전문가칼럼
DBMS, DB 구축 절차, 빅데이터 기술 칼럼, 사례연구 및 세미나 자료를 소개합니다.
APT 방어를 위한 ATP 전략 블루코트 솔루션 사례 통해 살펴본 다계층 협업방어(Advanced Threat Protection) 김창오 블루코트코리아 컨설팅/기술이사 Peter.kim@bluecoat.com 최근 몇 년간 사이버 세상은 APT(Advanced Persistent Threat) 공격으로부터 진통을 겪고 있다. APT공격을 막는 것이 보안 활동의 마지막 단계라고 생각하는 경우도 있을 만 큼 현재의 보안 트렌드를 이끌고 있음은 자명한 사실이다. 인터넷 환경의 현실은 다양한 보안 위협에 지속적으로 노출 되어 왔으며 점점 진화하는 공격방법에 대해 여러 가지 대응 방법들이 제안되고 있다. 사회공학적인 방법이 동원되는 정교하고 지능화되는 공격 에 보다 효과적으로 대응하기 위해서는 보안의 대응활동에 있어서도 포괄적이고 체계적인 대응전략(ATP : Advanced Threat Protection)이 필요하다고 하겠다. 먼저 ATP 대응시스템 구축의 가장 근간이 되는 것은 보안 웹 게이트웨이 솔루션이다. 보안 웹 게이트웨이의 경우 웹 (HTTP/S) 애플리케이션 제어를 통해 비인가 사이트 및 악성 코드 감염사이트 접속 차단과 암호화된 웹 사이트 및 메일에 대한 제어가 가능하다. 내부 사용자의 악성코드 감염은 악성 코드에 감염된 사이트 접속 후 자신도 모르게 악성코드가 다 운되는(Drive-by-Download) 경우가 가장 일반적인데 악성 코드 감염을 사전에 차단함으로써 선제적인(네거티브데이) 대응이 가능하다. 또한 보안 웹 게이트웨이의 경우 화이트리 스트 기반의 정책 설정을 통해 허용된 웹 사이트 및 애플리케 이션 외에 모든 사이트 및 애플리케이션 접속을 차단함으로 써 알려지지 않은 많은 악성코드 감염사이트 및 C&C 서버의 잠재 위협으로부터 내부 사용자를 보호할 수 있다. 또한, 블루코트 ATP 포토폴리오에는 악성코드에 대한 실 시간 분석/대응을 위한 샌드박스 기능을 제공하는 솔루션 연동을 제공하고 있다. 블루코트는 자사가 공급하는 샌드박 스 솔루션인 MAA(Malware Analysis Appliance)를 이용 하거나 또는 기업에서 이미 도입 후 운용중인 다른 3rd Party APT 제품을 같이 연동할 수 있다. ATP 대응시스템 구축의 마지막 단계는 네트워크 포렌직 및 분석기능을 제공하는 Security Analytic(보안분석) 솔루 션의 도입이다. 침해사고 발생시 대부분의 기업은 침입증거 (로그)는 있으나 이에 대한 상세 분석이 가능한 정보를 가지 고 있지 못하다. 최근의 해킹 및 APT 공격은 점점 진화하고 있으며 이에 따라서 단일 솔루션만으로 갈수록 정교해지고 지능화되는 공격을 막는 것은 거의 불가능하다. 보안 침해사고의 특성상 999개의 공격을 아무리 잘 막아도 1개의 취약점으로 사내 보안이 뚫린다면 기존의 차단은 무용지물이 된다.APT 방어를 위한 ATP 전략
2013년 보안시장에서 빼 놓을 수 없는 솔루션은 APT전용 방어 솔루션일 것이다. APT 전용 솔루션은 과거 알려진 패 턴에 대해 제공되는 룰에 대해서만 탐지 및 방어를 하도록 설계된 솔루션의 한계를 넘어 스스로 분석하고 탐지하는 기 능을 탑재함으로써 새로운 보안솔루션의 트렌드를 형성하였 다. 이후 약 1년이 지나는 동안 새로운 기술을 접한 보안담당 자들은 반복되는 사고와 학습의 과정에서 좀더 체계적인 관 리와 완벽한 가시성을 확보하고자 하는 갈증을 느끼고 있다.
APT 공격방어를 위한 ATP (Advanced Threat Protection) 대응 전략의 필요성
갈수록 지능화되고 정교해지는 APT(Advanced Persis tent Threat) 공격에 보다 효과적으로 대응하기 위해 블루코 트는 ATP(Advanced Threat Protection) 대응 전략의 구현 을 위한 다양한 포토폴리오를 구성하고 있다. 협업구조로 이 루어진 다계층 ATP 대응 전략의 시스템 구축을 통해 APT를 비롯한 지능화되고 정교해진 정보유출 및 해킹공격에 보다 정확하고 능동적인 방어가 가능하다는 것이다.
