현재의 '위협'은 과거의 보안 위협과 달리 ‘지능적’이며, ‘지속적’으로 이루어지고 있습니다. 과거 보안 솔루션인 IDS, IPS, 방화벽 등으로는 방어가 어려운 것이 현실이라고 많은 연구자들은 주장하고 있습니다.
가트너에서는 보안관리자를 위한 지능형 지속 위협에 대한 방어(Advanced Threat Defense) 프레임워크를 작성하여 가장 효과적인 위협 방어 솔루션의 적용에 도움을 주고 있습니다.
Figure 1. Five Styles of Advanced Threat Defense
(Gartner, Lawrence Orans, Jeremy D’Hoinne, 2016.6.1.)
가트너에서 작성한 ‘Five Styles of Advanced Threat Defense’ 프레임워크는 멀웨어의 발견 위치(네트워크, 페이로드, 엔드포인트)와 이에 대응하는 솔루션이 가장 효과적인 시기(실시간/준 실시간, 사후조치)에 따라 5가지 스타일로 나누고 있습니다.
보안관리자들이 이 프레임워크를 효과적으로 활용하기 위해서는 두 가지 이상의 스타일을 접목시켜 지능형 지속 위협에 대한 방어 계획을 수립하는 것을 권고하고 있습니다. 그 이유로는 멀웨어의 발견 위치와 대응시기에 따라 대응 방법과 솔루션, 집행비용의 차이가 발생할 수 있기 때문입니다. 보안관리자들은 회사에서 보유하고 있는 보안 솔루션, 가용 집행비용, 도입 목적 등의 환경 차이가 발생할 수 있기 때문에 현재 상황을 고려하여 확장할 수 있는 솔루션에 대한 계획을 수립하여야 합니다.
가트너의 프레임워크에 지니언스 EDR 제품인 'Genian Insight E'를 적용해보면 ‘엔드포인트 포렌식(스타일5)’에 해당이 된다고 할 수 있습니다. ‘엔드포인트 포렌식’은 침해사고 대응을 위한 툴로써 앤드포인트 에이전트를 통해 정확한 데이터를 수집할 수 있으며, 기업 네트워크의 활동을 모니터링 할 수 있습니다. 이를 위해 침해지표(IOC)를 활용하고 있으며, 멀웨어의 특정한 행위를 탐지하고, 위협에 해당하는 행위 시 이를 제한하는 조치를 취하고 있습니다.
‘엔드포인트 포렌식’은 위에서 설명한 장점을 가지고 있지만 실시간 이루어지는 제로데이 공격 방어에 취약하며, 윈도우 엔드포인트 외에는 지원에 제약된다는 한계와 엔드포인트에서 발생하는 이벤트들이 정형화되어 있지 않기 때문에 이벤트를 조사할 수 있는 전문적인 지식을 가진 직원이 필요하다고 가트너는 지적하고 있습니다.
이와 같은 단점을 보완하기 위해서 가트너 프레임워크 상의 멀웨어 발견 위치와 실시간 처리에 따른 스타일의 프레임워크 접목이 필요하다고 기술하고 있습니다. 가트너에서는 ‘페이로드’와 ‘네트워크 트래픽’ 상에서 ‘실시간 분석’과의 상호보완적 활용을 권고하고 있습니다.
‘네트워크 트래픽 분석(스타일3)’은 실시간 탐지가 가능하며 시그니처 기반 및 비 시그니처 기반 기술을 모두 포함하고 있고, 엔드포인트 에이전트가 필요하지 않다는 장점을 지니고 있습니다. 반면에 긍정 오류(false positives)를 회피하기 위해 전문지식을 가진 직원이 필요하며, 블록 공격에 제한적인 능력을 가지고 있습니다.
‘페이로드 분석(스타일1)’은 샌드박스 환경을 사용하며, 실시간으로 멀웨어와 타깃 공격을 탐지하는 기술을 사용합니다. 멀웨어 행위에 대한 상세적인 보고서를 제공할 수 있지만, 공격 후 일별/주별/월별의 기간 동안 공격후의 엔드포인트 행위를 추적할 수 없습니다. 또한 제한된 범위의 페이로드만을 지원하기 때문에 페이로드 분석의 단점을 보완하기 위해서는 ‘엔드포인트 포렌식’이 필요합니다.
기존 시그니처 기반의 솔루션과 페이로드 기반 솔루션들은 제한된 범위의 탐지를 제공한다는 단점을 가지고 있는데 지니언스 'Genian Insight E'는 행위기반의 탐지와 머신러닝 기술을 활용하여 이와 같은 제한된 탐지영역의 단점을 보완할 수 있을 것으로 기대하고 있습니다. 또한 지니언스 R&D 센터 데이터 전문 분석가들의 지속적인 연구를 통해 비정형화된 이벤트를 처리할 수 있는 역량을 배양하고 있습니다.
가트너에서 권고하고 있는 상호보완적 솔루션 도입(스타일3과 스타일5 등)은 단일 스타일의 솔루션을 활용하였을 때의 기술적인 취약점과 관리의 취약점을 보완시킬 수 있습니다. 하지만 비용적인 측면에서의 중복 투자와 솔루션 기능의 중복, 관리업무의 비효율성을 수반할 수 있음을 함께 고려해야 할 것입니다.
지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!
