로 널리 알려졌는데 이는 내부로 들어오는 모든 트래픽을 분석해 알려지지 않은 위협에 대응할 수 있었기 때문이다.

RSA는 넷위트니스에 SIEM과 빅데이터 플랫폼을 결합한 제품을 출시했다. ‘시큐리티 애널리틱스’라고 불리는 이 솔루션은 로그와 트래픽을 한번에 처리할 수 있다.

박범중 한국EMC RSA 차장은 “SIEM은 룰(Rule) 기반으로 동작하기 때문에 룰이 만들어놓은 시나리오에서 조금만 벗어나더라도 이를 탐지할 수 없다. 그러나 최근 해킹사고를 보면 알 수 있을테지만 예측이 불가능한 공격이 감행되고 있다”고 말했다.

시나리오에 없는 공격을 탐지하기 위해서는 트래픽과 로그를 전수조사하는 수 밖에 없다. 하지만 전수조사는 말처럼 쉽지 않다. 수천, 수만건의 로그와 트래픽을 수초내에 분석해서 적용해야만 유의미하기 때문이다.

박 차장은 “전수조사에는 빅데이터를 활용해야 한다. 수 초 이내에 쿼리를 내놓고 판단할 수 있어야 하기 때문이다”라며 “테라바이트(TB) 급의 패킷을 수초내에 해결할 수 있는 것은 하둡과 같은 빅데이터 플랫폼이다. 하둡의 분산처리 시스템은 이를 가능케 한다”고 강조했다.

RSA는 보안·네트워크 장비들이 쏟아내는 로그와 패킷을 ‘시큐리티 애널리틱스 웨어하우스’에서 모두 수집해 처리한다.

시큐리티 애널리틱스 웨어하우스는 빅데이터 분석을 통해 유의미한 데이터를 도출해내고 최종적으로 ‘예측모델’을 만들어낸다. 통계적 추론에 의한 결과값으로 보안위협에 선제적인 대응을 하겠다는 취지다.

박 차장은 “모든 SIEM 솔루션 업체들도 조만간 트래픽 분석에 대한 필요성을 인지하고 시장에 진입할 것이며 ‘예측모델’의 발전 가능성 역시 무궁무진하다”고 말했다.

이글루큐리티는 SIEM에 비정상트래픽을 분석할 수 있는 솔루션(IS-ATRA)을 내놨다.

이 제품은 RSA의 ‘시큐리티 애널리틱스’와 유사한 모델이다. 단 트래픽 전수조사 대신 비정상 트래픽을 탐지하고, 학습을 통한 성능 향상, 그리고 관제에 대한 효율성 향상이 주 목적이다.

임형준 이글루시큐리티 ATRA팀장은 “알려지지 않은 공격 위협을 탐지하기 위해서는 네트워크 흐름(Flow)을 기반으로 한 비정상트래픽을 파악할 필요가 있다. 유입 트래픽에 대한 지속적인 모니터링과 학습을 통하여 유입된 트래픽이 내부 시스템 및 장비에 미치는 영향과 상태에 대해 파악하고 이를 종합해 알려지지 않은 공격 위협, 유입된 비정상트래픽, 내부현황 그리고 그에 따른 대처방안을 알려준다”

RSA 제품과 이글루시큐리티의 트래픽 분석 솔루션은 빅데이터를 기반으로 평상시 네트워크 특성과는 다른 이상징후를 검출해 내는 것에 주력을 하고 있다.

RSA(시큐리티 애널리틱스)는 이를 트래픽, 로그 전수조사를 통해 SIEM과 통합하고, 이글루시큐리티는 이상 트래픽을 탐지해 이를 SIEM과 결합했다.

데이터 처리능력이나 확장성은 RSA가 보다 높지만 이글루시큐리티의 솔루션은 학습 능력을 갖춰 지속적으로 잠재적 위협요소에 대한 판단력을 높인다는 것에 의의를 둘 수 있을 것으로 보인다.
2013/10/02 09:16 2013/10/02 09:16
최근 보안시장에서는 지능형지속가능위협(APT)와 같은 고도화된 위협이 증가함에 따라 빅데이터 분석을 보안과 결합하고자 하는 요구가 많아지고 있다.
APT에 대한 선제적인 방어와 공격과 위험을 예상하고 감지하기 위해 기업은 방대한 양의 데이터를 빠른 속도로 취급, 처리해 네트워크 내외부에서 발생하는 모든 정형·비정형 데이터를 분석할 수 있는 인프라가 필요하기 때문이다.

