팔로알토네트웍스는 앞으로 사이버 공격형태가 빠르게 변화해 공격자 분석 없이 대응이 어려울 것이라고 설명했다.
조현석 팔로알토 부장은 '인텔리전스 중심의 사이버 위협대응'을 주제로 발표했다. 최근 악성코드는 빠르게 증가한다. 보안제품 테스트 기관 AV-TEST에 따르면 악성코드는 지난 10년간 7억개 이상 출현했다. 하루 15만~30만개 악성코드가 출현한 셈이다. 게다가 제로데이 취약점 공격, 알려지지 않은 멀웨어 등 기존 보안 시스템을 회피하기 위한 형태로 진화했다.
조 부장은 “사이버 공격자는 전문화, 조직화돼 시스템을 파괴하는 수준에서 금전적 수익을 주목적으로 하는 형태로 진화했다”면서 “시그니처 하나가 넓은 범위로 악성코드를 막고 있지만 실제 악성코드 방어범위는 전체 10%정도에 그친다”고 말했다.
사이버 공격 형태는 개별 악성코드 공격이 아닌 캠페인 형식 조직으로 움직인다. 특정 목표를 설정해 취약점을 찾는다. 공격방법도 스피어피싱 등을 이용해 시스템에 침투하고 악성코드를 무기화 해 개인 데이터베이스(DB), 기업기밀 등을 탈취한다. 최근에는 인터넷 익스플로러에서 많이 사용하는 플래시를 이용이 많다.
그는 적 공격행위를 알고 대응해야 진화하는 사이버 공격을 방어한다고 설명했다. 이를 위해 수집한 악성코드를 공유하는 체계가 필요하다. 개별 기업이 수집한 정보는 한계가 있다. 따라서 팔로알토네트웍스는 사이버위협얼라이언스를 통해 악성코드를 공유하고 이상 징후 발견 시 자사 정보뿐 아니라 공유된 정보를 바탕으로 악성코드 유무를 확인한다.
조 부장은 “악성코드를 분석뿐 아니라 자신이 속한 조직 환경을 파악하는 것도 중요하다”면서 “악성코드가 메일, 웹 등 어떤 방향으로 많이 유입되는지 분석하는 것부터가 시작”이라고 덧붙였다.
정영일기자 jung01@etnews.com