> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[지능형 공격②] 신종 위협 탐지 기술 ‘봇물’
글로벌·로컬 위협 정보 공유해 효과적 대응…샌드박스·SIEM·엔드포인트 보안 연계해 대응 능력 높여
     관련기사
  [지능형 공격①] APT+랜섬웨어, 대규모 피해 일으켜
2017년 10월 03일 09:40:10 김선애 기자 iyamm@datanet.co.kr

지능형 공격에 사용되는 신종 위협을 효과적으로 탐지하기 위해서는 위협 샘플을 다량으로 수집해 분석하는 위협 인텔리전스가 필요하다. 보안 기업들은 자사 보안 솔루션과 위협 대응 역량을 높이기 위해 위협 인텔리전스를 지속적으로 축적하고 있으며, 이를 고객과 파트너에게 서비스하는 모델을 제공하기도 한다.

SK인포섹의 ‘시큐디움 인텔리전스’는 글로벌 사이버위협연합(CTA), 보안 시스템, 웹 크롤러, 소셜미디어 등 다양한 경로에서 해킹에 활용된 것으로 의심되는 악성 IP, URL, 파일 해새 데이터를 수집, 분석한다. 이미 공격으로 확인된 위협 정보 데이터와의 상관관계를 분석해 공ㄲ자를 가려내고 대응 전략을 제공한다.

더불어 SK인포섹은 보안 전문가 그룹 이큐스트를출범시키고 공격의 영향도 분석과 취약점 보완 등 지능형 공격에 대한 종합적인 대응 서비스도 진행한다.

SK인포섹 외에도 위협 인텔리전스 서비스는 국내에서도 다양하게 선보이고 있다. 이스트시큐리티의 ‘아이마스’, 세인트시큐리티의 ‘멀웨어즈닷컴’ 등이 대표적이다.

   
▲세인트시큐리티 ‘멀웨어즈닷컴’ 서비스 구성도

공격에 사용되는 악성코드는 이미 알려진 것 뿐 아니라 알려지지 않은 것도 이용하는데, 알려진 악성코드는 백신, IPS 등에서 탐지할 수 있기 때문에 알려지지 않은 악성코드를 정확하게 찾아내는 것이 중요하다. 이를 위해 제안되는 기술이 샌드박스이며, 파이어아이가 이 시장을 개척한 선두주자이다.

현재 거의 대부분의 보안 기업들이 샌드박스 솔루션을 보유하고 있다. 그러나 샌드박스는 과탐이 많고 샌드박스를 우회하는 공격이 많아 단독 솔루션만으로은 완벽하지 않다. 백신, 방화벽, SIEM 등 다른 보안 솔루션과 연계해 정확하게 공격 여부를 파악하는 것이 필요하다.

씨큐비스타는 윈도우 실행파일 계열 악성코드를 탐지하는 ‘리마’를 사이버 위협 헌팅 플랫폼인 ‘패킷사이버’에 반영해 최신 공격에도 대응할 수 있다. 패킷사이버는 APT 공격의 초기 감염과 추가 공격 도구 설치 단계 탐지, 내부망 확산, 정보 유출 등 네트워크 이상행위 기술 등을 제공하는 솔루션이다. 머신러닝 기반 악성코드 탐지 기술과 정찰, C&C 접속 탐지 등의 기능이 탑재돼 있으며, 국내외 고객의 지능형 위협 탐지와 보안 관제 시스템으로 활용된다.

샌드박스에서 탐지한 악성코드 샘플은 TAXII, STIX, Cybox 등의 표준 프로토콜을 이용해 위협을 차단하는 시스템으로 전송된다. 글로벌 기업의 샌드박스는 표준 프로토콜의 대부분을 지원하지만, 국내 기업의 샌드박스는 이들을 지원하지 않거나 일부만 지원한다. 국내 제품은 주로 YARA를 이용하지만 YARA는 최신 위협 대응에 한계가 있다.

오픈베이스는 국내 샌드박스가 국제 표준을 지원할 때 까지 정보공유를 지원하는 ‘타르고스(TARGOS)’를 출시하고 새로운 시장을 개척하고 있다. 이 제품은 국가사이버안전센터와 함께 개발했으며, 이종 샌드박스에서 생성되는 분석결과를 공유하는 한편, 센터에서 분석해 발표하는 최신 공격 탐지 룰을 샌드박스에 적용하며, 다시 피드백을 준다. 이 제품은 여러 종류의 샌드박스를 운영하는 환경에 적합하다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  위협 탐지, 지능형 공격, 샌드박스, SIEM, 엔드포인트 보안
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr