안랩, 산업군별 ‘APT 대응 전략 세미나’ 개최 | 최근 잇따라 발생한 보안 침해사고로 인해 ‘지능형 지속 보안 위협, APT(Advanced Persistent Threat)’에 대한 관심이 고조되고 있다.
이에 안랩은 지난 4월 23, 24, 30일 세 차례에 걸쳐 ‘APT 대응 전략 세미나’를 마련했다. 공공/금융/관제 고객을 대상으로 개최한 이번 APT 대응 전략 세미나를 통해 해외에서뿐만 아니라, 국내에서도 관심이 고조되고 있는 APT의 실체에 대해 제대로 알리고 최신 보안 동향 및 대응 방안을 공유했다.
|
▲ 안랩 ‘APT 대응 전략 세미나’ 현장. 안랩은 지난 4월 모두 3차례에 걸쳐 고객사를
대상으로 산업군별 ‘APT 대응 전략 세미나’를 개최해 뜨거운 호응을 받았다. 23일 서울 서초구 엘타워에서 열린 공공 부문 고객사 대상 세미나를 시작으로, 24일 서울 여의도 콘래드호텔에서 금융 부문 고객사 대상 세미나, 30일 서울 강남구 코엑스인터콘티넨탈호텔에서 관제 부문 고객사 대상 세미나가 각각 개최됐다. 산업군별 집중 세미나였음에도 불구하고 3일간 200여 명의 참석자가 몰려 APT에 대한 높은 관심을 방증했다.
세미나의 주제는 최신 APT 공격 침해 트렌드 및 분석을 비롯해 차세대 보안 전략을 중심으로 각 산업군별로 궁금해하는 APT 보안 대책이었다. 각 세미나에서는 전시부스를 별도 마련해 추가 정보를 원하는 고객들에게 APT대응 방안 및 안랩의 솔루션 등에 대한 더욱 상세한 정보를 제공하기도 했다.
▲ 이번 행사에서는 APT의 일반적인 공격 시나리오에 대한 정의부터 인프라와 솔루션을 기반으로 한 대응 방안까지 심도있게 논의됐다. 취약한 시스템에 침투, 장ㆍ단기간 공격
박태환 안랩 ASEC(시큐리티대응센터)대응팀 팀장은 ‘고도화된 지능형 공격, APT의 실체를 밝힌다’라는 주제의 발표를 통해 APT 공격의 분석과 차세대 보안 대응 전략을 소개했다.
APT는 일반적으로 공격자가 기업이나 조직 등 특정 대상을 노리고 취약한 시스템을 이용해 침투한 뒤, 장•단기간에 걸쳐 다양한 공격기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격을 말한다.
박태환 팀장은 국ㆍ내외에서 발생한 APT 공격 사례를 잇달아 소개하고 “공격자들은 제한된 특정 악성코드 전달, 권한 탈취하고 내부 정보 파악 및 인프라 장악, 보안사고 유발 순서로 공격을 가하고 있다”고 설명했다.
▲ APT 공격 시나리오 그러면서 “이 때문에 APT는 하나의 솔루션이 아니라, 각 거점별로 특화된 보안 솔루션이 필요하다”며 “악성코드 전달 단계에서는 백신과 같은 파일 관련 솔루션이, 권한 탈취 등의 단계에서는 네트워크 관련 솔루션이 각각 요구된다. 특히 이들 솔루션은 전문 인력들이 투입돼 분석과 탐지를 수행해야 한다”고 밝혔다.
박태환 팀장은 “무엇보다 각 기업마다 가해지는 공격의 양상이 다른 만큼, 기업 상황에 맞는 솔루션을 적용해 종합적이고 지능적인 형태의 방어를 해야 한다”고 거듭 강조했다.
▲ 청중들이 발표자의 말 한마디라도 놓칠 세라, 강연에 집중한 모습이다. 고도화된 보안 위협, 다차원적 대응 방안
강양수 안랩 전략제품사업팀 부장은 ‘다차원 분석 기반의 APT 대응 방안’이라는 주제의 발표에서 “APT 공격은 다양한 루트를 통해서 공격이 이뤄지고 있기 때문에 하나의 솔루션만으로 충분하지는 않다”며 “특히 알려지지 않은 신ㆍ변종 악성코드에 대한 탐지가 관건이다”고 밝혔다.
