2024-03-29 00:00 (금)
[MPIS 2017] 삼성SDS “기존 대응체계로는 실제 공격 탐지 어려워”
상태바
[MPIS 2017] 삼성SDS “기존 대응체계로는 실제 공격 탐지 어려워”
  • 길민권 기자
  • 승인 2017.05.22 02:12
이 기사를 공유합니다

다크트레이스‘엔터프라이즈 면역 시스템(Enterprise Immune System)’ 특징 소개

▲ MPIS 2017에서 한현희 삼성SDS 책임이 ‘머신러닝에 기반한 차세대 위협감지 및 분석 기술’을 주제로 강연을 진행중
▲ MPIS 2017에서 한현희 삼성SDS 책임이 ‘머신러닝에 기반한 차세대 위협감지 및 분석 기술’을 주제로 강연을 진행중
지난 5월 18일 개최된 국내 최대 의료기관 정보보호 컨퍼런스 MPIS 2017에서 한현희 삼성SDS 책임은 ‘머신러닝에 기반한 차세대 위협감지 및 분석 기술’을 주제로 강연시간을 가졌다.

이 자리에서 한현희 책임은 “글로벌 사이버범죄 시장은 452조원으로 추정된다. 전세계 GDP의 약 0.8%의 사회적 비용을 유발하고 있다. 특히 블랙마켓에서 희소성과 활용성이 높은 의료정보는 카드사 개인정보보다 50배 높은 50~1,000달러에 거래되고 있다. 또 2012년 이후 의료분야 보안사고는 기업보다 더 많은 증가세를 보이고 있다”고 우려했다.

▲ MPIS 2017 한현희 삼성SDS 책임 강연현장
▲ MPIS 2017 한현희 삼성SDS 책임 강연현장
또 그는 외부로부터의 해킹 공격 대응의 한계를 말하며 “현재 대응체계로는 실제 위협이 되는 공격을 탐지해 내기 어렵다. 악성코드 제작자는 백신 진단여부를 사전 검증해 회피 공격을 하고 있고 기존 보안솔루션은 신규 공격 유형에 대한 적시 패턴 등록이 어렵다. 그리고 APT 악성코드를 가상머신에서 실행되지 않도록 제작해 VM을 회피해 공격을 시도하고 지령서버를 계속 변경하는 공격기술을 사용해 공격IP를 탐지하기 어려운 상황”이라고 설명했다.

▲ 발표자료 이미지
▲ 발표자료 이미지
한편 내부자에 의한 유출 사고는 전체 유출사고의 21%에 달하는 주요 정보유출 사고의 원인이다. 현재 보안기술의 핵심 대응 목표에서 벗어나 있어 이에 대한 기술적 대응책 마련도 시급하다고 강조했다.

이에 삼성SDS는 현장에서 자사가 투자 및 총판을 하고 있는 “다크트레이스(Darktrace)’의 ‘엔터프라이즈 면역 시스템(Enterprise Immune System, 이하 EIS)’을 소개했다.

▲ 발표자료 이미지
▲ 발표자료 이미지
EIS는 네트워크 접점이나 사용자 PC에 설치되어 있는 기존 방어 수단들을 회피해 침입을 시도하는 사이버 위협을 탐지하고 그에 대한 조치를 취할 수 있게 해 주는 솔루션이다.

또 고도화된 수학적 기법을 솔루션에 내재해 네트워크와 시스템 상의 모든 행위를 인지하고 모니터링해 정상행위에서 벗어나는 이상행위를 감지해낸다. 기존의 탐지장비들은룰이나 시그니처에 기반해 알려져 있는 공격만을 탐지해 낼 수 있는 반면, EIS의 고도화된 수학적 접근방식의 머신러닝 기능은 룰셋이나 시그니처를 사용하지 않기 때문에 지금까지 알려져 있지 않았던 새로운 공격 형태도 탐지해 낼 수 있다고 설명했다.

그리고 어플라이언스 장비 형태로 실시간 네트워크 흐름을 복제해 연결할 수 있다. 네트워크에 연결이 되면 머신러닝 기능을 통해 개인 사용자뿐만 아니라 네트워크 상의 모든 시스템을 대상으로 사용 패턴을 스스로 학습(non-supervisory machine learning)하게 되고, 이렇게 솔루션 스스로 터득한 정상 패턴을 기반으로 네트워크 상의 이상행위를 탐지하게 된다. EIS는 설치된 이후부터 지속적으로 학습을 수행하기 때문에 조직에 변화가 생겨도 이에 따른 네트워크 및 시스템 사용 패턴을 자동으로 업데이트 한다.

한편 정상 패턴을 기반으로 사용 패턴의 작은 변화도 감지해 낼 수 있다. 따라서 외부 침입에 의한 정보 탈취나 악성코드 감염은 물론, 불만을 품은 직원이나 근무 태만으로 발생할 수 있는 내부위협 까지도 감지해 낼 수 있다.

EIS를 통해 탐지해 낼 수 있는 대표적인 예시로, 평소 접속하지 않던 인터넷 도메인에서 다운로드, 인트라넷 또는 파일 시스템 복제, 등록되지 않은 장치 또는 위치에서 데이터에 접근, 비정상적인 응용 프로그램 또는 프로토콜의 실행, 업로드 패턴의 변화 등이 있으며, 이러한 현상들은 정상적인 행동과는 확연한 차이가 있기 때문에 탐지 후 즉시 조사 및 조치를 취해야 한다고 설명했다.

한현희 삼성SDS 책임의 MPIS 2017 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★