소포스(한국지사장 배수한)는 차세대 방화벽 ‘XG’에 ‘내부망 이동 공격 방어(Lateral Movement Protection) 기능을 도입했다고 6일 밝혔다.
사이버 공격은 네트워크에 침투한 후 한 번에 한 단계씩 도메인 관리 자격 증명을 훔치고, 내부 통제를 조작하고 백업을 못하게 하는 등 내부망을 이동하며 광범위하게 감염시킨다. 대부분의 IT 관리자가 상황을 알아차릴 즈음에는 이미 피해가 발생한 다음이다.
대다수 기관이 자동 넷봇에 대비한 보호장치를 마련하지만, 인간이 조종하는 인터랙티브 공격에는 무방비 상태다. 능동적인 적이 시스템에 침투하면 이들은 ‘다각적 사고’를 통해 방화벽만 골라서 해제한 후 탐지를 피하며 마음대로 활보한다.
대부분의 내부망 이동 공격은 엔드포인트에서 발생하기 때문에 동시적 보안 조치가 중요하다. 공격자는 취약점을 노리는 익스플로잇과 계정 정보를 탈취하는 미미카츠(Mimikatz), 권한 상승(privilege escalation) 공격같은 비 멀웨어 기술을 사용해 진입을 시도할 것이다. 그런 공격을 받았을 때 네트워크는 신속히 대응해 자동으로 네트워크를 폐쇄하거나 감염된 장치를 격리해서 더 이상의 확산을 막아야 한다.
네트워크 안전은 방화벽과 엔드포인트 사이에 정보를 공유하고 감염된 시스템을 자동으로 격리시키는 방법으로 능동적인 적 혹은 웜-타입 취약점 공격, 익스플로잇의 내부망 이동 공격을 막는 것에 달려 있다. 그러나 많은 기업의 네트워크 환경에는 네트워크 스위치나 LAN 세그먼트에 사각지대가 있을 가능성이 있고, 그곳이 해킹의 은밀한 출발점으로 사용될 수 있다.
댄 시아파(Dan Schiappa) 소포스 제품 담당 수석 부사장 겸 총책임자는 ”소포스 XG 방화벽은 기존 방화벽이 트래픽을 직접 제어하지 못하는 곳에서도 위협의 확산을 막는 새로운 기능을 갖추게 됐다”고 설명했다.
한편 ‘XG‘는 엔드포인트 침해 탐지 및 대응(EDR)을 추가한 차세대 ‘인터셉트 X’ 등 소포스 엔드포인트 보안 제품과 자동으로 연동되며, ‘싱크로나이즈드 시큐리티(Synchronized Security)’ 기술을 구현한 ‘시큐리티 하트비트’를 통해 연결된다.
이와 같은 방법으로 위협을 선제적으로 예측하고 보호하며, 감염된 기기를 자동 격리하여 추가 감염을 예방하고 감염을 치료하는 지능형 솔루션이 제공된다. 시큐리티 하트비트 기술은위험성 높은 엔드포인트를 동일한네트워크 세그먼트에 속한 다른 엔드포인트로부터 자동으로 격리시켜 준다.
