최근 몇 년 동안 사이버 세상은 잇따른 지능형 지속 위협(APT: Advanced Persistent Threat) 공격으로 몸살을 앓고 있다. 시만텍 인터넷 보안 위협 보고서에 따르면 2014년 한 해 동안 직원 수 2500명 이상 대기업 6곳 가운데 5곳이 표적 공격의 피해를 본 것으로 나타났다. 이러한 공격에 대응하기 위한 최적의 방안으로 현재 가장 주목 받는 것이 ‘ATP(Advanced Threat Protection) 솔루션’이다.
세계 시장에는 이미 다양한 종류의 ATP 솔루션이 출시됐다. 많은 기업이 보안 위협에 효과 높게 대응하는 능력을 제공하는 ATP 솔루션 도입을 고려한다. 성공적 도입을 위해서는 어떤 점을 고려해야 하는지 ‘ATP 솔루션 선택을 위한 5계명’을 소개한다.
첫째 전 영역을 통합 커버하는지 살펴보자. 지능형 위협은 어느 한 영역만을 표적으로 하지 않는다. 네트워크, 이메일, 엔드포인트 등 각각 컨트롤 포인트 위협을 포괄해 전 영역을 커버해야 한다. 커버하지 못하는 영역이 한 곳이라도 있다면 최적 대응 능력은 상실된 것이나 다름없다. 각 영역에서 개별 보안 제품이 필요 없는 통합대응형 솔루션을 사용하면 중복되는 보안 알림을 줄여서 인력과 시간 절감에 도움이 된다.
둘째 위험도가 높은 위협에 먼저 대응하도록 우선순위를 정하자. 여러 가지 위협이 동시 다발로 탐지됐을 때 어떤 위협을 최우선으로 처리해야 하는지 선택이 어렵다. 한 기업에서 사용하는 보안 제품은 보통 75개에 이른다. 다수 보안 제품에 따른 과잉 탐지는 중대한 위협을 파악하고 대응하는 작업을 더디게 한다. 우선순위 기술 탑재 여부는 중요한 고려 사항이다.
셋째 오탐지율을 확인하자. 보안 솔루션 기본 역할은 위협 탐지다. 무조건 탐지율이 높다고 해서 반드시 우수한 솔루션이라고 보기는 어렵다. 많은 위협이 동 시간대에 탐지되는 상황에서 대응이 꼭 필요한 위협을 정확하게 탐지해 내는지가 관건이다. 오탐지율이 0에 가까울수록 그만큼 불필요한 시간을 단축해 시급한 위험을 처리하기 유리하다. 기업이 높은 수준의 보안을 유지할 수 있도록 돕는다.
넷째 엔드포인트 상에서 조치가 즉각 처리되는지 살펴보자. 위협 요소가 감지됐을 때 빠르게 조치해야 피해를 줄인다. 시스템 전체 환경에서 확인하고 문제가 된 지점에 일일이 개별 조치를 취하는 것보다 단일 콘솔에서 원격으로 엔드포인트를 포함한 전체 영역 위협을 일괄 차단하는 것이 빠르고 효과가 있다. 즉 ‘차단’ ‘탐지’에서부터 문제 해결과 사고 조치를 수행하는 ‘대응’까지 원 클릭으로 처리하면 그만큼 효과 높게 보안 위협에 대응한다.
마지막으로 기존의 인프라와 함께 사용하는지 확인하자. 기업은 이미 많은 보안 제품을 사용한다. ATP 솔루션 도입 시 기존 제품과 호환이 가능한지를 검토하고 보안 대응체계를 쉽게 구축 및 확장하는 환경을 마련해야 한다. 새로운 솔루션 도입을 위해 기존 제품을 교체하면 또 다른 비용이 든다. 기존 투자를 활용하는 호환성 높은 제품을 선택, 총소유비용(TCO)을 절감한다.
기술이 발전하는 만큼 위협도 지능화되기 때문에 완벽한 보안 솔루션은 없다. 특히 APT처럼 침투 형태가 매우 교묘한 공격 전부를 예측해 선제 차단한다는 것은 현실에서 어렵다. 중요한 것은 공격 ‘차단’이 아니라 공격 발생 후 피해 현황을 빠르게 ‘파악’하고 제대로 ‘대응과 조치’를 취할 수 있느냐에 초점을 맞춰야 한다.
사전 탐지와 사후 대응이 가능한 다계층성 ATP 솔루션을 통해 통합 가시성을 확보하는 것이 최우선이다.
박희범 시만텍코리아 대표 Phillip_park@symantec.com