가장 근간이 되는 보안 웹 게이트웨이
블루코트 보안 웹 게이트웨이 솔루션의 특징은 HTTP/S 트래픽의 헤더 및 바디제어가 가능하다는 것이다. 이를 통해 완벽한 URL/URI에 대한 설정, GET/Post/Put 등의 Method 제어, 파일 업/다운로드 등에 대한 다양한 설정 및 컨트롤이 가능하다. 일반적으로 APT 공격이 발생하면 내부 감염 봇 PC는 외부 C&C 서버와 통신 후 데이터 유출을 위해 Post/Put 통신을 수행한다. 따라서, 검증되지 않는 웹 사이 트/IP에 대해 Post와 Put 통신만을 차단하더라도 우리는 APT 공격에 대해 적극적으로 대응할 수 있게 된다.
보안 웹게이트웨이는 듀얼 안티바이러스 엔진을 탑재한 CAS(Contents Analysis system)와의 연동을 통해 보다 강 력한 악성코드 차단기능을 제공한다. CAS는 ICAP을 이용 하여 보안 웹 게이트웨이와 연동하며 외부에서 유입되는 웹 트래픽에 대한 상세검사를 수행하게 된다. 2개 이상의 안티 바이러스(Kaspersky, MacAfee, Sophos)를 동시에 구동시 킬 수 있어 트래픽의 실시간 검사에서 정확히 악성코드를 탐 지하고 차단할 수 있으며, 검사과정에서 발견된 악성코드 및 악성코드 사이트/네트워크는 클라우드 상의 웹펄스 시스템 으로 피드백이 전달된다. 해당 사이트는 악성코드(Mal icious) 전파 사이트로 분류되며 이후 다른 사용자들에게 탐 지 패턴이 공유가 되어 추가적인 피해가 발생하지 않도록 정 보를 공유한다.
악성코드에 대한 실시간 분석/대응도 필요
MAA 솔루션의 경우 x86서버 기반의 샌드박스 emulator 를 기본 제공하며 이를 통해 EXE, DLL 등의 실행파일과 네 트워크 접속 서비스 수행 등을 체크한다. 또한 IntelliVM 기 능을 이용하여 실제 윈도우 시스템을 가상환경에서 동작시 키면서 파일 및 레지스트리 변경을 체크하고, 보다 다양한 파일을 지원한다. 또한 샘플 파일 및 URL에 대한 테스트 수 행결과에 대한 PCAP, 파일저장, 스크린샷 기능 등을 제공 한다. 샌드박스 기능을 제공하는 MAA 솔루션은 CAS와의 연동뿐만 아니라 네트워크 포렌직 및 보안분석을 제공하는 Security Analytic 솔루션과도 연동기능을 제공하고 있다.
네트워크 포렌직 및 분석기능 제공하는 보안분석 솔루션
SA솔루션의 경우 네트워크에 흐르는 모든 패킷을 손실 없이 저장하고 검색을 위한 PCAP파일을 생성한다. 지속적 인 모니터링 및 사이버위협 탐지, 사고대응 및 데이터 유출 그리고 분석을 위해서 SA 장비 자체의 실시간 모니터링을 제공하며 L2~L7 레벨의 분석과 상세 애플리케이션 분류 기 능을 사용할 수 있다. 캡쳐 트래픽의 경우 Playback 기능을 이용하여 다시 재현해 볼 수 있는 기능을 제공한다.
또한 블루코트의 SA 솔루션은 다른 보안제품과 상관관계 분석 제공을 통해 보안 침해사고에 대한 보다 명확한 분석이 가능한 데이터를 제공할 수 있다. APT / IPS / SIEM 등의 제품과 API 연동을 수행하는 경우 해당 시스템 로그테이블 에 SA 솔루션의 아이콘이 생성되며 연동결과 선택시 SA솔 루션에 저장된 데이터를 자동으로 호출함으로써 정확한 원 인분석이 가능한 방법을 제공한다.
지능화되는 공격 방어 위해서 다계층 협업방어 시스템 구 축 필수
앞서 설명한 것과 같이 악성코드 사전 차단에서부터 웹 애 플리케이션 제어, 실시간 악성코드 차단, 암호화 트래픽의 가시성 확보, 다른 보안솔루션과의 상관 관계분석에 이르기 까지 보다 체계적인 방어시스템 구축에 대한 고민이 매우 필 요한 시점이다.