-
맬웨어 등 시스템이상 식별방법카테고리 없음 2016. 6. 3. 14:51반응형
전문가 진단에 따르면 각급 기업의 사이버범죄 비용이 매년 증가추세에 있으며 글로벌 상거래가 가상공간으로 옮겨가는 현상이 지속됨에 따라 이 비용의 증가는 앞으로도 확실시되고 있다. 2015년 데이터침탈비용 연구(2015 Cosft of Data Breach)에 따르면 데이터침탈을 겪은 기업의 평균비용은 650만 달러로 늘어났다. 다른 연구에 따르면 2019년까지 데이터침탈비용 총액이 2조 달러에 달할 전망이라고 한다.
전문가들이 사이버범죄 차단을 위해 다양한 솔루션을 논의하는 가운데 두 가지가 확실시되고 있다. (1) 현재 경계방어기술은 지능형 지속위협 맬웨어를 상대로는 효과적이지 못하며 (2) 맬웨어의 공격력이 보안대책의 효용성보다 빠르게 성장하고 있다는 것이다. 포츈(Fortune) 매거진 선정 100대 기업과 대규모 정부기관에 대한 공격 등 첨단 보안기술과 전문가집단을 동원한 수백 건의 공격 사례로 인해 보안대책에 대한 새로운 접근이 절실해지고 있다.
여기에서 소개하는 맬웨어 그리고 네트워크 이상활동을 감지하기 위한 5대 핵심방안은 맬웨어 확산문제를 방지하기 위한 밑그림을 제공한다. 이들 방안은 ThreatAnalyzer(옛 CWSandbox) 샌드박스기술을 활용한 정적 및 동적 맬웨어분석 그리고 지능형 맬웨어 수천 건에 대한 연구를 바탕으로 하고 있다. 이하에 일반적인 맬웨어 문제와 그에 대한 해결방안을 간략히 소개하고 항목별로 세부적인 내용을 기술한다.
맬웨어 행동
해결방안
네트워크활동 폭증
이상행동에 대한 기준 형성
비정상적 시스템활동 발생
맬웨어 행동단서 이해
비정상적 네트워크활동 발생
시간대별 네트워크 트래픽데이터 추적하여 이상 식별
파편화된 기업‧시스템 운영 악용
모든 이해관계자에게 위협탐지정보를 제공하고 해당 이상행동과 이에 대한 해결방안을 이해하도록 조력제공
보안대책 취약점 노출
다른 기업과의 정보공유 통해 업계와 회사 측 비용 최소화
이상행동에 대한 기준 형성
기업 차원에서 인간과 기계 모두에 대해 정상적 네트워크 트래픽의 기준을 수립해야 한다. 보안분석가들이 정상의 기준을 이해하고 나면 이를 통해 임계점을 설정할 수 있다. 이러한 임계점은 일반적인 한계나 상한선처럼 향후 분석에 활용될 수 있다. 공격자들은 일단 공격대상 환경에 침투하고 나면 탐지될 위험이 적다고 간주한다. 그러나 위와 같은 기준점을 수립한다면 맬웨어활동이 주목받게 될 가능성을 대폭 높일 수 있다.
맬웨어 행동단서 이해
정상 트래픽에 대한 기준이 수립되고 나면 다음 단계로는 맬웨어의 기본적인 행동양상에 대한 이해가 필요하다. 첫 단계에서 설정된 임계점을 돌파하는 네트워크 트래픽이나 행동은 조사개시로 이어진다. 이 조사는 시스템상 맬웨어 의심대상의 최초출현지점과 행동에 초점을 맞춘다. 맬웨어의 기본행동양상에 대한 이해는 공격자의 진로를 예상하고 차단하기 위해 아주 중요하다.
시간대별 네트워크 트래픽데이터 추적
시스템 및 인간 부문의 기준에 대한 이해가 확립되고 나면 분석가가 시간대별 네트워크트래픽을 열람하여 이상징후 그리고 더욱 중요하게는 침탈의 발생여부 그리고 예상되는 공격진행을 판단할 수 있다. 카네기멜론대학교 소프트웨어공학연구소(The Software Engineering Institute at Carnagie Mellon)에 따르면 이상행동을 추적하는 데 사용된 핵심행과지표(key performance indicator, KPI)에는 바로 사람의 행동, 시스템 및 기술적 오류, 내부프로세스 오류, 외부사건 등이 있다고 한다. 시간대별 네트워크트래픽 추적의 중요성을 보다 자세하게 다룬 내용으로는 다음 링크 참조.
https://blog.threattrack.com/cso/why-tracking-network-traffic-is-important/
모든 이해관계자에게 위협탐지정보 제공
보안대책들이 방화벽, IDS/IPS, 패킷수집기, 엔드포틴트솔루션 등 조직의 다층보안대책을 이루는 각 보안계층에 파편화됨에 따라 의사소통의 간극이 문제로 떠올랐다. 네트워크의 활동 및 보안 현황을 종합적으로 파악하려면 개별 보고서나 분석의 조합이 요구된다. 따라서 효과적인 보안대책을 구축하려면 보안팀이 컨설턴트로 진화하여 핵심 이해관계자에게 투자, 인력, 기술 소요에 대해 알림으로써 최적의 보안방책을 유지해야만 한다. 이에 대한 추가 내용은 다음 링크 참조.
https://blog.threattrack.com/cso/how-to-give-threat-detection-visibility-to-non-it-stakeholders/
다른 기업과의 정보공유 통해 전체 위험 감소
사이버공격자의 주요 악용대상으로 업계 경쟁자들 사이의 정보공유 실패도 빼놓을 수 없다. 동종 업계에 종사하는 기업들은 서로를 경쟁자로 인식하기 때문에 위협에 대한 정보의 공유를 꺼리게 된다. 그러나 이러한 태도는 근시안적이고 맬웨어가 개별 기업을 효과적으로 각개격파하여 결국 업계 전체에 불이익을 끼치는 결과로 이어질 수 있으며 이는 병원에 대한 랜섬웨어 공격 사례를 통해 입증됐다. 지식이란 힘이며 힘이란 곧 과거 실패에 대한 교훈을 통해 개발된 솔루션이라는 형태로 응용되는 지식을 의미한다.
경계보안기술과 다층보안대책에 의존해 온 보안분석가들은 기술이란 결코 완벽할 수 없으며 맬웨어는 결국 어떤 식으로든 기술적 틈을 파고들게 된다는 점을 그 어느때보다도 절감하고 있다. 기준수립, 합리적인 네트워크 및 시스템 임계점 수립, 맬웨어 행동 이해, 회사 핵심이해관계자 및 업계 동업자에 대한 협조적 접근방식 수립을 통해 나날이 증가하는 맬웨어위협에 대한 대응에 큰 도움을 받을 수 있으며 보안분석가의 효용성을 대폭 향상할 수 있다. 네트워크 이상행동 탐지에 대해 보다 상세한 내용으로는 아래 링크의 ThreatTrack 최신 기술백서 참조.
Robert Bond, How to Detect Malware and Other Anomalous Behavior, 5. 23. 2016.
https://blog.threattrack.com/cso/detect-malware-anomalous-behavior/
번역: madfox
참고링크
반응형
