[김국배기자] '우리 회사는 보안 사고가 난 적이 없을까?'
이런 걱정을 하는 이들이 있지만 실제로는 사고가 난 줄도 모르는 경우가 더 많을 것이라고 보안업계 관계자들은 말한다. 침해 사실을 발견하기까지 평균 205일 걸린다는 조사결과도 이를 뒷받침한다.
"공격자들은 이미 '사이버 땅굴'처럼 사이버 거점을 확보하고 활동하고 있는데 파악하지 못하는 경우가 있습니다. 우리 조직이 이미 침해를 당했는지, 공격자가 이미 내부 네트워크에 들어와 활동하고 있는지 상시적으로 점검할 필요가 있습니다."
파이어아이코리아 윤삼수 전무는 지난 17일 저녁 서울 용산구 한남동에서 연 '송년 비즈니스 전략 발표' 기자간담회에서 이같이 말했다.
그는 지금의 상태를 "비대칭 대치 상황"이라고 표현했다.
"지능형지속위협(APT) 공격자는 특수부대, 외인부대의 성격을 갖고 있는데 방어하는 조직은 경비실, 파출소, 민방위 수준이죠. 완벽한 침입차단이라는 미신에서 벗어나 예방보다 인지, 대응으로 전략과 전술의 변화가 필요합니다."
이런 접근법을 내세우고 있는 파이어아이는 내년 국내에 침해흔적 진단 서비스(Compromise Assessment Service)를 시작할 예정이다. 이는 파이어아이가 인수한 맨디언트가 2004년부터 제공해온 서비스다.
"공격을 하는 것도, 방어를 하는 것도 사람이며 사람은 실수를 합니다. 공격자도 방어자의 실수를 노리는 것이고 방어자 입장에서는 거꾸로 공격자의 실수를 찾습니다. 지금까지 조사한 모든 사건에서 침해흔적이 발견됐고요. 침해 흔적을 찾아내면 누가 언제 어떻게 왜 공격했는지 찾아낼 수 있습니다."
이같은 자신감의 근거는 CA서비스의 '라이브 전수조사' 방법에 있다. 기존의 침해사고 조사는 감염 PC 중심의 포렌식으로 원인을 파악하기 힘들지만 파이어아이는 전수조사를 통해 사건 전체의 타임라인과 최종 피해 내용을 확인할 수 있다는 것.
"한국에선 침해사고 시 통상 10대 이하를 조사합니다. 그러나 침해사고를 당한 서버에서 악성코드가 발견되는 경우는 40%가 안 돼요. 그러니까 팩트가 아닌 가상의 시나리오를 쓰게 됩니다. 그러나 우린 보통 1만대 이상, 최대 50만대까지 동시에 조사합니다. 최근 일본에서 일어난 침해사고 때는 불과 3명이 들어가 2만5천대를 조사했죠."
파이어아이는 CA서비스와 함께 침해조사 서비스(Incident Response Service)도 제공할 계획이다. 그는 "현재 국내에서는 포털, 엔터프라이즈 분야에서 관심이 높다"고 전했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기