‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>
익스플로잇 차단으로 엔드포인트 보호
익스플로잇 차단을 통한 엔드포인트 보안 기술은 파이어아이도 강조하는 점이다. 파이어아이는 3월 엔드포인트 보안 솔루션 ‘HX 3.1’을 발표하며 익스플로잇 공격 대응 기능인 ‘익스플로잇 가드’를 추가했다고 설명했다.
익스플로잇 가드는 행위 기반 분석과 인텔리전스 기술을 활용해 개별 엔드포인트 활동을 평가하고, 익스플로잇 탐지를 위해 평가를 통해 얻어진 데이터 간의 상관관계를 분석한다. 또한 주요 익스플로잇 종류에 대한 최근 데이터베이스를 바탕으로 익스플로잇 공격 여부를 확인하고, 공격자의 기존 공격을 파악하며 알려지지 않은 공격을 탐지하기 위해 다양한 개별 및 통합 과정을 평가하는 역량을 갖췄다.
파이어아이는 익스플로잇 가드가 지난 7월 서비스형 랜섬웨어(RaaS)로 유명한 케르베르(Cerber)의 공격을 조기에 탐지하고 C&C 통신을 사전에 차단했다고 주장한다. 파이어아이 리서치팀은 네덜란드 침해사고대응팀과 케르베르 인스톨러를 호스팅했던 웹 호스팅 업체와 함께 사용자의 시스템에서 위협을 탐지한지 불과 몇 시간 안에 케르베르의 C&C 서버 인스턴스를 셧다운 하는데 성공했다.
한편 HX는 파이어아이가 인수한 맨디언트의 침해 탐지·대응 역량과 파이어아이 샌드박스 기술을 결합한 EDR 솔루션으로, 개별 호스트의 현재 경보, 시스템 정보, 수집 정보를 통합하는 새로운 유저 인터페이스인 호스트 기반 워크플로우를 추가해 분석 전문가가 침해 사고를 탐지하고 대응하는 시간을 절감할 수 있도록 지원하는 빠른 분석 워크플로우를 제공한다.
샌드박스는 신종 멀웨어를 탐지하는데 유용한 기술이지만 가상환경을 인지하는 우회공격에 취약하다. 파이어아이는 독자개발한 MVX 기술로 우회공격을 철저히 차단한다고 주장하고 있지만, 이미 많은 해킹대회에서 MVX를 무력화하는 시도가 성공한 바 있다.
샌드박스를 이용한 악성코드 탐지 기업들은 네트워크와 엔드포인트, 위협 인텔리전스 DB를 이용해 이러한 약점을 해결할 수 있다고 강조한다. 네트워크, 엔드포인트에서 발견되는 악성파일 혹은 의심파일 정보를 공유하고, 전 세계에서 수집되는 위협 인텔리전스와 비교해 동일하거나 유사한 멀웨어를 차단한다는 전략이다. 파이어아이가 이러한 주장의 선두에 서있다.
엔드포인트·네트워크 연동해 효과적으로 방어
네트워크 보안 기업들은 차세대 방화벽과 엔드포인트 보안 솔루션, 위협 인텔리전스를 연동해 위협 인텔리전스에서 분석한 멀웨어 정보를 차세대 방화벽, 엔드포인트에서 차단하는 정책을 강조한다. 팔로알토 네트웍스, 포티넷, 체크포인트 등 차세대 방화벽 솔루션 기업들이 이와 같은 주장을 펼친다.
시스코 역시 비슷한 내용의 APT 방어 전략을 펼친다. 지난해 인수한 악성코드 분석·침해 기업 ‘쓰렛 그리드(ThreatGRID)’의 역량을 샌드박스 솔루션 AMP에 통합한 AMP 쓰렛그리드를 출시했으며, 이를 ASA, IPS, ESA, WSA 등 보안장비와 네트워크 장비에 적용한다.
시스코는 AMP 쓰렛그리드의 악성코드 분석·보안침해 역량을 ‘AMP’에 통합시킨 서비스형 보안 ‘엔드포인트 AMP’를 11월 출시했다. 엔드포인트 AMP는 PC, 맥, 리눅스, 모바일 기기에서 침해사고를 탐지·대응한다.
포티넷은 전체 네트워크 안에서 보안을 강화한다는 ‘보안 패브릭’의 관점에서 엔드포인트 보안을 강조한다. ‘포티클라이언트’는 세계적인 안티바이러스 성능 테스트 기관에서 꾸준히 높은 점수를 받고 있는 안티바이러스 솔루션으로, 여러 엔드포인트는 물론 차세대 방화벽과 같은 네트워크 보안 시스템에도 탑재된다.
보안 패브릭 내에서 포티클라이언트는 위협을 탐지·차단하는 역할과 의심파일 정보를 공유해 위협 여부를 판단하도록 한다. 포티클라이언트에서 수집한 위협은 포티샌드박스에서 분석되고, 글로벌 위협 인텔리전스를 수집하는 포티가드랩의 분석결과와 비교해 확실한 위협으로 판단되면 보안 패브릭 내에서 공유해 전체 네트워크에서 차단한다.
보안 패브릭은 IoT의 헤드리스 디바이스 관리를 위해서도 제안된다. 헤드리스 디바이스는 CCTV, 무선 공유기, 셋톱박스 등 사용자가 작동할 수 있는 스크린을 지원하지 않는 디바이스를 말하며 화이트리스트 기반 정책 사용과 중앙관리 정책으로 허용된 프로세스만을 처리하는 디바이스이다. 그러나 이러한 디바이스에서도 취약점이 발견되면 패치를 해야 하며, 관리자 ID/PW 관리를 통해 무단으로 이상 패치가 배포되지 않도록 하고, 이상행위를 감지·차단해야 한다.
포티넷 보안패브릭은 헤드리스 디바이스를 포함해 모든 네트워크와 네트워크에 연결된 단말의 이상행위 정보를 수집하고 차단·격리 등의 정책을 배포할 수 있으며, 클라우드 및 원격지점 등으로 분산된 환경에서도 중앙집중적인 관리가 가능하도록 한다.
오경 포티넷코리아 이사는 “포티클라이언트는 샌드박스와 연계돼 알려진/알려지지 않은 위협을 차단할 수 있다. 이를 보안 패브릭에 연동해 유무선·클라우드 전반의 위협 가시성을 확보할 수 있게 된다”며 “파트너 시스템을 통해 써드파티 보안 솔루션과도 협업하며, 포티SIEM을 통해 전사 보안 위협을 지능적으로 탐지할 수 있다”고 말했다.
