네트워크 바이러스 방역의 새로운 방법 제시한 통합보안솔루션
여기에 한발 더 나아가 웜의 전파방법이 이메일이나 메신저와 같은 P2P 이용 방법을 넘어, 최근에는 취약점의 발견과 이를 악용한 웜이 나오기까지의 시간 격차가 점차 좁혀짐에 따라 일반 백신 개념으로는 기업의 네트워크를 효율적으로 보호하기에는 한계에 이르렀다.
때문에 게이트웨이나 이메일 서버 또는 네트워크 레벨의 등에 백신 관리 시스템을 적용해 웜이나 바이러스가 발견될 경우 이들 위협에 사전에 격리, 방역, 치료 및 복구 등의 과정을 통해 기업 네트워크를 보호할 수 있는 제품이 절실해지고 있다.
이를 위해 트렌드마이크로는 최근 ‘트렌드 마이크로 네트워크 바이러스월(Trend Micro Network Virus Wall)’을 개발, 새로운 바이러스 보안의 해법을 제시하고 있다. <편집자>
트렌드마이크로 네트워크 바이러스월은 네트워크 환경 내부에 인라인(In-line) 방식으로 위치해 랜 세그먼트 트래픽 상의 네트워크 바이러스를 예방, 차단하는 아웃브레이크 프리벤션 어플라이언스(Outbreak Prevention Appliance)이다. 아웃브레이크 프리벤션 어플라이언스란 바이러스나 웜으로 인한 비상 상황 발생 시에 웜의 초기 발생을 억제하고, 예방하며, 웜 발생된 웜의 사전 차단, 격리 및 자동 치료/복원의 역할을 통합적으로 수행하는 하드웨어 제품을 뜻하는 새로운 보안 어플라이언스의 표준이다.
네트워크 방역을 위한 최고의 해법
이 제품의 주요 기능으로 우선 보안 패치를 사전에 점검하고 취약한 컴퓨터를 격리하는, 취약점 분석 및 격리(Vulnerability Isolation) 서비스에서부터 신종 웜을 네트워크에서 조기 경보할 수 있는, 네트워크 아웃브레이크 모니터링(Network Outbreak Moni toring)을 들 수 있다. 또 신종 웜 차단 기술인, 네트워크 아웃브레이크 사전 예방(Network Outbreak Prevention), 기존 웜에 감염된 트래픽을 차단하는 네트워크 바이러스 검사 및 차단(Scan And Detect Network Virus), 시스템에 설치된 백신과 최신 유무를 판별해 강제로 설치해주는 보안 정책 강화(Security Policy Enforcement), 그리고 많은 기능들 중 핵심가치로 꼽히는 자동 피해복구 기능(Automated Damage Cleanup) 등이 있다.
특히 이 제품은 취약점 분석 및 격리 서비스를 통해 네트워크 웜이 공격할 수 있는 특정 보안 취약점에 대한 정보를 미리 점검해 이를 네트워크에서 격리, 강제적으로 패치할 수 있도록 도와주는 기술을 제공하고 있다. 이 기능을 사용해 주요 보안 패치(Highly Critical 등급 이상)에 대한 정책을 제대로 실행했을 때, 시스템이나 애플리케이션 취약점을 공격하는 방식의 네트워크 웜 감염을 95% 이상 줄일 수 있다.
기존 패치 관리 시스템의 경우, 에이전트 프로그램을 시스템마다 설치하는 방식으로 사용자의 설치 과정이 필요하지만, 네트워크 바이러스월은 네트워크 인라인 방식으로 에이전트 프로그램 설치 없이 사용자가 네트워크 접속을 시도할 때 시스템을 자동으로 감지해 취약점 분석 및 격리 기능을 제공한다는 장점이 있다.
세그멘트별 보안관리로 피해 최소화
네트워크 바이러스월은 <그림 1>과 같이 네트워크 랜 세그먼트별로 설치됨으로 바이러스 아웃브레이크시 세그먼트 외부와 격리될 수 있는 기능을 제공한다. 따라서 외부에서 발생된 웜이 내부 보호된 영역(Protected Area)으로 유입되는 것을 차단할 수 있고 내부에서 발생된 웜이 외부 영역으로 전파되어 피해를 입히는 것을 막을 수 있는 네트워크 구조를 제공한다.
