APT 방어를 위한 ATP 전략

블루코트 솔루션 사례 통해 살펴본 다계층 협업방어(Advanced Threat Protection)

김창오 블루코트코리아 컨설팅/기술이사 Peter.kim@bluecoat.com

최근 몇 년간 사이버 세상은 APT(Advanced Persistent Threat) 공격으로부터 진통을 겪고 있다. APT공격을 막는 것이 보안 활동의 마지막 단계라고 생각하는 경우도 있을 만 큼 현재의 보안 트렌드를 이끌고 있음은 자명한 사실이다. 인터넷 환경의 현실은 다양한 보안 위협에 지속적으로 노출 되어 왔으며 점점 진화하는 공격방법에 대해 여러 가지 대응 방법들이 제안되고 있다.

2013년 보안시장에서 빼 놓을 수 없는 솔루션은 APT전용 방어 솔루션일 것이다. APT 전용 솔루션은 과거 알려진 패 턴에 대해 제공되는 룰에 대해서만 탐지 및 방어를 하도록 설계된 솔루션의 한계를 넘어 스스로 분석하고 탐지하는 기 능을 탑재함으로써 새로운 보안솔루션의 트렌드를 형성하였 다. 이후 약 1년이 지나는 동안 새로운 기술을 접한 보안담당 자들은 반복되는 사고와 학습의 과정에서 좀더 체계적인 관 리와 완벽한 가시성을 확보하고자 하는 갈증을 느끼고 있다.

APT 공격방어를 위한 ATP (Advanced Threat Protection) 대응 전략의 필요성

사회공학적인 방법이 동원되는 정교하고 지능화되는 공격 에 보다 효과적으로 대응하기 위해서는 보안의 대응활동에 있어서도 포괄적이고 체계적인 대응전략(ATP : Advanced Threat Protection)이 필요하다고 하겠다.

갈수록 지능화되고 정교해지는 APT(Advanced Persis tent Threat) 공격에 보다 효과적으로 대응하기 위해 블루코 트는 ATP(Advanced Threat Protection) 대응 전략의 구현 을 위한 다양한 포토폴리오를 구성하고 있다. 협업구조로 이 루어진 다계층 ATP 대응 전략의 시스템 구축을 통해 APT를 비롯한 지능화되고 정교해진 정보유출 및 해킹공격에 보다 정확하고 능동적인 방어가 가능하다는 것이다.

가장 근간이 되는 보안 웹 게이트웨이

먼저 ATP 대응시스템 구축의 가장 근간이 되는 것은 보안 웹 게이트웨이 솔루션이다. 보안 웹 게이트웨이의 경우 웹 (HTTP/S) 애플리케이션 제어를 통해 비인가 사이트 및 악성 코드 감염사이트 접속 차단과 암호화된 웹 사이트 및 메일에 대한 제어가 가능하다. 내부 사용자의 악성코드 감염은 악성 코드에 감염된 사이트 접속 후 자신도 모르게 악성코드가 다 운되는(Drive-by-Download) 경우가 가장 일반적인데 악성 코드 감염을 사전에 차단함으로써 선제적인(네거티브데이) 대응이 가능하다. 또한 보안 웹 게이트웨이의 경우 화이트리 스트 기반의 정책 설정을 통해 허용된 웹 사이트 및 애플리케 이션 외에 모든 사이트 및 애플리케이션 접속을 차단함으로 써 알려지지 않은 많은 악성코드 감염사이트 및 C&C 서버의 잠재 위협으로부터 내부 사용자를 보호할 수 있다.

블루코트 보안 웹 게이트웨이 솔루션의 특징은 HTTP/S 트래픽의 헤더 및 바디제어가 가능하다는 것이다. 이를 통해 완벽한 URL/URI에 대한 설정, GET/Post/Put 등의 Method 제어, 파일 업/다운로드 등에 대한 다양한 설정 및 컨트롤이 가능하다. 일반적으로 APT 공격이 발생하면 내부 감염 봇 PC는 외부 C&C 서버와 통신 후 데이터 유출을 위해 Post/Put 통신을 수행한다. 따라서, 검증되지 않는 웹 사이 트/IP에 대해 Post와 Put 통신만을 차단하더라도 우리는 APT 공격에 대해 적극적으로 대응할 수 있게 된다.

