[아이티데일리] “이제까지 보안의 큰 맥락에는 내부·외부 네트워크 개념이 있었다. 그러나 최근 몇 년 사이 모바일, 클라우드 등 제3의 플랫폼이 등장하면서 내외부 네트워크 경계가 무너졌다. 공격자들 입장에서는 침투할 수 있는 지점이 무궁무진하게 늘어났다. 이러한 추세에 따라 보안에 대한 접근 방법이 달라져야 한다.”

조남용 한국EMC 부장은 11일 ‘EMC 이펙트데이 2014’에서 ‘기업 보안 위협, 네트워크 포렌식으로 대응하다’라는 주제 발표를 진행하며 이같이 말했다.

조남용 부장은 모바일, 클라우드, 빅데이터, 소셜 네트워크 등 제3의 플랫폼 시대에 돌입하면서 기업 보안이 새로운 도전 과제에 직면하고 있다고 밝혔다. 모바일 기기는 사내·외 네트워크를 넘나들며 움직이고, 클라우드 활용이 늘어남에 따라 회사의 중요 정보가 내부 네트워크 외에도 저장되게 됐다. 빅데이터, 소셜 네트워크는 조직 내부와 외부가 소통할 수 있는 접점을 더욱 늘려가고 있다.

이러한 기업 IT 환경의 변화는 사용자 입장에서 보면 업무 생산성의 혁신이다. 반면 보안 측면에서는 큰 위협이 된다. 단지 ‘굳건한 관문’을 세우는 기존 보안 방법으로는 해결될 수 없는 보안 취약점을 야기시키기 때문이다.

조남용 부장은 “기존에는 내부에 직원이 있고 외부에 공격자가 있다는 가정 하에 보안을 생각했다. 하지만 이제는 우리 내부에 이미 공격자가 일부 들어와 있다는 가정 하에 보안을 다시 생각해봐야 한다”고 말했다.

이어 “가정이 달라지면 대응 전략도 달라진다. 기존에는 경계에서 탐지해 아예 공격이 못 들어오게 했다면, 이제는 이미 들어와 있는 공격을 얼마나 빨리 찾아낼 것인가가 문제다”고 말했다.

여기서 ‘공격을 빨리 찾아내는 방법’이란 ‘더 많은 데이터를 보는 방법’, 네트워크 포렌식 기법이다. 네트워크 포렌식이란 디지털 증거를 수집하는 것을 말한다. 보안 관점에서 네트워크 포렌식은 더 많은 데이터를 ‘까 보고’, ‘분석하고’ 보안 취약점을 그 근간부터 파악하는 것을 의미한다.

한국EMC 측은 EMC의 ‘RSA 시큐리티 애널리틱스’가 제3의 플랫폼 시대에 걸맞는 보안 접근을 가능케 하는 솔루션이라고 소개했다. RSA 시큐리티 애널리틱스는 로그, 패킷, 최종 사용자단(end point) 데이터를 분석해 기업 IT 전반에 걸친 위협을 탐지, 보안 위협에 능동적으로 대응할 수 있도록 지원하는 솔루션이다.

조남용 부장은 “어떤 데이터를 보는 게 좋겠냐 하면, 우선 ▲시스템이 생산해내는 로그를 본다. 그리고 ▲패킷을 본다. 트래픽 내용을 제대로 볼 수 있다면 훨씬 깊이 있는 가시성을 확보할 수 있다. 더불어 ▲내부 네트워크의 경우 넷플로를 수집해 내부에서 누가 누구와 통신하는지 정보를 얻는다. 나아가 ▲최종 사용자단에 악성 코드 등이 없는지까지 분석한다”고 RSA 시큐리티 애널리틱스의 데이터 분석 범위를 풀어냈다.

조남용 부장은 RSA 시큐리티 애널리틱스를 활용하면 개별적인 보안 문제를 해결하는 데 그치는 게 아니라 공격 자체를 저지하는 수준의 대응이 가능하다고 말했다. 조 부장은 “기존 보안 솔루션이 발견된 현상만을 조치하고 끝이었다면, RSA 시큐리티 애널리틱스는 하나의 현상을 징후로 보고 관련된 모든 현상을 추적, 최초 유포 지점 및 경유지까지 찾아내 차단한다”고 설명했다.

일례로, 이러한 접근 방법을 통해 기업 내부에서 보안 정책에 위배되는 시도가 있을 시 이 역시 감지할 수 있었다고 조남용 부장은 밝혔다. “보안 통제가 실질적으로 동작을 하는가, 이를 어기는 직원은 없는가 하는 문제를 이제까지는 검증할 방법이 없었다. 하지만 RSA 시큐리티 애널리틱스를 적용하고 보니 직원들이 메신저 한 번 해보겠다고 해킹툴 깔고 하는 것들도 찾아낼 수 있었다. 이러한 잠재적 위협 요소를 미리 막아 선제적 조치를 할 수 있다”고 말했다.

아울러 조남용 부장은 RSA 애널리틱스 시큐리티가 기업 보안팀의 업무 능률을 향상시키는 데에도 일조한다고 덧붙였다.

조남용 부장은 “기존 솔루션 하에서 보안팀의 업무는 공격을 탐지하고 차단하고, 탐지하고 차단하는 일의 반복이다. 관제 인력은 계속 바쁘다. 하지만 RSA 시큐리티 애널리틱스를 도입한 고객들의 경우 최초 유포지부터 막아내기 때문에 특정 시점이 지난 후에는 예전보다 탐지되는 공격 건수가 줄어드는 효과를 본다. 이 때부터는 APT(advanced persistent threat, 지능형 지속 공격)에 대한 본격적인 대응이 가능해진다. 대응 수준을 한두 단계 업그레이드할 수 있게 된다”고 언급했다.

한편, 한국EMC는 이날 ‘EMC 이펙트데이 2014’를 개최했다. ‘EMC 이펙트데이’는 EMC 고객이 직접 연사로 나서 자사의 도입 경험을 공유하는 IT 컨퍼런스로 올해 10회째를 맞이했다. 이번 ‘EMC 이펙트데이’에는 고양시청, 포스코ICT, 대웅제약, 위메프 등 EMC 고객사들이 참석해 도입 사례를 공유했다.