Ahn Lab ISF2013
매년 열리는 통합보안기업 안랩 융합 보안 전략 컨퍼런스 (AhnLab ISF)에 Track C를 다녀왔습니다.
Track C 는 차세대 보안 관제와 디지털포렌식, 온라인 사기 대응 방안을 다루는 내용이였습니다.
디지털 포렌식,
사라진 흔적까지 추적한다!
최근 피해가 늘어나고 언론화되는 APT 공격에따른 보안 위협에 대응하는 핵심 기술인 포렌식으로 사라진 흔적을 복구하여 신속하게 APT 공격에 대응할수있는 기술을 설명되고있습니다.
2008년 옥션의 APT 공격으로 시작하여 다양한 APT 공격이 언론화되어 기업들의 APT 대응방안을 강조하고있습니다.
일반적 공격과 APT 공격을 비유하자면 APT공격은 암에 비유할수있다. 탐지하기가 어렵고 시간이 얼마가 걸리든 타겟을잡은 목표의 데이터를 유출시키기위해 계속 변하는 공격을 시도합니다.
이러한 시스템 내의 공격을 파악하려면 정밀검사를 해야 하는데 시스템 안에 파일의 수는 엄청난 데이터를 가지고 있기 때문에 이러한 데이터들의 흐름을 전부 통제가 힘들다고 볼 수 있는데 그러므로 어떠한 곳도 안전하다고 볼 수는 없습니다.
APT 환경에서 부각되는 디지털포렌식이란 외부 혹은 내부에서 시작된 정보를 습득하고 분석하여 그것을 증거로 확보하는 기술로써 공격을 최대한 빠르게 인지할 수 있도록 하는 역할을 합니다. 또한 언제 공격이 시작되었는지 어떤 식으로 공격이 되었는지도 알아내어 다음 공격을 예방할 수 있도록 할 수 있습니다.
온라인 사기 대응 방안
감염을 시키려고하는 pc에서 감염이 시작되고 감염이 퍼지게됩니다. 그리고 그 감염을 시킨 관리자가 예전과 같았다면 어떠한 서버에 DDos 공격을 진행하여 막대한 양의 패킷이 흘려보낸다던가 하는 공격을 하였지만 현재는 감연되 사용자의 개인정보등을 수집하여 이러한 정보등으로 금전적 이익을 챙기는 것이 가장 중요한 목적이 되었습니다.
과거에는 이러한 사기행위를 하기위해서는 한사람의 공격자가 굉장히 열심히 시간을 들여야하였지만 이러한 것이 하나의 인프라를 구축하게되어 점점 진화하고있습니다.
A라는 곳에서 B라는 곳으로 중계 수수료를 받고 사용자의 정보를 거래하는 조직화 되어있습니다. 이러한 거래들은 사그룹화 되어 채팅방 또는 폐쇄망형태의 웹사이트로 지속적인 거래가 진행중이며 이러한 상황은 직접 참가하지않는다면 모니터링이 불가능하여 최근 몇몇기업들은 직접 사람을 투입시키고있습니다.
증가하는 이러한 공격에 따른 웹사이트 보호 방안으로는 U-OTP 디바이스 ID, 네트워크 쪽으로는 방화벽 강화 ,어플리케이션에서는 소스코드분석 및 모의 해킹이 진행되고있다
또한 정상적인 사용자와 비정상적인 사용자를 구별하는 방법을 점차 찾아가고있습니다.
이러한 방법으로는 페이지의 접근 순서를 보는 방법이 있습니다 일반적사용 자는 순차적으로 페이지에 접근하여 행동을 취할텐데 비정상적 사용사는 바로 어떠한 행위를 실행할 페이지로 접근하여 이상행동을 보입니다.
다른 방법으로는 Man In the Middle(하나의 세션에 IP가 다수인경우) 분석으로 IP,계정별로 세션을 분석하여 중복되거나 했을때 이상행동을 하는 IP를 찾는 방법입니다.
이러한 보안 시스템들이 구축되기 위해서는 빅데이터 시스템이 적용되어야합니다 로그로는 부족한 정보를 전체적인환경을 모니터링할수있도록 해주는 빅데이터 시스템으로 즉각 대응할수있도록 해주는 것이 현재 온라인사기 대응에 가장 중요한 부분이라 할수있습니다.
댓글 없음:
댓글 쓰기