다크트레이스 제시 부사장, 전세계적으로 공격 범위 넓어지고 정교화되는 추세
사이버보안, 이제는 사람이 따라잡기 어려워...AI 기반 자동화 통해 자율적으로 대응해야
[보안뉴스 기획취재팀] 러시아와 우크라이나 전쟁 이슈를 비롯해서 국내 금융권 개인정보 유출, 그리고 클라우드 사용 확대 등의 디지털 대전환 추세 속에 전 세계적으로 사이버공격이 들끓고 있다. 공격 범위는 갈수록 넓어지고 수법도 날로 고도화됨에 따라 기업은 속수무책으로 당하는 상황이다. 이에 따라 이제는 방어도 사람을 넘어 AI에 기반한 기술로 알아서 자동 대응하는 시스템으로 보안 환경을 변화시켜야 한다는 의견에 힘이 실리고 있다.
▲Jasie Fon 다크트레이스 아시아 영업 부사장, Tony Jarvis 다크트레이스 아태 및 일본 보안 이사, 김기태 다크트레이스 코리아 지사장[사진=다크트레이스]
이에 <보안뉴스>는 다크트레이스의 제시(Jasie Fon) 아시아 영업 부사장(VP of SAles, Asia), 토니(Tony Jarvis) 엔터프라이즈 보안 이사(Director of Enterprise Security, Asia Pacific & Japan), 김기태 한국지사장과의 인터뷰를 통해 최근 보안 이슈와 대응방안에 대해 들어봤다.
▲다크트레이스 제시 아시아 영업 부사장(VP of SAles, Asia) [사진=보안뉴스]
Q. 한국시장을 어떻게 보시는지, 그리고 한국시장에 특별히 관심 갖는 이유가 무엇인지 궁금합니다.
제시 부사장 : 다크트레이스는 2021년 4월 30일 영국 증권거래소에 상장했습니다. 이후 R&D 투자는 40% 성장했는데, 고객의 피드백을 반영해 R&D에 반영했습니다. 핵심개발팀은 100% 성장하는 성과를 이뤘고, 100여개 특허를 출원했습니다. 이러한 기술 고도화에 따른 차별화는 고객의 혜택으로 돌아갈 것입니다. 현재 6,800여개 고객사를 보유하고 있으며, 101여개 국에서 활동하고 있습니다.
아시아는 일본, 인도, 동남아 등을 대상으로 사이버보안 솔루션을 제공하고 있으며, 한국은 핵심 시장으로 앞으로도 계속 주력할 지역으로 보고 있습니다. 30년 경력의 김기태 지사장을 임용한 이유도 바로 한국이라는 핵심시장 공략을 위해서입니다. 한국은 현재 대기업 위주로 솔루션 공급을 확장시키고 있습니다. 전자상거래, 제조, 금융, 인프라, 교육 분야 등 우리의 솔루션이 필요한 곳이 많기에 잠재력이 높은 시장으로 보고, 여러 산업군으로 영업을 확대하고 있습니다.
▲다크트레이스 토니(Tony Jarvis) 엔터프라이즈 보안 이사 (Director of Enterprise Security, Asia Pacific & Japan)
Q. 최근 전 세계적인 사이버 공격 흐름에 대해 설명해 주신다면?
토니 이사 : 최근 발생하고 있는 전세계적인 사이버공격 흐름은 2가지의 핵심 트렌드로 나눠 볼 수 있는데요. 먼저 지난 몇 년간 지속된 랜섬웨어 공격이 매년 증가하고 있는 추세이며, 고도화되고 있는 게 특징입니다. 특히, 특정 조직 감염을 목적으로 한 킨싱 랜섬웨어에 주목하고 있습니다.
다음으로는 공급망 공격 이슈가 지속적으로 늘고 있다는 점입니다. 공격자가 여러 공급업체의 네트워크를 침해해 시스템을 장악한 후, 해당 업체를 활용해 메인업체를 침해하는 것인데요. 이는 전세계적으로 공통된 양상이며, 공격대상과 공격량은 갈수록 증가하는 추세입니다.
맥라렌(Mclaren) 공격 사례를 예로 들면, 맥라렌은 핸들, 바퀴 제조 업체 등 여러 공급업체와 협력하다 보니 공급망 리스크 위협이 존재했습니다. 공격자는 12명의 직원을 대상으로 피싱 이메일 공격을 시도했습니다. 이들은 네트워크에 침입해 정보탈취를 목적으로 공격했으며, 음성 메시지 관련 내용으로 이메일 클릭을 유도해 가짜 로그인 페이지로 유인했습니다. 사용자가 정보를 입력하면 정보를 탈취하는 수법입니다.
