홍용수 시스코 파트너 기술지원 엔지니어
최근 크고 작은 해킹사건들로 보안에 대한 기업의 우려가 나날이 높아지고 있습니다. 개인, 일반 기업, 그리고 공공기관까지 해킹의 대상이 광범위해지고, 그 방법 역시 빈번히 예측을 빗나가는 실정입니다.
최근 몇 년사이에 발생한 해킹사건들의 특징을 살펴보면 ▲웹기반 어플리케이션을 이용한 위협의 증가 ▲스팸의 절대량은 줄었지만, 악성코드를 가지고 있거나, 악성코드를 받도록 유도하는 링크를 포함한 악의적인 스팸 기승, 그리고 심지어 ▲기업들이 자사가 침입당한 것을 오래동안 발견하지 못할 정도로 무방비한 보안 상태를 나타내고 있습니다.
"세상에는 두 종류의 기업이 있습니다.
해킹을 당한 기업과, 해킹을 당한 사실 조차 모르고 있는 기업입니다.”
- 존 챔버스 시스코 회장, 2015 세계경제포럼
이렇게 기승을 부리는 지능형 지속 위협(APT)공격을 극복하기 위해서는 사용자들이 접근하게되는 실제 ‘컨텐츠’에 대한 보안을 강화하는 것이 핵심입니다. 그리고 그 바탕에는 우리가 매일 접속하는 웹, 그리고 업무를 위해 항상 사용하는 이메일이 있으며 이에 특화된 맞춤형 보안대책이 반드시 필요합니다.
내부 사용자의 웹접속을 살펴라!
최근의 보안 침해 사고, 특히 APT공격은 내부 사용자의 웹 접속 통제가 제대로 이루어지지 않아 발생한 사건들입니다. 예를들어 사용자가 무심결에 특정 웹페이지에 접속하였거나, 혹은 악의적으로 의도된 링크를 통해 악성코드에 감염되어 중요한 데이터가 유출되거나 시스템을 못쓰게 되는 경우인 것이지요.
물론 소위 차세대 방화벽(NG Firewall)의 핵심 기능인 다수의 웹 어플리케이션 제어로 위협에 일부 대응방안을 제공하고는 있습니다. 그러나 실제 사용자가 접속하는 수많은 웹 페이지에 존재할 수 있는 위협을 완벽히 해결하기에는 부족한 것이 사실입니다.
이에 대한 대안으로 시스코 컨텐츠 보안 솔루션인 WSA(Web Security Appliance) 솔루션을 통하여, 내부 사용자의 웹 사용를 통제 및 보호, 방화벽의 미흡한 부분을 해결하고 있습니다.
시스코 컨텐츠 보안 솔루션의 특징은 전세계에서 가장 많은 위협에 대한 정보를 보유하고 있고, 실시간으로 업데이트되는 검증된 강력한 평판 기반 데이터베이스를 통해 내부 사용자들이 접속하는 홈페이지를 편리하게 제어할 수 있다는 점입니다. 설사 데이터베이스에 등록되지 않는 새로운 페이지라 할지라도 자동화되고 지능적인 컨텐츠에 대한 분석을 통해 해당 페이지에 대한 접속을 제어하여 보안침해를 방지합니다.
하지만 만약 이마저도 통과해서 악성코드 링크를 결국 사용자가 클릭하였다면 어떻게 될까요? WSA에서는 업계에서 검증된 다중의 Anti-Malware 엔진이 가동되어 악성코드가 사용자 단말로 다운로드되는 것을 방지할 수 있습니다. 만약 이마저도 통과하였다면?! 바로 최근에 많은 고객분들로부터 각광을 받고 있는 – 악성코드가 유입되는 것을 방어할 뿐만 아니라 해당 파일이 언제 누구로부터 등장하였는지 직관적이며 회귀적인 분석을 제공하는 - AMP (Advanced Malware Protection) 가 동작하여 다시한번 내부 사용자를 보호할 뿐만 아니라 침입에 대한 히스토리에 근간한 추적을 함께 제공하게 됩니다. 즉, 침입당했다는 사실을 오랫동안 발견조차 못하는 현실을 극복할 수 있도록 해준다는 이야기가 되겠습니다.
[사진1] 시스코WAS는 웹 상에서의 컨텐츠 보안을 강화하기 위해 ▲URL filtering ▲Reputation Filter 등을 통해 전방위적인 보안을 제공합니다.