보안 웹게이트웨이는 듀얼 안티바이러스 엔진을 탑재한 CAS(Contents Analysis system)와의 연동을 통해 보다 강 력한 악성코드 차단기능을 제공한다. CAS는 ICAP을 이용 하여 보안 웹 게이트웨이와 연동하며 외부에서 유입되는 웹 트래픽에 대한 상세검사를 수행하게 된다. 2개 이상의 안티 바이러스(Kaspersky, MacAfee, Sophos)를 동시에 구동시 킬 수 있어 트래픽의 실시간 검사에서 정확히 악성코드를 탐 지하고 차단할 수 있으며, 검사과정에서 발견된 악성코드 및 악성코드 사이트/네트워크는 클라우드 상의 웹펄스 시스템 으로 피드백이 전달된다. 해당 사이트는 악성코드(Mal icious) 전파 사이트로 분류되며 이후 다른 사용자들에게 탐 지 패턴이 공유가 되어 추가적인 피해가 발생하지 않도록 정 보를 공유한다.

악성코드에 대한 실시간 분석/대응도 필요

또한, 블루코트 ATP 포토폴리오에는 악성코드에 대한 실 시간 분석/대응을 위한 샌드박스 기능을 제공하는 솔루션 연동을 제공하고 있다. 블루코트는 자사가 공급하는 샌드박 스 솔루션인 MAA(Malware Analysis Appliance)를 이용 하거나 또는 기업에서 이미 도입 후 운용중인 다른 3rd Party APT 제품을 같이 연동할 수 있다.







MAA 솔루션의 경우 x86서버 기반의 샌드박스 emulator 를 기본 제공하며 이를 통해 EXE, DLL 등의 실행파일과 네 트워크 접속 서비스 수행 등을 체크한다. 또한 IntelliVM 기 능을 이용하여 실제 윈도우 시스템을 가상환경에서 동작시 키면서 파일 및 레지스트리 변경을 체크하고, 보다 다양한 파일을 지원한다. 또한 샘플 파일 및 URL에 대한 테스트 수 행결과에 대한 PCAP, 파일저장, 스크린샷 기능 등을 제공 한다. 샌드박스 기능을 제공하는 MAA 솔루션은 CAS와의 연동뿐만 아니라 네트워크 포렌직 및 보안분석을 제공하는 Security Analytic 솔루션과도 연동기능을 제공하고 있다.

네트워크 포렌직 및 분석기능 제공하는 보안분석 솔루션

ATP 대응시스템 구축의 마지막 단계는 네트워크 포렌직 및 분석기능을 제공하는 Security Analytic(보안분석) 솔루 션의 도입이다. 침해사고 발생시 대부분의 기업은 침입증거 (로그)는 있으나 이에 대한 상세 분석이 가능한 정보를 가지 고 있지 못하다.

SA솔루션의 경우 네트워크에 흐르는 모든 패킷을 손실 없이 저장하고 검색을 위한 PCAP파일을 생성한다. 지속적 인 모니터링 및 사이버위협 탐지, 사고대응 및 데이터 유출 그리고 분석을 위해서 SA 장비 자체의 실시간 모니터링을 제공하며 L2~L7 레벨의 분석과 상세 애플리케이션 분류 기 능을 사용할 수 있다. 캡쳐 트래픽의 경우 Playback 기능을 이용하여 다시 재현해 볼 수 있는 기능을 제공한다.

또한 블루코트의 SA 솔루션은 다른 보안제품과 상관관계 분석 제공을 통해 보안 침해사고에 대한 보다 명확한 분석이 가능한 데이터를 제공할 수 있다. APT / IPS / SIEM 등의 제품과 API 연동을 수행하는 경우 해당 시스템 로그테이블 에 SA 솔루션의 아이콘이 생성되며 연동결과 선택시 SA솔 루션에 저장된 데이터를 자동으로 호출함으로써 정확한 원 인분석이 가능한 방법을 제공한다.

지능화되는 공격 방어 위해서 다계층 협업방어 시스템 구 축 필수

최근의 해킹 및 APT 공격은 점점 진화하고 있으며 이에 따라서 단일 솔루션만으로 갈수록 정교해지고 지능화되는 공격을 막는 것은 거의 불가능하다. 보안 침해사고의 특성상 999개의 공격을 아무리 잘 막아도 1개의 취약점으로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다.

앞서 설명한 것과 같이 악성코드 사전 차단에서부터 웹 애 플리케이션 제어, 실시간 악성코드 차단, 암호화 트래픽의 가시성 확보, 다른 보안솔루션과의 상관 관계분석에 이르기 까지 보다 체계적인 방어시스템 구축에 대한 고민이 매우 필 요한 시점이다.