지능형 공격에 사용되는 신종 위협을 효과적으로 탐지하기 위해서는 위협 샘플을 다량으로 수집해 분석하는 위협 인텔리전스가 필요하다. 보안 기업들은 자사 보안 솔루션과 위협 대응 역량을 높이기 위해 위협 인텔리전스를 지속적으로 축적하고 있으며, 이를 고객과 파트너에게 서비스하는 모델을 제공하기도 한다.
SK인포섹의 ‘시큐디움 인텔리전스’는 글로벌 사이버위협연합(CTA), 보안 시스템, 웹 크롤러, 소셜미디어 등 다양한 경로에서 해킹에 활용된 것으로 의심되는 악성 IP, URL, 파일 해새 데이터를 수집, 분석한다. 이미 공격으로 확인된 위협 정보 데이터와의 상관관계를 분석해 공ㄲ자를 가려내고 대응 전략을 제공한다.
더불어 SK인포섹은 보안 전문가 그룹 이큐스트를출범시키고 공격의 영향도 분석과 취약점 보완 등 지능형 공격에 대한 종합적인 대응 서비스도 진행한다.
SK인포섹 외에도 위협 인텔리전스 서비스는 국내에서도 다양하게 선보이고 있다. 이스트시큐리티의 ‘아이마스’, 세인트시큐리티의 ‘멀웨어즈닷컴’ 등이 대표적이다.
공격에 사용되는 악성코드는 이미 알려진 것 뿐 아니라 알려지지 않은 것도 이용하는데, 알려진 악성코드는 백신, IPS 등에서 탐지할 수 있기 때문에 알려지지 않은 악성코드를 정확하게 찾아내는 것이 중요하다. 이를 위해 제안되는 기술이 샌드박스이며, 파이어아이가 이 시장을 개척한 선두주자이다.
현재 거의 대부분의 보안 기업들이 샌드박스 솔루션을 보유하고 있다. 그러나 샌드박스는 과탐이 많고 샌드박스를 우회하는 공격이 많아 단독 솔루션만으로은 완벽하지 않다. 백신, 방화벽, SIEM 등 다른 보안 솔루션과 연계해 정확하게 공격 여부를 파악하는 것이 필요하다.
씨큐비스타는 윈도우 실행파일 계열 악성코드를 탐지하는 ‘리마’를 사이버 위협 헌팅 플랫폼인 ‘패킷사이버’에 반영해 최신 공격에도 대응할 수 있다. 패킷사이버는 APT 공격의 초기 감염과 추가 공격 도구 설치 단계 탐지, 내부망 확산, 정보 유출 등 네트워크 이상행위 기술 등을 제공하는 솔루션이다. 머신러닝 기반 악성코드 탐지 기술과 정찰, C&C 접속 탐지 등의 기능이 탑재돼 있으며, 국내외 고객의 지능형 위협 탐지와 보안 관제 시스템으로 활용된다.
샌드박스에서 탐지한 악성코드 샘플은 TAXII, STIX, Cybox 등의 표준 프로토콜을 이용해 위협을 차단하는 시스템으로 전송된다. 글로벌 기업의 샌드박스는 표준 프로토콜의 대부분을 지원하지만, 국내 기업의 샌드박스는 이들을 지원하지 않거나 일부만 지원한다. 국내 제품은 주로 YARA를 이용하지만 YARA는 최신 위협 대응에 한계가 있다.
오픈베이스는 국내 샌드박스가 국제 표준을 지원할 때 까지 정보공유를 지원하는 ‘타르고스(TARGOS)’를 출시하고 새로운 시장을 개척하고 있다. 이 제품은 국가사이버안전센터와 함께 개발했으며, 이종 샌드박스에서 생성되는 분석결과를 공유하는 한편, 센터에서 분석해 발표하는 최신 공격 탐지 룰을 샌드박스에 적용하며, 다시 피드백을 준다. 이 제품은 여러 종류의 샌드박스를 운영하는 환경에 적합하다.
