웹공격·타깃공격 대응 위해선...IT인프라 보안부터

리소스 줄이고 효율적 보안 시스템 체계 필요

[보안뉴스 김태형] 최근 판도라TV가 해킹돼 사용자 정보를 일부 유출시킨 것으로 밝혀진 가운데 인터넷 도메인 서비스 제공업체인 ‘후이즈’도 디도스 공격을 받아 일부 서비스에 차질을 빚었다.

▲ 웹공격·타깃공격 대응을 위해서는 IT인프라 보안을 강화하고 리소스 적은 효율적 보안 시스템 체계가 필요하다.

이처럼 인터넷 서비스 업체의 보안관리가 허술하다는 지적은 어제 오늘의 일이 아니다. 판도라TV는 지난달 17일 해킹 정황을 파악하고도 한 달 가까이 회원들에게 관련 내용을 알리지 않았다. 얼마 전에는 악성코드 유포지로도 악용된 바 있어 보안관리 부실이 도마 위에 오르고 있다.

이와 관련 정보보호 컨설팅 및 모의해킹 전문기업 SSR 김병규 솔루션 사업부 부장은 “최근 공개된 사이트의 웹 공격과 타깃 공격이 주로 이루어지고 있는데 무엇보다 중요한 것은 기본 바탕이 되는 IT인프라 보안”이라면서 “최근 보안은 솔루션 보다는 컴플라이언스가 중심이 돼야 된다. 정부에서는 매년 관련 법규, 가이드 등 컴플아이언스 강화 정책을 내놓고 있다. 컴플라이언스 중심의 솔루션들을 활용해 보안 리소스를 줄이고 효율적인 보안을 마련해야 한다”고 밝혔다.

이를 위해서 IT인프라에 대한 취약점 진단이 중요하다. IT인프라 취약점 진단은 I인프라을 구성하는 시스템 및 장비들에 대한 취약점을 진단하는 영역이다. 국가 주요기관 및 주요 금융기관 등은 정보통신망법 및 전자금융거래법 등의 관련 법 개정으로 ISMS 인증 의무 대상에 포함됐다. ISMS 인증 의무 기관 및 기업들은 ISMS 인증 취득과 함께 정기적으로 취약점 진단을 해야 한다.

하지만 문제는 이러한 취약점 진단을 전문업체의 컨설턴트들이 한다는 점이다. 사람이 직접 취약점 진단을 하다 보니 많은 비용과 시간이 소요되고 컨설팅 및 진단을 하는 사람에 따라 결과가 다르게 나오는 것도 문제다.

특히 비용 문제로 고객들은 대부분 샘플링 진단을 하게 된다. 이렇다 보니 샘플링 진단에서 제외되는 IT인프라 시스템은 취약한 경우가 많다. 고객에게는 중요한 시스템이 있지만 공격자의 입장에서는 시스템의 중요도는 관계가 없다. 공격자들은 가장 취약한 부분을 찾아 공격하기 때문이다.

김병규 부장은 “이러한 문제점과 IT인프라 취약점을 해결하기 위해 SSR은 IT인프라 취약점 자동화 솔루션 ‘솔리드 스텝(Solid Step)’을 개발했다. 솔리드 스텝은 IT 인프라 자동화 취약점 전수진단을 비롯해 내부기준 및 정책을 100% 만족한다”면서 “이를 활용하면 기존의 인력기반 수행방식에서 솔루션 도입, 운영으로 대체가 가능하고 고객 맞춤형 커스터마이징이 가능해 진단결과에 대해서는 정확한 결과물을 도출해준다”고 설명했다.

특히 PC, Server, Network, WEB/WAS, DBMS 등 IT 인프라에 대한 보안 취약점을 전수 자동화로 진단하며, 기존 취약점진단 컨설팅과 동일한 결과 보고서를 제공한다는 것이 특징이다.

또한, 국내 보안관련 법령 요구조건 및 컴플라이언스 준수를 위한 취약점 관리로 컨설팅을 대체할 수 있으며, 객관적인 기준에 정량화된 결과를 바탕으로 내부 보안 수준향상을 확인할 수 있다. 또한 대규모 인프라의 경우 비용절감 효과도 장점이다.

아울러 SSR은 웹 해킹 원인의 90% 이상을 차지하는 웹셸 공격을 실시간으로 탐지 및 차단할 수 있는 솔루션 MetiEye(메티아이)를 공급하고 있다.

메티아이는 에스에스알 모의해킹팀의 웹쉘 제작 능력을 기반으로 설계됐다. 웹셸은 시스템 전권을 장악하는 악성 스크립트로 웹셸을 방어하는 컨셉으로 개발됐다. 메티아이는 웹셸을 탐지하면서 웹 위·변조 감시도 동시에 진행한다.

김병규 부장은 “SSR은 웹셸 탐지 솔루션 부분에서는 후발주자다. 웹셸 탐지 솔루션 대부분은 패턴 매칭 기반이어서 KISA에서 대부분의 패턴을 공급받고 있다”면서 “하지만 패턴 매칭은 한계가 있다. 웹셸은 안티바이러스 제품군 중에서 서버 백신 제품이 역할을 해줘야 하지만 안티바이러스의 특성상 실행파일 위주의 탐지는 스크립크인 웹셸을 탐지하기에는 한계가 있다”고 설명했다.

이를 극복하기 위해 SSR은 자체 개발한 행위기반의 ‘휴리스틱엔진’으로 웹셸만의 특징을 탐지하도록 하는 기능을 개발해 현재 특허 출원 중이다. 또한, 해쉬 값을 대조하는 방식의 해쉬기반 탐지 기능은 알려진 웹셸을 탐지하기 때문에 오탐이 없는 것이 특징이라는 게 회사 측의 설명이다.

김 부장은 “탐지 솔루션이 극복해야 하는 문제는 탐지하지 못하는 ‘미탐’과 정상인데 비정상으로 탐지하는 ‘오탐’인데 메티아이는 이러한 한계를 최대한 극복한 실시간 웹셸 탐지 기능을 제공한다”면서 “다른 제품은 서버에 에이전트가 설치되는 방식인데 메티아이는 자체적으로 라이브러리를 가지고 있어 기존 시스템 파일을 공유하지 않고 복사해서 붙여넣기 방식으로 설치가 끝나기 때문에 서버의 재부팅이 필요 없고 시스템 부하도 없이 맥을 제외한 모든 상용OS를 지원한다”고 덧붙였다.

한편 SSR은 올해 미래창조과학부 선정 ‘지식정보보안 컨설팅전문업체’로 추가 지정된 기업으로 지난 2010년 8월 설립됐다. STG시큐리티 컨설턴트 출신 인력이 주축이 되어 구성된 SSR은 기술컨설팅, 취약점진단, 모의해킹 등을 주요 사업으로 하고 있다.

특히 전체 인력 60명중 10명을 제외하고 모두 기술인력으로 구성되어 있다. 이 중 모의해킹이 가능한 인력이 20명 정도로 매우 많은 비중을 차지하고 있는 기술력 기반의 회사로, IT인프라 취약점 진단도구와 웹셸탐지 솔루션 등 자체 개발한 제품에서도 그 기술력을 인정받고 있다.

[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)