그러면서 APT 대응 솔루션의 한 예로 안랩의 트러스와처를 제안했다. 트러스와처는 신ㆍ변종 악성코드 대응을 위해 다차원 분석을 수행하는 솔루션으로 기업의 네트워크로 유입되는 신ㆍ변종 파일은 가상 머신에서 행위 기반 분석으로 탐지한다. 특히 비실행형 파일은 안랩의 동적 콘텐츠 분석 기술인 DICA(Dynamic Intelligent Content Analysis) 기술로 가상 환경 내에서 직접 검증한다.
▲ 안랩 트러스와처의 다차원 분석 개념도
강양수 부장은 “트러스와처는 클라우드 기반의 ASD(AhnLab Smart Defense) DB를 통한 시그니처 기반 분석을 먼저 수행하고, 알려지지 않은 악성코드는 가상 머신을 기반으로 행위 분석 또는 동적 콘텐츠 분석을 통해 탐지한다”고 설명했다.
또 “이 같은 과정을 통해서 트러스와처는 장비의 리소스 부하를 최소화하면서도 알려지지 않은 악성코드를 빠르게 탐지해냄은 물론, 기업 내 악성코드 확산도 방지 및 치료에까지 기여한다”며 “APT 공격이 다차원적이고 고도화되어 있으며 다양한 루트를 활용한다는 점에서 1차적으로 이 같은 솔루션을 활용하는 방안이 강구될 수 있다”고 말했다.
▲ 안랩 트러스와처의 '악성파일 수집-분석-모니터링-대응'의 적용 방안과 운영 방안 시큐리티 인텔리전스로 APT에 대응
곽희선 안랩 CERT(침해사고대응팀) 책임연구원은 ‘고도화된 위협 대응, 시큐리티 인텔리전스(Security Intelligence)가 답이다’라는 주제의 발표에서 “APT 공격은 다양하고 지속적인 정보 수집과 알려지지 않은 취약점을 사용해 길게는 몇 년에 걸친 장기간의 공격, 정보 유출 등의 특징을 보이고 있다”고 지적했다.
이어 “이 같은 특징을 감안할 때 APT는 공격의 각 단계별 모니터링이 필요하다”며 “예를 들어 공격이 최초 시도되는 단계와 공격이 성공한 단계, 악성코드가 유포 및 확산되는 단계, 타깃한 정보를 외부로 유출하는 단계 등 각 단계에 맞는 모니터링이 요구된다”고 설명했다.
곽희선 책임연구원은 “이를 위해 전통적인 보안관제뿐만 아니라 악성코드 탐지 시스템, 악성코드 배포 사이트 감시, 호스트 이벤트 감시, 감사 이벤트 및 세션 모니터링, 고도화된 트래픽 모니터링 등 6가지 대응이 종합적으로 수행되어야 한다”며 “안랩의 융ㆍ복합 보안 관제 서비스도 이 같은 모니터링이 가능한 체계를 구축, APT 대응에 최적화돼 있다”고 말했다.
▲안랩은 별도로 마련한 전시 부스에서 APT에 대한 각종 정보를 제공하고 안랩의 솔루션도 전시 및 시연했다.
이밖에도 세미나를 통해 안랩은 다양한 애플리케이션을 이용해 보안 위협에 대응하기 위한 차세대 방화벽, 인터넷 뱅킹의 인증 관련 위협에 대한 대응 방안 등을 소개해 산업군별 특성에 맞춘 해법을 제시했다.
안랩은 이번 APT 대응 세미나를 비롯해, 시의적절한 주제를 선정해 최신 정보를 고객에게 공유하는 기회를 지속적으로 제공하고 있다. 실제로 안랩은 지난해 개인정보보호가 화두로 떠오를 당시 ‘2012년 개인정보보호 세미나’를 전국적인 로드쇼 형태로 개최한 바 있으며, 2011년에도 금융사고 위협이 높아짐에 따라 ‘금융권 세미나’를 개최한 바 있다. 이 같은 세미나를 통해서 안랩은 고객들에게 고급의 최신 정보를 공유함은 물론, 더 안전한 IT 환경 조성에 기여하려 노력하고 있다.@
| 