네트워크 바이러스월은 비인가 사용자/익명 사용자가 네트워크에 접속 시, 시스템을 탐지해 보안 패치가 없거나, 백신이 없는 시스템 또는 웜에 감염된 시스템은 네트워크 접속을 관리자 설정에 따라 제한하거나 완전히 차단함으로 네트워크 웜으로 인한 보안 침해 범위를 네트워크 바이러스월 장비가 보호하는 지역(protected area)으로 한정할 수 있는 기능을 제공한다. 또한 웜에 감염된 시스템이 발생하는 웜 트래픽으로 인한 네트워크 백본 등 각 장비의 장애 상황을 예방할 수 있으며, 네트워크 웜이 발생된 상황에서도 평소와 같이 정상적인 네트워크 서비스가 원활하게 이루어지도록 한다.
네트워크 검색 및 탐지…자동 피해 치료
트렌드 네트워크 바이러스월은 웜이 특정 프로토콜 및 포트를 통해 확산될 때 이를 네트워크 레이어의 패킷 기반 검사를 통해 감염된 패킷을 차단(Drop)하는 방식으로 작동해 네트워크 웜이 미처 공격 대상 시스템에 도착하기 전에 공격 패킷을 차단하는 방식을 채택하고 있다. 패킷을 파일로 다시 조합해 검사할 필요 없이 패킷 단위 서명검사(Signature)를 하기 때문에 네트워크 속도 저하 없이 감염된 패킷만을 차단할 수 있는 높은 성능을 제공한다.
감염된 시스템이 네트워크 바이러스월에 의해 탐지되면 이는 TMCM(Trend Micro Control Manager) 서버로 보고되며 TMCM은 트렌드랩에서 최신 다운로드된 치료 템플릿을 통해 감염된 시스템을 원격으로 치료, 복원한다. 이 기능을 통해 수많은 웜 및 트로이목마/백도어를 치료할 수 있으며 메모리 상주중인 웜 및 웜에 감염된 파일 및 윈도 레지스트리를 원래 상태로 깨끗하게 복원해 준다. 특정 시스템에 대한 원격, 치료 복원 수행 결과는 TMCM 서버에 저장되며 관리자는 이를 중앙 모니터링해 결과를 얻게 된다. 아직 수많은 기업에서 IT유지보수 인력/IT부서 인력들이 수작업을 통해 웜을 치료하고 있으나 네트워크 바이러스월은 자동 치료 복원 서비스(Damage Cleanup Service)를 통해 이를 자동화함으로 바이러스로 인한 아웃브레이크시 관리자의 부담을 크게 줄여줄 수 있다.
트렌마이크로 안티바이러스 외 타사 제품과도 호환
네트워크 바이러스월은 클라이언트 시스템의 백신 설치 유무 및 버전 관리를 가능케 해 최신 백신이 설치되지 않은 사용자, 지정된 백신을 사용하지 않는 사용자의 경우에 네트워크 접속을 선택적으로 제한하거나 백신을 설치할 수 있는 서버로 리다이렉트(Redirect)해 사용자가 백신을 설치 또는 업그레이드하게 된다. 이 기능에서 지원되는 백신 제품은 트렌드 마이크로의 오피스 스캔(OfficeScan) 및 서버 프로텍터(ServerProtect)가 있으며 타사 제품은 시만텍 및 맥아피와 같은 글로벌 제품을 지원하고 있다.
트렌드마이크로 자체 통계에 의하면 지난해 가장 많은 감염 보고가 있었던 10개의 바이러스 중에 5가지는 이미 1~4년 전에 패턴 및 엔진이 나온 오래된 바이러스였다고 한다. 이는 사용자들이 최신 백신 설치 및 업데이트에 얼마나 무관심했는지를 나타내고 있다. 네트워크 바이러스월은 백신 설치/업데이트 점검 및 강제설치 기능을 통해 백신 미설치로 인한 바이러스 및 웜의 재감염을 막아준다.
또한 간편한 관리 역시 트렌드 마이크로 네트워크 바이러스월의 특징이다. 네트워크 바이러스월은 TMCM를 통해 통합 콘솔 형식으로 관리되며, 이벤트 모니터링, 정책 업데이트 배포와 로그 통계 기능을 제공한다. 관리자는 TMCM 서버를 통해 SNMP, 이메일, MSN메신저를 통해 각종 이벤트에 대한 실시간 경보를 수신할 수 있다.
■ 문의: 한국트렌드마이크로
■ 전화: 02-561-0990
www.trendmicro.com
