[인터뷰] 티핑포인트 보안연구소 수석매니저 로힛 다만카
일본에 이은 두 번째 행사로 12일 개최된 한국 세미나를 위해 티핑포인트의 보안연구소 DV랩스(DVLabs)의 수석매니저이자 세계적인 보안연구기관 SANS 인스티튜트에서 SANS Top 20 프로젝트의 디렉터로 활동 중인 로힛 다만카(Rohit Dhamankar)가 방한했다.
로힛 다만카는 "티핑포인트의 IPS 하나면 최근 이슈가 되고 있는 웹 공격과 분산서비스거부(DDoS) 공격은 물론 일반 공격들까지도 막을 수 있다"며 "웹방화벽, DDoS 전용 장비를 찾는 고객들을 대상으로 올해 IPS 내 애플리케이션 보호를 위한 웹 쉐이핑, 애플리케이션 컨트롤 네트워킹 등 특정 기능에 대한 교육과 제품에 대한 인식을 확산시킬 수 있는 다양한 캠페인을 펼칠 것"이라고 밝혔다.
다음은 티핑포인트 보안연구소 수석매니저 로힛 다만카와의 일문일답.
- 최근 보안 위협 및 공격 트렌드를 소개한다면.
현재 지역과 국경을 초월해 취약한 부분으로 공격이 집중하는 경향을 볼 수 있다. 한 대학의 웹 서버를 향해 3일간 7000건의 자동화 공격이 외부로부터 들어오기도 한다.
특히, 한국에서는 윈도우 기반 웜, 웹 애플리케이션 공격, 텔넷 브루트 포스 공격이 기승을 부리고 있다. 과거 웜이 기승을 부릴 때 서버, 서비스에 대한 공격이 주를 이뤘으나 이제 MS 오피스처럼 데스크톱 스탠다드 애플리케이션에 대한 공격이 이뤄지고 있어 일반일들이 사용하는 SW까지 보안의 대상이 되고 있다.
2003년 전 세계 네트워크를 강타했던 SQL서버를 공격하는 '슬래머웜'과, 윈도우의 RPC(Remote Procedure Call)에 의해 제공되는 DCO(Distributed Component Object)서비스의 결함을 노린 '블라스터 웜'은 아직도 많은 네트워크를 위협하는 주요 공격이다. 하루 17만건의 SQL공격이 일어나 웜에 감염된 시스템이 IP, 네트워크를 공격하고 있다.
따라서 새로운 공격 뿐 아니라 과거 공격 유형에도 충분히 방어 가능한 시스템을 구축해야 한다. 돈, 이념, 사상, 테러 등 다양한 목적에 의해 공격들이 이뤄지고 있으므로 기존 OS, 네트워크 보안에 추가해 고도화된 애플리케이션, 백업 시스템에 대한 공격도 방어를 해야 한다.
- 이러한 보안 위협에 대한 구체적인 대응 방안은.
보안 위협을 제거하고, 네트워크에 접근성을 갖는 사람을 파악하며, 주요 데이터 및 백업 데이터가 유출되어 해커 손에 들어가지 않도록 하는 방법이 있다. 과거 단순히 IP로그를 보면서 시스템을 클린업하고 사후 대응책을 세우는 노력만 가지고는 부족하다. 자동화된 시스템이 필요하고, 네트워크와 인라인되어 있는 인벤드 보안 시스템이 구축되어야 한다.
WAN 경계선만 방어하는 시스템의 구축만 이뤄져왔으나 네트워크 전역에 걸쳐 각 레벨에 맞는 보안 시스템 구축되어야 하는 상황이다.
NAC솔루션과 IPS를 상호 보완 이용해야 모든 기기, 유저, 플로우의 클린성을 가장 완벽히 확보할 수 있다. NAC을 통해 접근 가능한 사용자를 분리하고 네트워크 내에서는 IPS를 이용해 트래픽을 통제해야 한다. 문제 발생 시 쿼런틴(격리) 기능까지 제공할 수 있다면 가장 좋은 방법일 것이다.
- 티핑포인트 솔루션 소개와, 경쟁업체들과의 차별점 이라면.
IPS는 네트워크 공격을 방어하기 위한 표준 장비가 되고 있다. 티핑포인트는 단순히 10G 네트워크 카드만 있는 장비가 아니라 모든 트래픽에 대한 딥패킷 인스펙션(DPI)을 수행하는 10G급 성능의 IPS를 제공하는 유일한 회사다.
IPS는 네거티브 방식의 기술로 웹공격을 방어한다. HTTP 방어 능력이 있고 로버틱 필터셋을 통한 애플리케이션 및 웹 공격을 막을 수 있다. 티핑 IPS 만으로 PHP를 비롯한 DDoS 공격에 충분히 대응 가능하며 리눅스 OS의 홀에 대한 공격도 방어할 수 있는 기능을 제공한다.
웹 방화벽 제품은 공격 탐지를 위해 네거티브 방식과 포지티브 방식을 동시 지원한다. 하지만 포지티브 방식을 썼을 때 오탐율 많고 장비 성능을 저하시켜 사용 시 많은 부담이 따르는 게 사실이다. 티핑포인트 IPS는 기존 시그니쳐 방식에 국한되지 않고, 프로토콜 어노말리 공격 대응이나 취약점 대응 방어 기술을 통해 알려지지 않는 공격에 대한 대처도 가능하다는 게 장점이다.
- 티핑포인트의 올해 IPS 사업 전략은.
경쟁 IPS 업체들처럼 별도로 웹 방화벽, DDoS 전용 장비를 출시해 인위적으로 시장을 만들 필요는 없다고 본다. IPS와 별도로 어떤 공격에 특화된 장비를 구입해 네트워크에 추가할 경우, 오히려 네트워크의 지연, 성능 저하, 관리 어려움 등의 문제가 발생할 수 있다.
티핑포인트는 IPS 하나로 모든 공격에 대해 방어할 수 있는 가장 많은 기능을 제공한다. 시그니쳐 기반 기술로 막을 수 없는 80포트의 웹 공격이나 DDoS 공격부터, 이 특화된 장비들이 막지 못하는 일반 공격들까지 방어할 수 있다.
앞으로 웹방화벽, DDoS 전용 장비를 찾는 고객들을 대상으로 IPS 내 애플리케이션 보호를 위한 웹 쉐이핑, 애플리케이션 컨트롤 네트워킹 등 특정 기능에 대한 교육과 제품에 대한 인식을 확산시킬 수 있는 다양한 캠페인을 펼칠 계획이다.
김정은 기자
jekim@itdaily.kr