솔루션
[2013년 강화된 금융 IT보안 대책] 지능적 공격으로부터 엔드포인트를 보호할 전략은?
디지털데일리
발행일 2013-08-22 16:27:55
[디지털데일리 이민형기자] “제로데이나 지능형지속가능위협(APT) 등의 지능적인 공격으로부터 기업의 단말(엔드포인트)를 보호하기 위해서는 단말의 보안시스템과 관리시스템을 개선하는, 이른바 사전대응 기술을 도입해야 합니다.”
22일 서울 명동 은행연합회관 국제회의실에서 <디지털데일리> 주최로 개최된 ‘2013년 강화된 금융 IT보안 대책과 효과적 대응전략을 위한 특별 세미나’에서 강기호 시만텍코리아 컨설턴트<사진>는 각종 보안위협에 대응할 수 있는 사전대응기술을 도입해야 한다고 강조했다.
강 컨설턴트는 최근 등장한 보안위협에 대응하기 위한 8가지의 사전대응기술을 소개했다.
일반적으로 공격자들은 표적공격형 메일(스피어피싱)을 사내 직원에게 전송한 뒤 시스템 접근 권한을 탈취하는 방법으로 내부정보를 빼낸다. 하지만 담당자가 그 권한을 가지고 있지 않다면 공격자가 내부정보를 탈취하기는 쉽지 않다.
강 컨설턴트는 “시스템에서 관리자 권한을 사용할 경우, 취약점 공격의 타깃이 되는 애플리케이션의 보호가 필요하다”며 “이는 외부에서 취약점 공격 시 관리자 권한 획득을 원천적으로 차단해 시스템 보안을 강화할 수 있다”고 말했다.
사용자에게 관리자 권한을 부여하지 않는 것은 보안의 관점에서는 옳은 일이지만 업무효율성에서는 바람직한 상황은 아니다. 애플리케이션을 설치하거나 백업 등의 행위에는 관리자 권한이 필요하기 때문이다.
이를 위해 관리자 권한을 필요시에만 부여해야 한다는 것이 시만텍의 생각이다. 관리자 권한이 없어도 해당 기능은 사용할 수 있도록 표준사용자 계정의 권한을 상승시켜주면 되는 일이다.
강 컨설턴트는 “관리자 권한이 필요한 기능을 표준사용자가 사용하려고 할 때, 허용된 행위라면 그 행위에 한해서 관리자 권한을 부여하면 보안문제와 업무효율성 문제를 모두 해결할 수 있다”고 설명했다.
시만텍은 내부시스템으로 접근하는 악성파일을 탐지하기 위해서 다양한 방법을 제안한다. 네트워크 기반 탐지를 비롯해 파일 기반 보호, 평판 기반 보호, 행위 기반 보호 등이 그것이다.
파일 기반 보호는 일반적인 백신을 의미하며 평판은 해당 파일의 라이프사이클을 분석해 신규 파일일 경우 걸러내는 방식이다. 행위 기반 보호는 악성으로 의심되는 파일이 실제로 어떤 행위를 하는지 분석한 뒤 배제하는 방법이다.
이에 대해 강 컨설턴트는 “시만텍은 빅데이터 알고리즘을 적용해 평판 시스템을 구축했다”며 “중장기적인 관점에서 좋은 평판을 얻는 파일들은 화이트리스트로 만들어 그 이외의 파일들을 차단하는 방법을 사용할 수도 있다”고 말했다.
강 컨설턴트는 내년 4월 지원이 종료되는 윈도XP에 대한 보안책을 마련해야한다고 주장했다. 그는 “내년 4월부터는 윈도XP의 취약점이 발견되도 이를 해결할 수 없다”며 “그전에 윈도XP를 상위버전으로 재설치해야하며, 이에 따라 애플리케이션 호환성도 점검해야 한다”고 강조했다.
시만텍 엔드포인트 시큐리티 리미디에이션 스위트는 사전 부팅 실행 환경(PXE) 서비스를 제공해 엔드포인트에 설치된 운영체제와 애플리케이션 관리를 지원하며, 앞서 언급된 관리자 권한 조정과 다차원의 악성파일 탐지 기능 등을 모두 제공한다.
끝으로 강 컨설턴트는 “기존 시스템은 다양한 사전보호수단을 적용하고, 망분리 환경에서는 표준환경을 유지할 수 있는 방법을 마련해 적용해야 할 것”이라고 말했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지