너무 많은 보안 솔루션 사용, 보안인력 부족, 공격표면 급증으로 기존 보안 대응으로는 한계
행위 기반 새로운 패러다임으로 대응 필요...수천여 대 감염돼도 1분 안에 복구 가능해야


[보안뉴스 김경애 기자] 고도화되는 보안 위협으로 인해 기존의 위협 대응에는 한계가 드러나고 있다. 기업에서는 너무 많은 보안 솔루션을 사용하고 있어 보안팀은 50개 이상의 툴부터 발생하는 알람에 수동으로 일일이 대응·분석해야 하는 상황이다. 반면, 보안사고 대응을 위한 보안 전문가 확보는 충분하지 못한 게 현실이다. 또한, 공격표면의 급격한 증가로 가시성 확보와 위협 차단이 제대로 구현되지 못하고 있는 실정이다.


이에 행위 기반의 새로운 패러다임으로 대응해야 한다는 의견이 제기돼 관심이 모아지고 있다. 센티넬원 박정수 이사는 ISEC 2023에서 “새로운 랜섬웨어는 기존 시그니처 기반에서는 탐지되기 어렵다. 새로운 랜섬웨어가 등장할 때 어떤 악성행위를 하는지, 행위를 보고 대응해야 한다”며 “행위 기반의 새로운 패러다임으로 엔드포인트를 보호하고 탐지 및 대응해야 한다”고 강조했다.

이는 실행 전 차단-> 알려진 공격 차단-> Unknown 공격 탐지·차단-> 악성 행위 및 공격 여부 분석-> 추가 감염 단말 차단 및 분석-> 일괄적으로 복원 및 복구되는 프로세스를 거쳐 대응해야 한다는 의미다.

이를 위해서는 먼저 OS, Identity, 이메일, CASB, SASE, 웹, THREAT INTEL, 샌드박스, 방화벽, CASE MGMT, 로그 LOG INGEST 등 출처를 불문하고 다양한 데이터를 수집해야 한다. 이를 통해 악성코드 탐지 + 차단 + 원격조치 대응이 통합적으로 구현돼야 한다는 것.

그러면서 박정수 이사는 “국내외는 물론 다양한 글로벌 보안제품의 로그를 수집해 EDR 기반으로 탐지하고, 클라우드 기반의 보안 구현이 가능해야 한다”며 “해커를 속여서 해커가 어떤 행위를 하는지 분석할 수 있도록 준비해야 한다”고 강조했다.

위협 분석은 단순히 파일을 암호화했다고 해서 랜섬웨어로 차단하는 게 아니라, 추가적으로 아떤 악성행위를 하는지, AI 기반의 다양한 알고리즘을 통해 분석하여 악성 여부에 대해 최종판단해야 한다. 분석 결과는 해시값 기준으로 클라우드에 공유돼 일괄적으로 빠른 차단이 가능하도록 해야 한다. 또한, 보안담당자가 원하는 정보를 원하는 형태로 바로 제공해 분석 시간과 최종 대응시간을 감소시켜야 효율적인 대응이 가능하다는 게 박 이사의 설명이다.


“무엇보다 이러한 대응은 하나의 콘솔에서 모든 게 컨트롤 될 수 있어야 한다”는 박정수 이사는 “1,000대, 2,000대의 시스템이 감염돼 있어도 원클릭으로 1분 안에 기존 상태로 복구가 가능해야 한다”고 말했다. 이어 “보안담당자가 탐지한 랜섬웨어를 볼 수 있도록 행위 기반으로 악성코드를 차단하고, 자동으로 네트워크를 정리하며, 관리자가 수동으로 네트워크에 격리시킬 수 있도록 보안을 강화해야 한다”고 강조했다.

또한, 사용자 일시 중지(Suspend User)로 감염된 사용자의 활성 세션을 종료하고, 암호 재설정(Reset Password)을 통해 감염된 계정에 대한 비밀번호를 강제로 재설정해야 하며. 인증 역시 유효한 MFA 토큰으로 강제 재인증(Force Reauthentication) 해야 한다고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>