Security Insights

[Security Insight #8] 보안 트렌드의 변화 ‘방어에서 대응으로’

    안녕하세요, 지니네트웍스 이재열 수석입니다.

    주식은 ‘대응의 영역’이라는 말이 있는데요.
    이 말의 의미는 주식의 예측이 불가능하고 무의미하며, 상황 변화에 따른 적절한 대응이 필요하다는 의미입니다.

    올해 초에 미국의 금리인상, 원자재 시장의 하락, 중국경제에 대한 우려 등의 이유로 주식시장에 많이 하락했습니다.
    문득, 한 가치투자를 믿고 아무런 대응을 하지 않아 손실이 눈덩이처럼 불어난 아픈 기억이 생각나네요.

    결과론적인 이야기지만 변화하는 시장 환경에 맞추어 적절한 대응을 했더라면 적정한 수준에서 손실을 확정하고
    ​추가적인 손실의 확산을 막을 수 있었을 것입니다.

    살아온 날보다 살 날이 더 적어지는 나이가 되다 보니 인생의 모든 일이 비슷한 것 같습니다.

    왜 뜬금없이 주식시장 이야기 인가… 하시는 분들이 계실거라고 생각합니다.
    오늘 이야기하고자 하는 보안과 주식시장도 일맥상통하는 부분이 있다고 느껴져 글을 주식이야기로 시작해 봤습니다.

    자 그럼 본격적으로 오늘 주제에 대해서 이야기 해 볼까요.

    변화화는 시장에 대한 대응 환경의 변화를 탐지하고 적절하게 대응하는 것은 주식 시장에서도 중요하지만
    ​보안에서도 점점 중요해지고 있습니다.

      보안의 관점도 이제 변화되어야 합니다.

    ‘우리 조직의 보안은 완벽해’. ‘우리는 100% 방어할거야’ 이런 희망사항은 이제는 버려야 합니다.
    (솔직히 제가 만난 보안 담당자들 중에 이런 생각을 가지고 있는 사람은 5%도 안 될 것 같다… 물론 이건 실무자들의 생각이고 C레벨은 좀 다르겠지만 )

    이제는 반듯이 100% 방어하겠다는 생각은 버리고
    ​언제든 침해사고가 발생할 수 있다는 관점에서 준비를 해야 합니다.
    사고를 미연에 방지하는 것이 가장 최선이겠지만 이제까지 경험으로 봐서는 완벽한 보안은 없습니다.

    그러므로 보안의 관점을 변경하여 언제든지 침해사고가 발생할 수 있다고 전제하고 침해사고가 발생했을 경우
    ​신속하게 탐지하고 대응(사전 대응이 아닌 사후 대응)해서 어떻게 하면 피해를 최소화할지를 고민해야 합니다.
    ​물론 이런 새로운 고민과 함께 병행해서 최선의 방어도 계속 노력해야 하겠지만요.

    전통적으로 NAC는 방어에 속하는 보안시스템입니다.

    NAC의 주된 목적은 인가되지 않거나 보안규정을 준수하지 않는 장비의 네트워크 접근 통제인데요. 통제를 하기 위해 네트워크에 대한 가시성 그리고 나아가서 네트워크에 접속하는 장비들의 보안 가시성을 확보하고 적절한 통제를 하는 것이 NAC의 주된 기능입니다. 즉 내부 네트워크에 새로운 보안위협이 발생하지 않도록 접속 자체를 차단해서 네트워크를 방어하는 개념이라고 볼 수 있습니다.

    이젠 이런 방어도 중요하지만 NAC에서도 계속적으로 변화하는 네트워크 상황에 대한 탐지 및 대응의 기능도 점점 중요해지고 있고, 관련 기능도 추가되고 고도화되고 있습니다.

    그럼 NAC에서는 어떤 방법으로 이런 기능을 구현할까요?

