네트워크 주변에 담을 얼마나 높게, 깊게, 또 길게 쌓든 상관없이 해커들은 방법을 찾아내고야 만다. 문제는 감기하기까지 걸리는 기간이다. 버라이
데이터 유출을 완전히 막기란 어려우며 중요한 것은 얼마나 빨리 데이터 유출을 알아채고 대응하는가라는 사실을 기업들은 깨달아가고 있다.
생명과학 전문 로펌 펜윅 앤 웨스트 LLP(Fenwick and West LLP)의 IT 디렉터 케빈 무어는 이 사실을 잘 실감하고 있는 인물이다. 그는 “우리 회사 또한 보안 장비들을 갖추고 있다. 네트워크 방화벽에서부터 애플리케이션 방화벽, 모니터링 시스템, 웹 게이트웨이, 안티 맬웨어 애플리케이션 등이다. 그렇지만 보안 위협이 점점 더 정교해짐에 따라 공격을 모두 막아내는 일이 점점 더 어려워지고 있다”라고 말했다.
FBI에서도 지난 수 년간 이에 대해 경고해왔다. 해커들이 로펌 웹사이트를 타깃으로 삼아 클라이언트들의 민감한 정보를 노린다는 것이다.
이에 따라 무어는 감염된 시스템을 최대한 빨리, 자동으로 감지해 청소할 수 있는 방법을 찾아왔다. 그가 이용했던 도구 중 하는 자동 맬웨어 포렌식 툴 ‘FireEye,Inc.’였다. 하지만 펜윅 IT 보안 팀의 규모는 작았고, 이로 인해 데이터 유출 대응 방식이 수동일 수 밖에 없었으며 시간도 많이 걸렸다.
무어는 “FireEye나 웹 게이트웨이에서 맬웨어 경보가 울린다고 치면, 문제의 기기를 고립시킨 후 사용자가 누구이고 위치가 어디인지를 우선 파악한다. 그런 다음 기기를 격리시키기 위해 서비스 데스크 대리인을 파견하곤 했다”라고 설명했다.
사실 이 정도만 해도 다른 기관들보다는 훨씬 더 능숙하고 노련한 대처다. 무어는 하지만 데이터 유출 발생 속도를 감안하면 좀 더 빠른 대처가 필요하다고 판단하고 있다.
그는 “FireEye 등의 툴로부터 맬웨어가 통신을 시도한 커맨드 및 컨트롤 서버 관련 정보를 전달받은 후 최대한 빨리 대처하기 위해 노력한다. 그렇지만 실무자들 보안문제 외에도 처리해야 하는 업무가 따로 있기 때문에 전 과정을 자동화 할 다른 방법들이 필요하다”라고 설명했다.
대응 시간을 더욱 줄이기 위해 무어는 위협 관리 및 보안 애널리틱스 벤더 넷시타델(NetCitadel)의 솔루션을 검토했다. 넷시타델이펜윅의 네트워크 및 애플리케이션 방화벽, 안티-맬웨어, 포렌식 및 기타 애플리케이션에서 데이터를 받은 실시간 데이터를 기초로, 공격이 있을 경우 경고하거나 이를 차단하는 방식을 살펴봤다.
무어는“워크플로우 및 작업 규범을 정하기에 따라 진행 예정인 공격을 파악하거나 커맨드 및 컨트롤 서버의 IP 주소를 통한 퇴출 트래픽 등 특정 행위를 멈추게 할 수 있다”라며, “이 경우 공격자가 커맨드 및 컨트롤 서버와 통신하는 것을 효과적으로 차단할 수 있었다. 그리고 일단 시간을 벌 수 있다. 물론 여전히 서둘러야 하는 것은 맞지만, 통신을 막았기 때문에 얼마간의 시간을 벌게 된 것이다”고 말했다.
넷시타델은 지난 20일 위협 관리 플랫폼 ‘쓰렛옵틱스(ThreatOptics)를 발표했다. 넷시타델에 따르면 새 플랫폼은 안티-맬웨어 애플리케이션, 포렌식 툴, 애플리케이션, 네트워크 방화벽, 보안 이벤트 및 정보 관리 시스템 등의 데이터를 한 곳에 통합하는 역할을 한다. 플랫폼은 또 방화벽과 웹 게이트웨이를 이용해 공격에 실시간으로 대처할 수 있게 해준다.
무어는 “이제는 감지만 잘 해서는 훌륭한 보안이라 할 수 없다. 신속한 대응이 생명이다. 이런 데이터를 빠르게 잡아내 통합하는 것이야말로 시스템과 데이터를 안전하게 지키는 데 중요한 기능이다”라고 말했다.
dl-ciokorea@foundryco.com
