안녕하세요. 에쓰씨케이입니다.
최근 이득을 취할 수 있다면 대상을 불문하고 감행되는 사이버 공격이 모든 산업에 걸쳐 보안에 대한 경각심을 불러 일으키고 있습니다. 특히 국가적 중요 자산과 기밀을 보유하고 있는 공공기관에는 산업의 특성을 고려하여 최적화된 위협 관리 체계가 구성되어야 합니다.
안랩에서는 자사의 침입방지시스템(IPS) 솔루션 ‘AhnLab AIPS’와 차세대 네트워크 통합 위협 관리 플랫폼 ‘AhnLab TMS’가 유기적으로 연동하는 공공기관 맞춤형 위협 관리 솔루션 구성을 제안하였습니다. 이번 컨텐츠에서는 안랩 위협 관리 솔루션의 장점과 활용 사례에 대해 확인하실 수 있습니다.
2020년 국정감사에서 나온 통계 자료에 따르면, 최근 5년간 국가와 공공기간의 사이버 공격 피애가 천여 건 이상 발생했습니다. 원자력 연구소, 한국항공우주산업 등 중요 기관에 대한 해킹 사고로 국가적인 불안감이 고조되고 있습니다. 이러한 해킹 위협은 최근의 이슈가 아닌 과거부터 지속되고 있습니다. 국내 해킹 역사를 언급할 때 자주 회자되는 2003년 1.25 대란이 있는데, 이 사건을 계기로 공공기관의 위협 관리 솔루션 TMS(Threat Management System)가 탄생하게 되었습니다.
국가정보원은 2003년 발생한 1.25 인터넷 대란을 계기로 사이버 공격에 대한 종합적이고 체계적인 예방·대응을 위해 2004년 2월, 국가사이버안전센터(NCSC, National Cyber Security Center)를 설립했으며, 국가정보원법 개정 및 사이버안보 업무규정 제정에 따라 2021년 1월 국가사이버안보센터(NCSC, National Cyber Security Center)로 명칭을 변경하였습니다.
국가정보원법이 개정되고 사이버안보업무규정이 신설되면서 공공기관의 사이버 위협 예방과 대응에 대한 중요성이 재차 강조되고 있으며, 이미 많은 공공기관에서 위협 관리 솔루션 TMS가 기본 솔루션으로 구축 및 운영되고 있습니다. 보안에 대해 법률적으로 한번 더 명시한 것은 그만큼 사이버 위협이 증가하고 있고, 이에 대한 대응 방안의 중요성이 더욱 커지고 있다는 방증입니다.
안랩의 위협 관리 솔루션은 매니지먼트 솔루션인 AhnLab TMS와 센서 솔루션인 AhnLab AIPS로 구성되어 있습니다.
매니지먼트를 담당하는 AhnLab TMS는 다수의 센서에 대한 통합 정책과 설정 관리를 수행합니다. 다양한 분석 기능을 통해 센서로부터 수집된 탐지 정보들에 대한 위협 분석을 진행하고 사용자에게 직관적인 모니터링을 통한 가시성을 제공합니다. 또한 빅데이터 엔진이 적용되어 대용량 이벤트에 대한 고속 처리와 빠른 분석이 가능합니다.
센서인 AhnLab AIPS는 네트워크 위협에 대해 PCRE와 Snort 탐지 규칙을 바탕으로 취약점과 웜(Worm) 등의 위협을 탐지하고, YARA 엔진을 통해 악성코드 파일의 위협을 탐지합니다. 안랩의 분석 조직인 ASEC에서 제공하는 C&C 서버 IP 목록을 매일 업데이트하여 해킹 공격을 탐지 및 차단해 공공기관을 안전하게 보호합니다.
안랩 위협 관리 솔루션은 기본적으로 위협 관리 매니저 AhnLab TMS와 센서인 AhnLab AIOS는 아래 그림과 같이 구성되어 있습니다.