    첫 번째 방법은 NAC 자체적으로 정보를 수집하고 대응하는 방안입니다.
    네트워크에 설치된 Sensor와 장비에 설치된 Agent를 이용해 침해지표(IOC)를 수집하고 분석해서 대응하는 방안이 있습니다.
    Sensor를 이용해서 네트워크에 유입되는 유해 트래픽을 탐지하고, Agent를 이용해서 필수 소프트웨어 설치, 인가되지 않은 프로세스의 구동, 보안설정의 변경 등을 감지하고 이에 따른 적절한 대응을 한다. 그리고 문제가 발생할 소지가 있는 장비에 대해서는 차단, 교정, 알람 등의 수단으로 통제를 합니다.
    하지만 이 정도의 정보로는 정확하고 신속한 대응에 한계가 있습니다.

    두 번째 방법은 타 보안시스템과의 연동입니다.
    연동하는 보안시스템은 두 가지 정도로 분류되는데요. 하나는 단말에 설치되는 보안시스템, 다른 하나는 네트워크에 in-line 혹은 out-of-band로 설치된 보안 시스템입니다. 단말에 설치된 보안시스템으로는 백신, APT 등이 있고, 네트워크에 설치된 시스템으로는 IPS, NGFW, TMS, SWG 등이 있습니다. 백신으로 치료되지 않은 단말이 있는지, 악성사이트에 접속해서 Malware가 설치된 단말이 있는지, 단말에 C&C 서버와 통신하는 프로세스가 있는지 등의 정보를 수집합니다.

    일례를 들면 만일 TMS에서 C&C 서버와 통신하는 악성 트래픽이 감지되면 SYSLOG를 이용해서 관련로그를 전달받고 로그에 기록되어 있는 SourceIP를 정보를 추출합니다. 그리고 해당 IP를 사용하는 단말에 대한 대응을 시작합니다.

    대응의 방안은 여러 옵션 중에서 선택할 수 있습니다.
    해당 단말의 네트워크 접근을 차단해서 문제 확산을 방지할 수도 있고,
    ​아니면 단말 화면에 알람창을 표시해서 단말 사용자에게 문제상황에 대한 정보를 제공할 수도 있습니다.

    그리고 TMS에서 받은 로그 정보에서 해당 프로세스 정보를 추출하여 프로세스만 중지시키거나
    ​해당 프로세스의 동작을 모니터링 할 수도 있습니다.

    그리고 더 나아가서 해당 프로세스가 어느 데이터에 접근하는지 모니터링하고
    ​관련 정보를 수집하고 저장해서 포렌식에 사용할 수도 있습니다.

    그리고 문제가 발생한 단말에 대해서만 통제를 하는 것이 아니라
    ​해당 정보를 모든 단말에 적용해서 동일한 프로세스가 얼마나 존재하는지
    ​그리고 외부의 어느 서버와 접속하고 어떤 데이터에 접근하는지 등의 정보를 관라자에게 경고해 줄 수도 있습니다.

    위의 모든 상황은 NAC를 사용하는 조직의 정책에 따라 적절하게 사용되어 질 수 있는데요.

    그림1) NAC – TMS 연동
    02

    주식시장의 변화에 맞춰 포트폴리오를 변경하듯이
    NAC도 보안시장의 변화에 부응하여 기능 포트폴리오를 적절하게 변경하면서 진화하고 있습니다.
    이런 변화가 계속 이루어지면 NAC의 이름도 조만간 변경되지 않을까요… 아니면 새로운 제품이 출시되거나 …

    다음 포스팅에는 위 글에서 언급되었던 침해지표(IOC)에 대해서 이야기해 볼까 합니다.
    남은 시간도 행복하게 잘 보내세요!

    GENIANS

    GENIANS

    지니언스는 BYOD, IoT 시대 안전한 내부 네트워크 운영을 위한
    글로벌 보안 소프트웨어 전문기업입니다.
    고객의 소중한 정보 자산을 보호하고 IT인프라의 효율성을 높이는데 필요한
    핵심기술을 바탕으로 내부 보안관리의 어려움을 겪는 기업을 돕고자 합니다.
    고객이 필요한 기술, 그 가장 가까운 곳에 지니언스가 있습니다.

    Show Comments (0)

    This is a unique website which will require a more modern browser to work! Please upgrade today!