또한 기업은 클라우드, 모바일, 가상 환경을 아우르는 모든 컴퓨팅 환경을 모니터링해야 하며 실제 보안 문제가 발생했을 시 자동적인 조치가 취해져야 한다.

여기서 보안정보이벤트관리(SIEM)과 빅데이터 분석의 결합이 대두됐다. 보안 어플라이언스들이 쏟아내는 수많은 데이터를 분석해 가장 적합한 조치를 취할 수 있는 것이 목표다.

IBM, HP, EMC 등 글로벌 업체들은 일찍부터 자사의 SIEM에 빅데이터 분석 기능을 탑재하기 위해 힘써왔으며, 현재는 구현 방식은 조금씩 다르나 ‘실시간분석’, ‘예측분석’이라는 목표 달성을 위해 솔루션을 고도화하고 있다.

국내 업체 중에서는 이글루시큐리티, KCC시큐리티도 빅데이터 분석으로 보안위협 대응에 나선 상황이다.

◆빅데이터 분석을 통해 ‘시큐리티 인텔리전스’ 전략 펼치는 한국IBM

‘시큐리티 인텔리전스’는 IBM의 보안 솔루션과 예측할 수 있는 방법을 통해 외부 위협에 적절히 대응하는 전략이자 시스템을 의미한다.

박형근 한국IBM 보안사업부장은 “시큐리티 인텔리전스에서 무엇보다 중요한 것은 바로 실시간으로 다양한 정보간의 상관 관계를 파악할 수 있다는 점”이라며 “IBM의 시큐리티 인텔리전스는 기업에서 일어나는 모든 IT활동을 수집하고 실시간 이벤트 및 히스토리컬 이벤트에 대해 종합적인 상관관계 분석을 수행함으로써 가장 정확한 인시던트(Offence)를 찾아낸다”고 설명한다.

예를 들어 네트워크 커뮤니케이션이 제대로 적절히 이뤄지고 있는지 확인할 수 있으며, 혹시라도 정상적이지 않은 서비스가 있는지, 이상한 프로그램은 없는지, 예상치 않았던 로그인이나 실패 사례, 그리고 예상치 못한 변화는 없는지, 그리고 새로운 서비스가 IT관리자들도 알지 못하는 사이에 설치됐는지 등에 대한 인사이트를 갖게 되는 것이다.

또 한가지 시큐리티 인텔리전스에서 중요한 것은 바로 예방과 감지이다. 시큐리티 인텔리전스를 적용하면 다양한 공격과 사고가 발생하기 전에 예방이 가능하다. 실제 보안사고가 발생할 경우 얼마나 발 빠르게 대응할 수 있는가 하는 것이 가장 중요하고, 현재의 기업들이 시큐리티 인텔리전스 적용이 필요한 이유다.

IBM은 큐레이더(IBM QRadar Security Intelligence Platform)로 APT와 같은 보안위협에 대응한다.

큐레이더는 단순한 로그 수집, 분석에 그치지 않고, 네트워크 트래픽 정보, 취약점 스캔 결과 등을 수집한다. 또 네트워크, 데이터 센터, 어플라이언스 등에 어떤 일이 벌어지고 있는지를 파악할 수 있도록 사용자에게 가시성을 제공한다.

◆노란코끼리(하둡)와 함께 가는 HP

올해 초 한국HP는 자사의 SIEM 솔루션 아크사이트에 의미기반 분석엔진을 탑재하고, 대용량데이터 분석을 강화하기 위해 하둡을 지원한다고 밝혔다.

박진성 한국HP 엔터프라이즈 시큐리티 프로덕트(ESP) 이사는 아크사이트와 의미기반 분석엔진을 통합한 것에 대해 “콘텐츠 분석과 실시간 데이터 분석의 통합”이라는 문장으로 표현했다.

‘아크사이트 클라우드 커넥터 프레임워크(HP ArcSight Cloud Connector Framework)’라고 불리는 이 프레임워크는 아크사이트와 의미기반 분석 엔진인 HP 오토노미 아이돌(HP Autonomy IDOL)을 통합해 유저로부터 발생하는 모든 데이터에 대한 내용, 콘셉트, 의견, 사용 패턴을 자동적으로 인식한다.