그림1 (안랩 위협 관리 솔루션 기본 구성)
공공기관에 대한 위협 관리 솔루션은 국가사이버안보센터(NCSC)의 종합분석시스템으로부터 네트워크 트래픽 기반의 위협을 탐지하는 PCRE/Snort 탐지 정책과 파일 기반의 악성코드를 탐지하는 YARA 탐지 정책이 공공기관 사이버안전센터에 설치된 안랩과 같은 보안 솔루션 벤더의 TMS 매니저를 통해 하위 기관의 TMS 매니저나 AIPS에 적용되는데, 안랩과 같은 벤더에서 배포하는 제조사 탐지 정책과 고객사의 관제 조직에서 자체적으로 만든 탐지 정책도 함께 하위 기관으로 배포됩니다.
하위 기관에 설치된 AhnLab AIPS는 네트워크에 인라인(Inline) 형태로 설치되어 IPS로 운영하거나, TAP(Test Access Prot)장비나 스위치의 포트 미러링을 통해 IDS(Intrusion Detection System)로 운영됩니다. 상위 기관으로부터 배포 받은 탐지 규칙에 따라 네트워크의 위협 이벤트를 탐지하고, 탐지된 이벤트를 TMS를 통해 상위기관 사이버안전센터로 전송, 최종적으로 NCSC의 종합분석시스템으로 전달되는 형태로 구성됩니다.
각 공공기관별로 사이버안전센터를 운영하고 있는데, 대표적으로 교육부 사이버안전센터(ECSC) 연동을 예로 들 수 있습니다. 교육부 사이버안전센터(ECSC)는 위협탐지 센서를 네트워크 위협을 탐지하는 NTM(Network Threat Management) 장비와 멀웨어 위협을 탐지하는 MTM(Malware Threat Management) 장비로 구분합니다. 안랩은 2021년 진행한 ECSC 테스트에서 NTM 장비, MTM 장비. NTM 장비, NTM+MTM 혼용 장비로 적합 판정을 받았습니다. AhnLab TMS와 AhnLab AIPS는 교육기관에서 NTM 장비 또는 NTM+MTM 혼용 장비로 사용이 가능합니다.
교육부 산하 기관에서는 NCSC 연동에서 PCRE와 YARA 탐지를 모두 지원하더라도 ECSC 테스트를 통과한 보안 제품만 사용할 수 있으며, 안랩의 TMS와 AIPS는 다른 동종 제품들과 다르게 교육부 산하 기관에서도 PCRE(NTM)와 YARA(NTM+MTM 혼용) 탐지를 한 장비에서 지원할 수 있는 장점이 있습니다.
특히 관리를 담당하는 AhnLab TMS는 고객사의 다양한 환경에 따라 유연하게 구축할 수 있도록 다양한 구성을 제공합니다.
그림2 (AhnLab TMS의 유연한 구성)
AhnLab TMS는 위의 그림과 같이 상위 기관에 별도의 배포 및 수집 서버를 구성할 필요 없이 TMS 매니저를 통해 다단계 릴레이 구성을 제공합니다. TMS 매니저도 용도에 따라 통합형이나 정책 또는 로그 전용 단독형 장비로도 구성이 가능하기 때문에 고객의 다양한 환경에 맞게 유연하게 구축할 수 있습니다.
안랩 위협 관리 솔루션은 각 기관별로 최적화된 구성 방식에 대한 고민과 함께 보안 위협 탐지를 위한 탐지 정책, 효율적인 관리 및 위협 모니터링 등 여러 고려 사항들이 있습니다. 공공기관에서 안랩 위협 관리 솔루션을 활용하면 다음과 같은 이점을 누릴 수 있습니다.
첫째. 차별화된 위협 탐지 정책을 통해 공공기관을 더욱 안전하게 보호합니다.
NCSC에서 배포하는 탐지패턴은 기관이 도입한 위협 관리 솔루션의 종류와 상관없이 공통적으로 적용되기 때문에 각각의 솔루션 벤더들이 자체적으로 만들어 배포하는 탐지 패턴에서 위협 관리 솔루션의 가장 큰 차이가 발생합니다.
