최근 비즈니스 방해를 목표로 한 사이버 공격이 부쩍 증가했다. 이 같은 사실은 파이어아이가 올해 발표한 M-트렌드 보고서에도 드러난다. 비즈니스 방해 공격은 크립토로커와 같이 데이터를 볼모로 몸값을 요구하는 랜섬웨어를 포함해 중요한 비즈니스 시스템을 손상시킨다.
또 기밀 데이터를 탈취한 후 인터넷에 공개하는 등 다양한 방법이 있다. 이러한 사이버 공격은 기업 비즈니스에 상당한 악영향을 미친다.
중요한 것은 공격 대상과 목적이 분명한 지능형지속위협(APT) 공격이 늘고 있다는 것이다. 한국에서는 이미 공공·금융 기관을 중심으로 네트워크를 재설계해 보안을 강화하는 방식을 택했다. 바로 망 분리다. 네트워크를 외부와 내부로 나눠 접속 자체를 불가능하게 한다. 보안을 강화하는 망 분리는 단순하면서도 가장 강력한 보안 방법이라 할 수 있다.
하지만 완벽해 보이는 망 분리 환경에서도 악성 파일이 침투, 내부 망 데이터를 탈취하거나 사용을 못하게 만드는 사례가 최근 여러 차례 발생했다.
이들 대부분은 망 분리된 안전한 구역을 곧장 공격하는 것이 아니라 또 다른 빈틈을 노렸다. 보안 프로그램을 공격, 악성 프로그램을 신뢰하도록 인식시켜서 내부 망 서버와 PC를 감염시켰다. USB나 데이터 반입을 위해 사용하는 망 연계 시스템을 통한 악성 파일 유입 등 망 분리를 우회해 침투하는 공격 기법도 이용됐다.
일련의 사례들은 결국 망 분리도 안심할 수 없음을 입증한다. 물론 망 분리 환경에서는 내부로 유입된 악성 코드에 의한 C&C(Command&Control) 서버 접속 위협으로부터는 안전하다. 하지만 시스템 자폭과 같은 C&C 서버와 통신이 필요 없는 공격 결과로 서비스 장애가 발생하는 등 보안상 어떤 변수가 나타날지 알 수 없다.
이 밖에도 안전한 망 분리 환경 내에서 실제 사용하는 작업자에 의해 발생할 수 있는 휴먼 에러도 간과해서는 안 된다.
악성 감염이 내부에서 발생한다면 네트워크 보안 장비에 치명타로 작용할 사각지대가 발생한다. 보안장비 우회 경로가 다양한 것은 승인된 작업자와 내부 사용자에 의해 의도치 않은 내부 보안 침해 사고를 발생시킬 수 있다. 서버와 클라이언트가 동일한 네트워크 환경에 있다면 보안 장비를 거치지 않은 채 해당 위협이 빠르게 확산될 가능성이 있다.
이와 같은 환경에서 안전하고 확실한 방어를 위해서는 내부 네트워크 상에서 전달되고 있는 모든 파일에 대한 검사가 필요하다. 파일 전수검사는 절대 침투돼서는 안 될 내부 망 구역의 철저한 검역 장치다. 이른바 클린존 구축을 위한 첫걸음이다.
파일 전수검사를 위해서는 크게 세 가지 과정이 필요하다. 먼저 내부에 존재하는 모든 파일에 대한 수집이 선행돼야 한다.
다음은 수집된 파일을 동적 기반의 악성 코드 전문 행위 분석을 통해 분석하고, 악성 파일인 경우 분류 및 격리하는 단계가 필요하다. 마지막으로 해당 분석 정보를 통해 악성 파일에 대한 이력을 관리해야 한다. 이로써 송신자 및 수신자 정보 추적과 악성 파일에 대한 삭제 유도 및 지속 관리가 가능하다.
즉 파일 전수검사 3단계를 시스템화하고 실시간으로 수행한다면 망 내 파일의 전체 흐름 등 현황을 상세하게 파악하는 동시에 내부 보안 모니터링을 통해 클린존을 구축할 수 있다. 국내외 보안업체의 보안 정기보고서가 최근 강조하고 있는 공통 현상은 사이버 공격이 속도를 점점 더 내면서 진화하고 있다는 점이다.
공격에 맞서는 보안 수준 또한 계속해서 발전해 나아가야 한다. 파일 전수검사를 통한 클린존 구축은 현재 보안 수준의 진화된 다음 단계로, 더욱 안전하고 튼튼한 내부 망 운영을 위한 최선의 대안이다.
김흥민 더보안 부사장 heungmin@theboan.com