이는 가공되지 않은 보안관련 데이터(raw security data)의 분석을 지원한다. 또한 행동패턴을 포함한 유저의 감성과 관련된 데이터의 자동적 인식 및 분석을 통해 더욱 신속하게 정보 보안 위협을 실시간으로 감지해 대응할 수 있다.

로우데이터는 기본적으로 크기가 크다. 가공되지 않은 데이터이기 때문이다. 이를 처리하기 위해 HP는 아크사이트와 하둡을 연계시켜주는 플러그인을 개발했다.

박 이사는 “HP 아크사이트·하둡 통합 유틸리티는 HP 아크사이트의 리포팅, 검색, 상관관계를 분석하는 성능과 하둡의 거대한 중앙 스토리지와의 연계를 통해 기업이 페타바이트(Petabytes) 데이터를 처리하는데 필요한 스토리지 역량을 제공할 수 있다. 이러한 오픈소스 기반의 기계 학습 알고리즘(machine-learning algorithms), 통계 분석, 이상 감지, 예측 분석은 수집된 데이터와 접목돼 보안 이슈에 대한 더욱 넓은 통찰력과 해결방안을 지원할 수 있을 것”이라고 설명했다.

IBM과 HP는 빅데이터를 처리하는 방식은 다르지만(자체-하둡), 수많은 데이터(로그)에서 유의미한 데이터를 추출, 분석하는 것은 크게 다르지 않다는 것을 알 수 있다.


2013/10/02 09:16 2013/10/02 09:16

- [딜라이트닷넷 창간4주년/분석의시대] 빅데이터 분석을 활용한 지능형 보안 강화①

 

갈수록 복잡해지는 IT 환경과 보안위협의 급증, 지능화에 따라 최근 보다 능동적이고 효과적으로 대응하기 위한 방법으로 보안관리에 빅데이터 기술을 결합하는 사례가 늘어나고 있다.

<딜라이트닷넷>은 기존의 보안정보이벤트관리(SIEM) 솔루션의 고도화를 비롯해 빅데이터 분석을 탑재한 통합로그분석시스템의 현안을 살펴본다.

또 하둡과 같은 빅데이터 플랫폼, 분석기술을 접목해 보안수준을 높이고 있는 업체들의 전략과 솔루션의 강점을 살펴본다.  <편집자주>


날로 고도화되는 보안위협으로 인해 통합로그분석시스템에 대한 업계의 관심이 높아지고 있다. 기존의 단일 보안솔루션(방화벽, 침입방지시스템 등)만으로는 보안위협에 대응하기 어렵기 때문이다.

또 기존에 수집만 하던 로그의 가치를 보안담당자들이 깨닫게되면서 로그분석에 대한 수요가 많아진 것으로 분석된다.

통합로그분석시스템은 방화벽, 침입방지시스템 등 네트워크 보안장비를 비롯해 호스트, 메인프레임 등 기업내 모든 어플라이언스에서 내놓는 로그를 저장하고 이를 통해 유의미한 데이터를 생성한다. 빅데이터 분석을 보안에 활용한 사례다.

또 수많은 정형·비정형데이터를 마이닝해 유의미한 수치를 뽑아낼 수 있다. 가령 같은 지점에서 발생하는 오류에 대한 로그가 각각의 어플라이언스에서 도출됐다면 이를 바탕으로 정확한 진단이 가능하다는 의미다.

여기서 생성된 데이터는 기업내 보안 취약점을 알아낼 수 있도록 도와주거나 전사적인 리스크 관리에도 탁월한 효과를 발휘하고 있다.

아울러 개인정보를 취급하는 모든 사업자들은 사용자의 접속기록(로그)을 안전하게 보관할 수 있도록 기술적·관리적 조치를 취해야한다는 법적인 이슈도 통합로그관리시스템의 인기요인 중 하나다.

◆통합로그분석시스템, 보안정보이벤트관리(SIEM)과는 무엇이 다를까

여기까지만 본다면 통합로그분석시스템은 통합정보관리(ESM)이나 보안정보이벤트관리(SIEM)와 크게 다른점이 없어보인다. ESM, SIEM 역시 로그와 이벤트를 수집, 분석하는 기능을 갖추고 있기 때문이다.

그럼 통합로그분석시스템 전문업체의 이야기를 들어보자. 딜라이트닷넷은 이상준 유넷시스템 연구소장과 이용섭 이너버스 차장과 인터뷰를 진행했다.