둘째. 자체 악성코드 분석 연구소를 통해 국내 환경에 최적화된 위협 탐지 패턴을 개발할 수 있는 역량을 갖추고 있습니다. 악성 코드 분석 인프라를 바탕으로 탐지 패턴 업데이트를 통해 제공하며, 네트워크 위협 데이터베이스 기반 IPS 시그니처, C&C 서버 IP의 차단 목록 alca DKRTJD uu DB를 제공하여 고도화된 보안 위협들을 탐지 및 차단할 수 있습니다.
셋째. 최신 발표되는 국내외 중요 취약점 정보를 분석하여 취약점 예/경보 기능을 제공합니다. AhnLab TMS는 아래 그림과 같이 ATIP(AhnLab TIP)와 실시간으로 연동하여 TMS 제품에서 보안 권고문을 통해 취약점 관련 정보를 제공합니다.
그림3 (AhnLab TIP와 연동을 통한 보안 권고문)
넷째. AhnLab AIPS는 고객사의 효율적인 정책 관리를 위해 고객사의 네트워크 구간을 Security Zone으로 구분하여 별도의 보안 정책을 적용할 수 있습니다. TMS 매니저는 다수의 AIPS 장비를 대상으로 고객사의 네트워크 망별 프로파일 기반의 별도 정책 그룹을 관리할 수 있도록 지원을 통해 NCSC 배퓨 정책과 고객사의 다양한 정책들을 효율적으로 관리할 수 있게 됩니다.
마지막으로 안랩의 위협 관리 솔루션을 활용하면 탐지된 위협 정보에 대한 효율적인 모니터링 환경 조성과 심층적인 위협 분석이 가능합니다. 안랩의 위협 관리 솔루션은 제품에서 제공되는 기본 대시보드 외에도 사용자 계정별로 대시보드를 생성하고 커스텀 위젯을 만들어 모니터링 할 수 있습니다. 위젯은 관리자가 필요한 정보의 형태에 따라 표나 차트 등 다양한 형태로 생성할 수 있습니다.
안랩의 위협 관리 솔루션 NCSC 연동을 위한 기본 요구사항을 모두 충족하며, ECSC 연동 테스트를 통과하는 등 다양한 기관에서 운영이 가능하다는 것을 공식적으로 입증하였으며, 안랩의 오랜 보안 노하우와 기술력을 바탕으로 위협 탐지 패턴 제공, 위협 분석, 모니터링 측면에서도 공공기관에 더욱 많은 이점을 제공하면서 빠르게 레퍼런스를 확대해 나가고 있습니다.
또한 각 제품의 기술적인 발전도 눈 여겨 볼만 합니다. 안랩을 올해 2분기와 3분기 각각 AhnLab TMS(TMS 2000B, 10000B, 20000B)와 AIPS(2000B, 5000B, 10000B, 20000)의 신규 모델을 출시했으며, 두 제품 모두 고사양의 하드웨어를 통해 기존 모델 대비 성능을 대폭 개선했습니다. 뿐만 아니라 다양한 라인업을 제공하여 고객들로 하여금 상황과 규모에 맞게 솔루션을 고를 수 있도록 선택지를 넓힌 것이 특징입니다.
최근 보안 솔루션들의 취약점 문제가 이슈가 되고 있으며, 공공기관에게 있어 기술 유출과 같은 치명적인 사고로 번질 수 있지만, 안랩은 이러한 위협을 미연에 방지하기 위해 제품 자체의 지속적인 기술 개발과 취약성에 대한 보안 강화는 물론이고, 공공기관을 타겟으로 하는 사이버 보안 위협에 대해서도 심도 있는 연구를 진행하여 공공기관의 견고한 보안 환경을 조성합니다.
안랩 위협 관리 솔루션인 TMS와 AIPS는 사이버 보안 위협으로부터 공공기관을 보호하는 최고의 선택이 될 것입니다.
출처: 안랩보안매거진 9월호