이러한 보안환경 구축을 위해서는 오늘날의 “바깥쪽으로터의 방어”가 아닌, “안으로부터의 통제를 통한 보호”로 인식의 전환이 필요합니다.
업무로 위장한 이메일의 위협! 다시보자 첨부파일과 링크.
이메일 스팸의 절대량은 줄어들었지만 악의적인 스팸으로 악성코드를 유포하는 공격은 전혀 줄어들지 않고 있습니다. 특히 공격 목표로 정한 특정 사용자들에게 마치 이메일이 업무와 관련된것 처럼, 혹은 근래의 이슈와 관련된 메일로 가장하여 직접적으로 첨부파일(주로 문서형태)을 열어보도록 유도하거나 링크를 클릭하도록 유도하여 악성코드가 감염되도록 하는 악의적인 공격들은 기업의 신뢰도 하락, 치명적인 데이터손실과 같은 문제를 지속적으로 발생시키고 있습니다.
이렇게 정교화되고 지능화된 공격에 대응하기 위해서는 전용의 이메일 보안 솔루션이 필수적으로 필요합니다. 물론 ‘스팸으로부터 보호’한다는 솔루션들은 기존에 없었던 것이 아닙니다만, 점점 지능화된 공격에 대응하기 위해서는 역시 지능형의 대응 시스템이 더욱 시급해지고 있으며, 시스코의 ESA(Email Security Appliance)가 그 해답이 될 수 있습니다.
WSA 솔루션이 다단계의 대응방안을 통해 웹 사용시 APT공격에 대해 보호를 하는 것과 마찬가지로, 시스코의 ESA는 이메일에 대해 다단계의 대응을 통해 악의적인 메일을 통한 피해를 예방하는 솔루션을 제공합니다.
아래 그림을 보면서 설명해 드리겠습니다. WSA에 Web Based Reputation Score기반의 방대한 데이터베이스가 있다면, ESA 도 마찬가지로 전세계에서 가장 크고 실시간으로 업데이트되는 검증된 Sender Based Reputation Score기반의 데이터베이스가 있습니다. 예를 들면 악의적 스팸 메일을 보낸 발신자는 이 데이터베이스를 통해 향후 메일이 차단됩니다.
또한 WSA와 마찬가지로, Sender Based Reputation Score단계를 통과한다하더라도, 다단계의 내장된 바이러스•스팸 등을 차단하는 Anti-X 엔진이 동작하여 사용자가 악성코드를 받는 것을 방지하며, 다중의 Anti-X를 통과하였다 하더라도 새롭게 탑재된 AMP는 악성코드에 대한 부분을 강력하게 방어하며 추적하는 기능을 제공하게 됩니다.
또하나 주목하여 보실점은, 이메일의 내용속에 있는 의심스러운 링크에 대한 대응능력입니다. Outbreak Filter를 통하여 사용자가 해당 링크에 접근하는 것을 다양한 방법으로 방지할 수 있습니다.
[사진2] 시스코 ESA 는 이메일 상에서의 컨텐츠 보안을 강화하기 위해 ▲SenderBase Reputation Filtering ▲Anti-Spam등을 통해 전방위적인 보안을 제공합니다.
불의의 목적을 가지고 특정 타겟을 향해 과거보다 훨씬 더 정교하고 지능화된 방법을 이용한 APT공격은 기업들에게 엄청난 피해를 불러왔고 공격은 지금도 지속되고 있습니다.
APT공격의 핵심에는 이메일과 웹이 항상 자리잡고 있으며, 따라서 내부 사용자들에 대한 웹 사용에 대한 적절한 통제와 웹을 통한 악성코드 감염으로 부터 내부 사용자들을 보호하는 것, 그리고 이메일에 대한 전용의 보안솔루션의 필요성이 점점 더 중요해지고 있는 시점이라고 할 수 있습니다.
단계 하나하나가 검증된 솔루션으로 구성된 다단계 방어체계의 올인원 솔루션으로서, WSA와 ESA는 직관적인 관리 방법을 통해 보안 담당자들이 중앙에서 편리하게 웹과 이메일에 대한 보안 정책 적용을 할 수 있도록 도와주며, APT공격에 대해 보안 관리자분들의 고민을 크게 덜어드릴 것입니다.
보안에 대해 더 많은 이야기가 듣고 싶으시다면, 존 챔버스 시스코 회장의 칼럼을 추천해 드립니다 :)