기자 “SIEM과 통합로그분석시스템은 별로 다른게 없는 것 같습니다. 무슨 차이점이 있나요?”

이상준 유넷시스템 연구소장 “양 솔루션은 로그 또는 이벤트를 수집하고 분석하는 고유의 기능은 서로 유사한 것은 사실입니다. 하지만 통합로그분석시스템은 수집, 분석 성능과 분석의 유연성에 초점을 맞추고 있습니다. 반면 SIEM은 보안 침입, 사고에 대한 시그니처를 보유하고 있고 보안사고에 대한 예·경보, 후속 처리 등에 초점을 맞추고 있습니다.”

이용섭 이너버스 차장 “초창기 로그관리의 주요 이슈는 시스템의 정상적인 동작 여부를 확인하고 에러를 점검하기 위해 데이터를 손상하지 않고 원본 로그 파일을 보관하는 것이 주 목적이었습니다. 하지만 IT인프라의 대형화의 빅데이터 시대가 열리면서, 근래의 통합로그분석시스템은 수집, 처리된 대용량의 로그 데이터의 연계성을 분석해 침입탐지, 이상징후 탐지, 내부정보 유출 모니터링 등 고도의 상관분석 기술을 활용하는 방향으로 가고 있습니다.”

즉, 통합로그분석시스템은 로그 수집은 기본 기능이며, 분석의 성능과 유연성, 데이터간 연계성에 초점을 맞추고 있다고 볼 수 있다.

◆하둡이 ‘킹왕짱?’…“꼭 그런 것은 아니다”

빅데이터라는 용어의 등장으로 ‘하둡(Hadoop)‘이라는 기술도 부각됐다. 하둡은 대량의 데이터를 처리할 수 있는 분산 처리 파일 시스템 중 하나다. 일각에서는 하둡이 빅데이터 분석에 가장 빠른 시스템이라고 이야기하지만 그렇지는 않다.

이상준 연구소장의 이야기를 들어보자

“빅데이터 기술은 규모의 경제 개념이 적용됩니다. 일정 숫자 이상의 서버에 분산 저장/분석 환경에서나 스탠드얼론(Stand Alone) 시스템보다 좋은 성능을 발휘할 수 있게되는데, 이 정도의 규모의 로그를 생산하는 기업이나 기관은 극소수에 불과합니다. 즉, 빅데이터 분석에 하둡만 고집할 필요는 없다는 것입니다.”

빅데이터 분석의 핵심은 정형, 반정형데이터를 얼마나 빨리 분석할 수 있느냐에 달려있다. 수집되는 로그의 형태가 다양하고 그 양이 어마어마해지다보니 하둡을 채택하는 경우가 많은 것일 뿐, 독자적으로 분산 처리가 가능하다면 문제될 것은 없다는 의미다.

물론 통합로그분석시스템을 도입하기 전에 벤치마크테스트(BMT)를 통해 성능을 확인하는 것은 당연한 절차이고, 시스템 환경에 따라 달라질 수 있어 하둡의 효용에 대해서는 여기서 마무리 짓고자 한다.

◆“이정도는 돼야 통합로그분석시스템 아니겠어?”
하둡 기술을 채택하지 않고도 빅데이터 분석이 가능하다고 방금 전 설명했다. 그렇다면 빅데이터 분석을 위해 통합로그분석시스템이 갖춰야할 것은 무엇일까.

최소한 이정도의 스펙은 갖춰줘야 그래도 ‘아, 이 제품은 빅데이터 분석을 할 수 있겠구나’라고 생각하지 않겠는가.

통합로그분석시스템이 갖춰야 할 최소한의 요건으로 이 소장과 이 차장은 똑같이 ‘대용량 로그를 처리할 수 있는 성능’을 꼽았다.

이 소장 “10기가 방화벽이 피크타임때 생산하는 로그는 초당 2만건 정도가 발생하는데요, 시스템의 수집, 분석 성능이 이보다 못하면 통합로그분석시스템이라는 타이틀이 무색하지 않겠어요?”

이 차장 “맞습니다. 통합로그분석시스템은 무엇보다도 대용량 로그를 처리할 수 있는 고성능의 분산처리기술과 상관분석 알고리즘, 복잡한 쿼리를 처리하고 신속한 결과값을 산출할 수 있는 능력을 지녀야 합니다.”

