"최근 급증하고 있는 지능형지속공격(APT)도 빅데이터를 활용하면 대응이 가능합니다"
17일 서울 도곡동 한국IBM 본사에서 만난 최용(37∙사진) IBM 보안담당 매니저는 IBM이 수집한 다량의 데이터를 바탕으로 해커들의 공격을 막을 수 있다고 밝혔다. 실제 IBM은 보안 전문연구소인 '엑스포스(X-Force)'를 통해 하루 평균 150억건(초당 약 15만건)의 데이터를 분석 중이다. 엑스포스에는 핵심 연구원 150명을 비롯 총 2,000여명이 일하고 있으며 전세계 악성코드와 스팸메일 등이 집중 분석 대상이다. 최 매니저는 "하나의 솔루션에 의지하는 것이 아니라 모든 데이터를 분석해 해커들의 공격에 맞춤 대응하기 때문에 다방면에서 대처가 가능하다"고 전했다. IBM의 경우 전세계 9개 지역에 엑스포스와 연계된 보안대응센터(SOC)가 있으며 국내에서도 해커에 준하는 실력자들이 모의 해킹을 통해 관련 데이터를 엑스포스에 제공하고 있다.
해킹 방지를 위해서 수많은 데이터가 필요한 이유는 빈번하게 발생하고 있는 지능형지속공격(APT) 등 때문이다. 지능형지속공격은 페이스북이나 트위터와 같은 소셜네트워크서비스(SNS)상 지인으로 위장해 메일을 보낸 후, 단축 인터넷주소(URL)나 첨부파일을 열어보도록 유도한다. 이용자들은 자신도 모르는 사이에 PC가 악성코드에 감염, 기업의 주요 데이터베이스 접근 권한이나 계정 등을 탈취 당하게 된다.
이러한 해킹 방식이 지능형지속공격이라고 불리는 까닭은 짧게는 3개월에서 길게는 2~3년 동안 꾸준히 해킹이 진행되기 때문이다. 3,500만 이용자의 계정이 탈취된 싸이월드 해킹이나 1,300만 이용자의 개인정보가 유출된 넥슨 해킹 또한 APT에 의한 피해였다. APT는 공격대상의 PC에 침투 한 후 해커가 빼내갈 정보를 정찰, 이를 수집하여 유출하는 네가지 단계로 이뤄져 공격감지가 쉽지 않다.
최 매니저는 "제 아무리 APT 방식이 고도화돼 있다고 해도 접근 권한이 없는 PC가 주요 서버에 접근하려 하거나 계정의 비밀번호를 잘못 입력할 경우 흔적이 남을 수밖에 없다"며 "일반 감시 시스템으로는 이러한 흔적을 찾기 힘들기 때문에 기업들의 보안 사례나 이용자 행태 등을 분석해 해커들이 선호하는 공격 패턴을 연구 중이다"고 전했다. 현재 IBM은 엑스포스를 통해 매달 수집되는 수천억 건의 데이터를 '정보(information)'로 정형화하고 이를 다시 '지식(knowledge)'화 한다음 최종적으로 '통찰력 있는 정보(intelligence)'로 추려내고 있다.
그는 빅데이터 방식의 해킹 방지책에도 불구하고 APT 공격에 대응하기 위해서는 보안의식 강화가 동반돼야 한다고 강조했다. 최 매니저는 "날로 진화하는 해커 공격을 완벽히 막아내기는 매우 어려운 것이 현실"이라며 "직원들은 업무용PC에서 수상한 이메일이나 SNS 이용 등을 자제하고 기업들은 보안 관련 교육을 꾸준히 실시해야 해킹 방어가 가능해 질 것"이라고 전했다.
■ 빅데이터란? 연관성이 없어 보이는 다량의 데이터를 분석해 유의미한 트렌드나 이론을 도출해 내는 기술. 가트너, IBM 등이 2013년 전세계 IT 시장의 주요 트렌드로 빅데이터를 꼽은 바 있다.