[암호화폐 보안③] APT 방어 체계로 암호화폐 보호

홈 > 뉴스 > 뉴스 > 보안

[암호화폐 보안③] APT 방어 체계로 암호화폐 보호

거래소, 네트워크·사용자·내부자 3단계보안 체계 필요…공격 이용되는 웹·이메일 보안 방법 마련해야

관련기사

[암호화폐 보안①] 암호화폐 해킹, 예정된 사고

[암호화폐 보안②] 암호화폐, 계정·지갑 강력하게 보호해야

2018년 02월 15일 08:31:26

김선애 기자

iyamm@datanet.co.kr

암호화폐 거래소 공격 방식은 APT와 다르지 않다. 관리가 취약한 시스템이나 방치된 시스템의 취약점, 정상 업무로 위장한 스피어피싱 등을 이용해 첫 번째 침투를 시도하며, 성공한 후 C&C 통신을 통해 페이로드를 다운받은 후 시스템 내부로 잠입해 권한상승과 측면이동을 통해 관리 서버에 들어간다. 그리고 암호화폐를 훔쳐 유유히 달아난다.

혹은 거래소에 디도스 공격을 벌여 서비스 장애를 일으킨 후 금전을 요구하거나 거래소 이용자 개인정보를 훔친 후 공개하겠다고 협박하며 돈을 요구할 수도 있고 랜섬웨어 공격을 감행해 암호화폐나 개인정보를 무단으로 암호화 할 수 있다.

다중보안체계 마련해 보호

암호화폐 거래소는 투자자의 재산과 관련된 서비스를 제공하고 있는 만큼 금융권에 준하는 보안 시스템이 필요하다. 네트워크, 사용자, 내부 보안 등 세 단계에서 다중보안체계(Layer Security)가 반드시 마련돼야 한다.

이재우 SK인포섹 이큐스트 그룹장은 이 점을 강조하며 “APT 방어 솔루션과 금융권 필수 요건인 망분리·계정관리를 위한 접근 통제 시스템 도입이 필요하다”고 강조하며 거래소가 기본적으로 갖춰야 할 보안 체계로 다음과 같은 사항을 권고했다.

∙ 네트워크: 방화벽, 웹방화벽, IPS, DDoS 방어 솔루션

∙ 사용자: 2팩터 이상 비대면 인증 시스템 구축과 OTP 사용

∙ 내부 보안: 안티스팸, SSL 프록시, 패치관리시스템, DB암호화, DLP

∙ 시스템 개발: 외부 위협과 내부 정보 유출을 차단하기 위해 개발보안 표준을 수립해 ‘분석-설계-개발-테스트’ 등 전 단계에 대한 보안성 제고를 추진하고, 소스코드 점검 솔루션, 취약점 점검 스캐너 등 도입

∙ 위협 모니터링 및 분석 대응: 네트워크와 엔드포인트에서 발생하는 위협을 모니터링하고 적절한 대응 조치를 추한다. 보안관제를 운영해 외부위협 분석정보와 내부 이상행위 분석정보, 이상금융거래탐지시스템(FDS)의 정보를 통합 관리할 수 있는 시스템 체계를 구축한다.

글로벌 위협 인텔리전스로 공격 방어

시만텍은 거래소 보안을 강화할 수 있는 방법으로 APT 방어를 위한 여러 기술과 함께 글로벌 위협 인텔리전스를 들었다. 공격자들은 산업군별로 유사한 공격 방식과 공격도구를 사용한다. 전 세계 거래소 공격에 사용한 공격도구를 분석하고 공유해 최신 공격 방식을 알아내면 동종 산업군을 타깃으로 하는 공격을 빠르게 진단하고 방어할 수 있다.

시만텍은 글로벌 인텔리전스 네트워크(GIN)를 기반으로 하는 통합 사이버 보안 플랫폼 전략을 전개하고 있으며, 네트워크, 이메일, 엔드포인트, 정보보호 영역에서 거래소 보안을 강화할 수 있다.

시만텍은 ‘웹 위협 격리 솔루션(Symantec Web Isolation)’을 새롭게 출시하며 진화하는 위협에 대응할 수 있도록 한다. 이 솔루션으로 거래소 근무 사용자의 웹·이메일을 격리된 환경에서 사용하도록 하고, 보안 위협에 노출되지 않도록 지원한다.

시만텍 관계자는 “거래소 보안은 통합 관점의 플랫폼으로 접근해야 한다. 솔루션의 세부적인 기능 보다 기업이 추구하는 보안 목표에 맞는 보안 체계를 구축하며, 지능형 위협 공격에 대한 킬 체인을 마련해야 한다. 더불어 정부의 보안·개인정보보호 체계 강화 방침을 반영해 기업의 장기적인 지속 가능성을 고려한 보안 투자를 해야 한다. 이러한 보안 투자에는 IT 투자뿐만 아니라 조직 및 인력의 투자까지 포함돼야 한다”고 조언했다.


▲시만텍 ‘웹 위협 격리 솔루션’ 개념도

포티넷은 자사 통합 플랫폼 ‘보안 패브릭’을 통해 거래소 보안을 강화할 수 있다고 주장한다. 차세대 방화벽과 샌드박스, 엔드포인트 보안, 이메일 보안, SIEM, 웹방화벽, DDoS 방어 솔루션, 유무선 접속 보안 등이 거래소 인프라와 서비스를 보호할 수 있다. 또한 상반기에 출시될 글로벌 보안 위협 인텔리젼스 ‘포티가드 TIS’를 통해 새로운 공격에 효과적으로 대응할 것이라고 밝혔다.

안경진 포티넷코리아 차장은 거래소 보안을 위한 방법으로 ‘알려진 취약점 제거’를 들었다. 국내외 보안사고를 분석하면 절반 이상이 알려진 취약점을 방치해 발생한 것으로 나타난다. 정보보안 체계가 이러한 알려진 취약점을 탐지 및 격리할 수 있도록 해야 한다. 또한 유무선네트워크, 웹서비스, 이메일 및 엔드포인트 단말들이 상호 유기적으로 연동되는 보안체계를 구축해야한다.