기자 “새로운 장비가 들어왔을때는 기존 시스템을 얼마나 고쳐야하나요? 이런 부분도 중요하지 않을까요?”

이 소장 “그렇습니다. 새로운 로그를 수집할 때마다 제품을 수정해야 한다던지, 전문가에 의해서만 가능한다면 활용성이 제한될 것입니다. 수집과 분석의 유연성을 가지고 있어야 합니다.”

기자 “빅데이터 분석이 핵심인데, 그 많은 데이터를 보관하려면 어떻게 해야합니까. 스토리지가 꽉 찬다면요?”

이 차장 “그 말대로 대용량 로그관리가 가능하려면 이에 대응할 수 있는 분석 처리 기술과 저장능력을 가지고 있어여 합니다.”

이 소장 “추가로 스토리지를 증설할 수 있는 확장성을 갖춘다면 더더욱 좋겠죠.”

2013/10/02 09:15 2013/10/02 09:15


시만텍은 6.25 사이버 공격을 포함해 지난 4년간 국내에서 발생한 주요 사이버테러의 배후에 ‘다크서울(DarkSeoul)’이라는 해킹그룹이 있다고 발표했습니다.

그러나 시만텍은 ‘다크서울’이 ‘북한’일 것이라는 내용은 전혀 언급하지 않았습니다.

시만텍 윤광택 이사는 “한국 수사기관에서 사이버공격을 ‘북한’이라고 지목하는 것은 복구한 C&C서버의 이벤트로그에 북한 쪽에 할당된 IP가 있었기 때문으로 판단된다”며 “시만텍은 그러한 시스템이나 정보를 가지고 있지 못하기 때문에 단순히 지금까지 발견된 악성코드 분석만으로 이러한 결과를 도출해낸 것”이라고 전했습니다.

시만텍의 주장은 “지금까지 한국 사이버테러에 사용된 모든 악성코드는 ‘다크서울’과 깊은 관련이 있다. 따라서 다크서울은 한국 사이버테러를 감행한 조직일 가능성이 높다. 다만 다크서울의 본체가 누군지는 알 수 없다”는 것입니다.

이번엔 과거 국내에서 발생한 사이버테러에 대한 정부의 발표를 살펴보겠습니다.

#1.“경찰청 사이버테러대응센터는 2009년 7월 7일부터 사흘간 청와대, 언론사, 금융권, 쇼핑몰 등을 대상으로 발생한 디도스 공격의 근원지가 중국에 있는 북한 체신성으로 확인됐다고 발표했다.”

#2.“경찰청 사이버테러대응센터는 2011년 3월 4일 청와대, 국정원 등 국가기관과 금융기관, 주요 인터넷기업을 대상으로 이뤄진 디도스 공격이 북한의 소행인 것으로 수사결과 드러났다.”

#3.“민·관·군 합동대응팀은 2013년 3월 20일 방송사와 금융기관의 전산망을 마비시킨 공격자의 배후가 북한 정찰총국의 소행으로 결론지었다고 밝혔다.”

정부측 발표에 따르면 지난 4년간 국내에서 발생한 굵직한 사이버테러 사건의 배후는 모두 북한이었음을 알 수 있습니다.

이러한 전제들을 연역법으로 풀어서 결론을 내보겠습니다.

대전제 : 지난 4년 동안 대한민국에서 발생한 사이버공격의 배후는 ‘다크서울’이다
소전제 : 북한은 2011년 3월 4일 디도스 공격, 2013년 3월 20일 전산망해킹 등 사이버테러를 감행한 국가로 지적됐다.
결론 : 그러므로 북한은 다크서울이다.

연역법은 가장 기본적인 논리추리 방법이지만, 대전제와 소전제가 참이라는 가정에서만 성립합니다. 시만텍의 분석결과와 정부의 분석결과가 모두 참이라면 지금까지 일어난 모든 사이버테러의 배후는 북한이 맞습니다.

이번 6.25 사이버테러에 대한 정부의 2차 발표를 기대해봅니다.


2013/06/28 11:14 2013/06/28 11:14
백신업체들의 패치매니지먼트시스템(PMS)이 악성파일 배포의 숙주 역할을 한 것으로 드러났다.

