소닉월의 ‘캡처 클라우드(Capture Cloud)’는 RTDMI(Real-Time Deep Memory Inspection) 기술을 탑재해 APT 방어 솔루션을 우회하는 지능화된 공격까지 탐지하는 방어 엔진이다.
대부분 보안솔루션에서 악성코드를 탐지하는 방법은 시그니처 기반의 정적 분석이나 샌드박스를 이용한 행위 분석 기술을 이용한다. 1차 정적 분석에서 악성코드를 탐지하고 정적 분석에서 탐지하지 못한 악성코드에 대해 실행파일 정보 확인, 레지스터 분석 등으로 멀웨어를 탐지한다.
그러나 최신 멀웨어는 사용자 지정 암호화, 난독화, 패킹 등의 기법으로 샌드박스 분석을 방해하며, 악의적인 행동을 숨기고 정상 파일로 위장한다. 이러한 악성코드는 동적으로 실행될 때만 노출되기 때문에 대부분의 경우, 정적 분석은 물론 동적 분석으로도 탐지가 어렵다.
이렇게 지능화되고 있는 대표적인 악성코드로 메모리 상주형 악성코드를 들 수 있다. 해당 악성 코드는 실행 후 메모리에서만 동작하며, 파일로 존재하지 않기 때문에 기존의 악성 코드 분석·탐지 방법으로는 찾기 어렵고 메모리 포렌식 등 기존과 다른 방법으로 분석이 이뤄져야 하며 실시간 분석을 통한 탐지도 필요하다.
소닉월 캡처 연구소가 선보인 RTDMI는 딥 메모리 진단 기술을 이용해 악의적인 행동을 나타내지 않고 악성코드를 숨기는 멀웨어를 메모리에 노출되도록 유도한다. 이를 통해 제로데이 위협, 알려지지 않은 멀웨어를 탐지·차단하며 지난 수개월간 운영할 때 기존의 샌드박스에서는 발견 할 수 없었던 수백개의 새로운 멀웨어 변종을 발견하고, 정교하고 지능화된 멀웨어에 대해서도 효과적으로 방어가 가능하다는 사실을 입증했다.
RTDMI 기술을 추가한 ‘캡처 클라우드’ 엔진은 소닉월 클라우드 기반 보안 플랫폼인 ‘캡처 클라우드 플랫폼’에 탑재되며, 클라우드, IoT, 차세대 방화벽, 무선 네트워크 보안, 이메일 보안, 모바일 및 원격 액세스 보안 기능을 포함하고 있는 소닉월의 모든 보안 플랫폼에서 활용된다.
