침해사고/위협동향

[NES2014] “보안침해 대응, 정보 가시성부터 확보해야”

이대호

[디지털데일리 이대호기자] 보안침해 사고에 대응하는 첫 단추로 주변 정보에 대한 가시성을 확보하는 것이 중요하다고 글로벌 보안업체 파이어아이가 조언을 내놨다.

닉 에스너 파이어아이 솔루션 컨설팅 매니저<사진>은 24일 디지털데일리 주최로 서울 반포동 JW메리어트호텔에서 열린 ‘NES 2014’ 컨퍼런스를 통해 “우리 회사가 어느 회사와 비즈니스 관계를 맺고 있는지 누가 하청업체에 있는지 잘 알아야 한다”며 “회사 관계자가 보안 침해 활동의 교두보로 쓰일 수 있다”고 설명했다.

에스너 매니저에 따르면 타깃 공격은 첫 단계로 정보 수집을 거친다. 인터넷에 공개된 회사 정보부터 임원 이메일주소, 업무 절차, 인적자원관리 그리고 정보기술(IT) 부서장의 인맥까지도 조사 대상이다.

이에 대해 에스너 매니저는 “2012년 조사 결과에 공격받은 기업의 38%가 계속해서 공격대상이 되는 것으로 나타났다”며 “정보탈취가 특히 수요일에 많이 발생하는데 이를 위한 이메일 발송 대상의 44%가 IT관련 부서다. 내부에서 보낸 안내문으로 위장해 정보를 탈취하는 등 상당히 세련되고 첨단화된 방법을 사용하고 있다”고 보안사고 현황을 전했다.

정보 가시성을 확보해야 하는 또 다른 이유는 공격자들이 상당 기간 네트워크에 머무르며 기회를 노린다는 것이다. 에스너에 따르면 적발 이전까지 공격자들이 229일(2012년 기준)동안 네트워크에 머무른 것으로 조사됐다.

이러한 공격자들은 영업시간을 노려 활동하는 특징도 확인된다. 정상적 트래픽이 있을 때 움직여야 탐지될 가능성을 줄이기 때문이다. 에스너 매니저는 “처음엔 덜 중요한 정보를 유출하면서 최고 중요한 무기정보 등으로 활동을 확대해 나가는 경향을 볼 수 있다”고 전했다.

에스너는 정보 가시성에 있어 ‘스케일’과 ‘스피드’를 중요시했다. 멀웨어를 감지했을 때 누구 시스템을 노린 것인지 파악하기 위해서는 넓게 보면서도 실시간 탐지가 가능해야 대응할 수 있다는 것이다.

에스너 매니저는 “파이어아이는 티어1와 티어2로 나눠 정형화된 정보와 비정형화된 정보를 동시에 확보면서 파트너들의 정보도 수집하고 있다”며 “이를 바탕으로 위협군을 확보할 수 있다”고 강조했다.

<이대호 기자>ldhdd@ddaily.co.kr

이대호
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널