방송통신위원회는 20일 저녁 브리핑을 통해 “피해기관으로부터 채증한 악성코드를 초동 분석한 결과 업데이트 서버를 통해 유포가 이뤄진 것으로 추정되며, 부팅영역(Master Boot Record)이 파괴됐다”고 밝혔다.

이 과정에서 업계 관계자들은 이 과정에서 피해기관들이 사용하는 안랩과 하우리의 백신 솔루션의 업데이트 서버가 유포지로 활용된 것으로 추측했으나 보안업체는 업데이트 서버가 아닌 PMS 솔루션 계정탈취로 인한 것이라고 주장했다.

PMS 솔루션은 많은 수의 PC에 설치된 SW를 관리하기 위해 개발된 제품이다. 안랩과 하우리는 각각 안랩 폴리시 센터(APC), 바이로봇매니지먼트시스템(VRMS)를 보유하고 있다. 이 솔루션은 백신뿐 아니라 기업에서 활용하는 모든 SW, 윈도 보안업데이트 등도 관리한다.

바꿔말하면 PMS 솔루션 관리 계정을 탈취하면 다양한 방법의 공격이 가능해진다는 의미다. 안랩과 하우리는 “PMS 솔루션 관리자 계정이 탈취될 경우 변조된 파일이라도 이를 에이전트로 내려주는 것은 정상적인 권한에 의한 접근이기 때문에 악용될 수 밖에 없다”고 입을 모았다.

김희천 하우리 대표는 “엔진 업데이트 서버가 해킹된 것은 아니며, 해커의 악의적인 목적으로 백신 프로그램 파일을 변조했다”며 “본 취약점의 대처 방안으로 백신SW 업데이트 파일 실행 전 파일의 무결성을 검사해 본래의 파일이 맞는 경우에만 실행하도록 보완했다”고 밝혔다.

안랩 역시 PMS 솔루션 계정 탈취로 인한 피해로 추정하고 있다. 안랩은 보도자료를 통해 “이번 악성코드 배포는 업데이트 서버 해킹이 아닌 APC(안랩 폴리시 센터) 솔루션 계정 탈취로 인한 것”이라고 말했다.

다소 별도의 문제로 업데이트 시 파일 무결성 검사 여부의 문제도 도마에 올랐다. 일각에서는 백신SW 업데이트 파일의 무결성 검사를 실시했더라면 악성파일이 배포되지는 않았을 것이라는 주장도 나오고 있다.

보통 백신SW는 실행 시 파일 무결성을 검사한다. 해커들이 백신SW를 우회하거나 무력화시키는 것을 방지하기 위해서다. 무력화 검사를 마친 뒤 SW가 실행되면, 해당 파일은 읽거나, 삭제할 수 없기 때문에 변조될 가능성은 낮은 편이다.

그러나 업데이트 파일은 상황이 다르다. 업데이트가 있을 경우에만 실행되기 때문에 악성코드에 감염될 가능성이 있다. 이를 탐지하기 위해서는 보안업체가 직접 운영하는 업데이트 서버를 통해 파일 무결성 검사를 실시해야 한다.

물론 이번 사고는 관리자 계정이 탈취돼 발생한 것으로 파일 무결성 검사를 실시했더라도 문제가 발생할 가능성이 존재해 단언하기는 쉽지 않을 것으로 보인다.

이와 관련 하우리 관계자는 “업데이트 파일을 배포할 수 있는 권한이 해커 손에 들어갔기 때문에 파일 무결성 검사 여부로 사고의 원인을 판단하기는 힘들다”며 “이전부터 수많은 악성파일들이 PMS를 통해 클라이언트로 내려갔다. 계정 탈취를 인지하지 못한 시점에서 사고는 예견됐다고 볼 수 있다”고 말했다.

2013/03/21 23:45 2013/03/21 23:45

‘손해보는 장사는 하지않는 것’이 기업에겐 원칙이지만 실제 시장에서는 그렇지 않다. 특히 IT시장에서 규모가 작은 보안업계에서는 적자를 감수하고서라도 사업을 따기 위해 사력을 다한다.

이는 구축사례(레퍼런스)가 가지는 힘 때문이다. 새로운 솔루션이나 서비스가 나왔을 때, 고객들은 선뜻 이를 도입하지 못한다. 이것이 도입됐을 때 어떤 효과를 볼 수 있는지, 어떤 이득이 있는지 등을 전혀 알 수 없기 때문이다.