12명의 직원은 고위직으로 실제 침해가 발생했다면 재무정보, 전략적으로 중요정보 등이 탈취될 수 있었습니다. 이외에도 최근 러시아-우크라이나 전쟁 이슈와 관련해 고객사에게 특정 공격 정보, 주의 권고, 지표 등을 업로드해 제공하고, 이에 대비한 솔루션 설정을 안내하고 있습니다.
Q. 한국에 특화된 공격 흐름에 대해 말씀해 주신다면?
토니 이사 : 국가별, 지정학적으로 구분해 운영하진 않지만, 데이터 유출, 컴플라이언스 이슈가 있습니다. 특히, 지난해 12월 로그4J 취약점 공격은 매우 심각한 공격이었습니다. 많은 기업들이 대응시간이 부족해 어려움을 겪은 바 있습니다.
인터넷과 연결되는 IP주소가 기업과 연결된 적 없는 IP로 파악돼 그 점에 초점을 두고 비정상으로 분류했습니다. 그런 식으로 기업 환경에서 연결된 적 없는 IP가 연결되고, 서버가 감염되는 과정 등에 대한 정찰 활동을 통해 정보가 탈취하는 것을 탐지한 바 있습니다.
Q. 사이버공격에 방어하기 위한 골든타임은 어느 정도를 의미하는지?
토니 이사 : 공격 발생 시점부터 이를 인지하는 사이의 기간이 보통 수개월인데, 이 기간이 길어지면 침해 범위는 넓어지고 복구하기도 쉽지 않습니다. 가장 이상적인 골든타임은 공격이 발생하자마자 바로 저지하는 시간을 확보하는 것입니다. 자동화된 자율 대응 솔루션으로 더 악화되지 않도록 바로 적용해야 합니다.
Q. 기업에서 가장 많이 발생하는 클라우드 보안 이슈는?
토니 이사 : 기업 상당수가 클라우드를 제대로 활용하지 못해 보안에서도 문제가 발생하고 있습니다. 클라우드 환경에 맞게 새로운 정책, 사용자 권한, 아키텍처 등을 다르게 설정하고 바꿔야 하는데, 온프레미스 환경처럼 그대로 옮겨(LIFT & SHIFT) 취약점이 많이 발생하고 있습니다.
▲다크트레이스 김기태 한국지사장[사진=보안뉴스]
Q. 최근 다크트레이스가 발견한 개인정보 유출 이슈와 대응과정에 대해 설명해 주신다면?
김기태 한국지사장 : 금융권의 경우 민감한 개인정보가, IT 기업에서는 데이터 유출 사고가 잇따라 발생하고 있습니다. 금융권의 경우 내외부망으로 분리돼 있고, IT 기업의 경우 여러 보안 시스템이 구축돼 있음에도 불구하고 유출사고를 막을 수 없었습니다.
이에 대응하기 위해서는 모범사례를 찾아보고 이를 교훈으로 삼아야 합니다. 또한, 많은 공격이 이메일을 통해 감행되기 때문에 직원들이 임의로 악성파일을 다운로드하지 않도록 직원들의 보안교육을 통한 내부 보안을 강화해야 합니다.
Q. 다크트레이스에서 언급한 전 세계 최대 해커조직인 러시아 기반 ‘콘티’ 랜섬웨어 그룹의 최근 공격 동향이 궁금합니다.
토니 이사 : 랜섬웨어 해커조직 ‘콘티(Conti)’는 수면 위로 자신의 정체가 드러난 이후부터는 공격 활동을 자제하고 사후 상황을 예의주시하고 있습니다. 보통 해커그룹은 발각될 경우 내부적으로 분열되거나 새로운 이름과 그룹으로 다시 활동하곤 하는데요. 콘티의 경우도 다른 특정조직에서 비슷한 공격 스타일과 패턴 양상이 나타나고 있어 뿌리는 동일하게 추정하고 있습니다.
Q. 사이버공격 예방책으로 기업에게 당부하고 싶은 말씀은?
제시 부사장 : 전 세계적으로 공격 범위가 넓어지고 정교화되고 있어 이제는 사람이 따라잡기 어렵습니다. 디지털 환경 변화와 보안 전문인력 부족으로 기존 보안기술로는 대응이 어려운 상황입니다. 이젠 사이버보안 위협도 AI 기술에 기반한 위협탐지를 통해 자동으로 대응할 수 있는 환경으로 변화돼야 합니다.
출처 : https://www.boannews.com/media/view.asp?idx=106817&fbclid=IwAR2QCfMfmvCkXA0xHawWhvb_uDVhUqHaCxS-Sen7dAeMTmESVS7J0Zc8oRw