반면 하나 이상의 구축사례가 존재하고, 그 사례가 매우 훌륭한 평가를 받는다면 후속으로 도입할 고객들이 증가할 것이라는 예측은 누구나 할 수 있다.

이러한 분위기는 특히 공공기관과 금융기관에서 볼 수 있다.

 

지난해 모 은행에서 모바일기기관리(MDM) 솔루션을 그룹 전사적으로 도입했다. 제1금융권에서는 처음으로 있는 구축이었기 때문에 나 역시 관심 있게 지켜봤고, 그에 대한 취재와 보도도 했다.

얼마 후 해당 은행에 MDM 솔루션을 구축한 업체 담당자에게 요즘 분위기는 어떠냐고 물어볼 기회가 생겼다.

그 담당자는 “XX은행 수주건이 업계에 소문이 나서 여기저기서 문의가 들어오고 있습니다. 거의 대부분의 은행들이 이를 도입하려고 준비만 하고 있었다고 합니다. 그런데 XX은행 구축사례가 뜨자마자 견적서를 보내달라는 연락을 해오고 있어요”라고 귀뜸해줬다. 말 그대로 레퍼런스의 효과다.

업계에 영향력이 있는 고객을 시장에서 가장 먼저 확보한다는 것은 이런 의미다.

반대로 생각하면 첫 레퍼런스를 따내기위해 적자를 감수하는 기업도 어마 어마하게 많을 수 있다는 것이다. 이는 마치 ‘마중물’처럼 미래를 위한 투자일 수 있기 때문이다.

흔히 이를 ‘저가수주’라고 부르는데, 업계에서는 썩 반기지 않는 눈치다. 이는 솔루션 가격의 하향평균화를 넘어 유지관리 비용도 낮아지게 만들기 때문이다.

고객의 입장에서는 더 저렴하게 구축할 수 있으니 좋지만 업계에서는 매출이 점차 줄어들 수 밖에 없는 생태계가 된다. 자칫하다간 공멸할 수 있다는 것이다.

앞서 소개했지만 MDM 솔루션은 최근에 등장한 제품이지만, 단가가 매우 낮다. 지난 2010년 특정업체가 공공기관과 기업들에게 저가로 사업을 따내고부터 특정가격 이상으로는 수주가 불가능하게 됐다.

하지만 MDM은 인력이 많이 필요한 솔루션이다. 수 십가지의 모바일기기(안드로이드)에서 동작을 보장해야하기 때문에 제품의 개발보다 QA(품질관리)에 더 많은 시간이 소요되는 솔루션 중 하나다. 이러한 이유 때문에 지난 2010년 이후 우후죽순으로 시장에 나왔던 MDM솔루션 중 살아남은 제품은 한손에 꼽는다.

그렇다고 마냥 ‘저가수주’를 하는 업체를 비난할 수는 없다. 그들에게는 생존이 걸린 문제이기 때문이다.

모 보안업체 영업본부장은 “기업이 생존하기 위해서는 새로운 기술을 끊임없이 개발하고, 그 기술을 토대로 제품을 만들어야 합니다. 그러나 기술을 개발하기 위해서 필요한 것이 무엇이겠습니까? 바로 돈입니다.”라고 말했다.

일리가 있다. 아예 사업을 따내지 못해 한 푼도 벌지 못 할 바에는 차라리 다소 손해를 보더라도 기술개발을 위한 최소한의 매출을 따내자는 것이 ‘저가수주’의 이면이라는 해석이다.

그는 “‘저가수주’를 한다는 것은 그만큼 미래에 대한 자신감과 함께 원가를 줄일 수 있다는 능력일 수도 있습니다. A, B 각기 다른회사에서 같은 제품을 만드는데, A회사의 가격이 더 낮다면, 그 회사의 기술력이 더 뛰어날 수 있다는 의미”라고 덧붙여 설명했다.

반대로 생각한다면 기술력도 없고, 원가를 줄일 수 있는 능력도 없는데 저가수주를 하는 기업은 도태되거나 망하고 말 것이라는 결론에 이르게 된다.

사실 ‘저가수주’에 대한 답은 이미 나와 있다. 서로 경쟁하며 우수한 기술력을 확보, 국내를 넘어 해외로 진출하겠다는 꿈을 가진다면 저가수주에 대한 고민은 사라질 수 있지 않을 까 생각해 본다.


2013/01/07 15:09 2013/01/07 15:09