정보보안 시장에서 유행하고 있는 단어를 꼽으라면 ‘상황인지(Context Awareness)’ 기술을 들 수 있다. 특정 행위가 일어나는 상황을 인식해 공격여부를 판명하는 기법으로, 지능형지속위협(APT) 대응을 위한 방법으로 급부상하고 있다.
상황인지 기법은 2012년 하반기부터 주목받기 시작한 기술로, 차츰 적용영역을 넓혀가고 있다. 2013년에는 상황인지 기반의 제품이 봇물처럼 쏟아져나올 것으로 예상되지만, 제품마다 기술의 완성도나 구현방법에 차이가 있기 때문에 오탐률, 인력 개입 여부, 기존 보안제품과의 통합 등을 염두에 둬야 한다.
시그니처 방식 한계로 다양한 방어기법 출현
엔드포인트 보안 솔루션에도 상황인지 기반 기술이 서서히 부상하고 있다. 전통적인 시그니처 방식은 악성행위를 유발하는 악성코드 샘플을 수집·분석하며, 안티바이러스, 안티스팸 등 대부분의 PC보안 제품에 적용된다. 그러나 시그니처 기법은 제로데이 공격에 취약하고, APT처럼 타깃화된 공격은 샘플이 적어 탐지가 어렵다.
이 문제를 해결하기 위한 대안으로 행위기반 분석기법이 주목을 받았다. 네트워크 트래픽을 분석해 정상행위와 비정상 행위를 찾아내는 기법으로, 시스템 내외부와 PC 및 외부 저장장치로 이동하는 통신의 흐름을 정밀하게 분석한다. 이외에도 화이트리스트/블랙리스트 기술과 평판기반 분석기술 등도 제안되면서 제로데이 공격 취약성을 최소화하고, 알려지지 않은 공격에 대해서도 미리 방어할 수 있도록 했다. 여기에 상황인지 기법까지 추가되면 교묘하게 보안 솔루션을 우회하는 공격까지 막을 수 있다.
엔드포인트 보안 솔루션에 행위기반 기술이 적용된다면 PC 등 단말에 입·출력되는 데이터를 분석해 상황별로 이상행위 여부를 판단할 수 있다. 최근 엔드포인트 보안은 다양한 기능을 통합해 단일 에이전트로 제공되는 추세에 있어 상황인지 기법을 적용한 기술도 통합 에이전트를 통해 제공될 수 있을 것으로 기대된다.
엔드포인트 보안은 안티바이러스, 안티스팸, 매체제어, 내부정보 유출방지, 파일 암호화, 키보드 보안, 화면캡처 방지 등 다양한 기능을 통합하는 흐름을 보이고 있다. 엔드포인트 보안 솔루션 시장이 이미 오래 전 레드오션화 돼 더이상 성장의 기회를 찾지 못하고 있어 여러 기능을 하나로 통합시켜 차별성을 꾀하고 있다. 그러나 각각의 전용 솔루션에 비해 깊은 수준의 방어는 어려운 편이다.
현실적으로 통합PC보안 제품에 고도화된 방어기법을 적용하는 것은 어렵다. 안티바이러스 제품에만도 수많은 악성코드 샘플이 있어 PC 성능에 영향을 미치고 있으며, 간혹 다른 에이전트와 충돌을 일으키는 경우도 발생한다. 따라서 통합PC보안 제품과 연동되는 다른 제품에 적용하거나 엔드포인트 보안 제품군의 하나로 적용시켜 상황에 따른 제어 기능을 수행할 수 있도록 하는 방법이 채택된다.
수많은 공격유형에 일일이 대응하기 위해 각각의 포인트 솔루션을 PC에 적용하는 것은 생산성을 급격히 떨어뜨리기 때문에 통합PC보안 솔루션으로 패턴화된 공격을 막고, 이를 통과하는 공격은 필요한 지점에서 전용 솔루션으로 몇 단계에 걸쳐 방어를 하는 것이 효과적이라는 판단이다.
통합PC보안은 안티바이러스 솔루션 시장이 레드오션화 되면서 경쟁사 대비 차별성을 부각시키기 어려워지자 벤더들이 PC 보안을 위한 다른 여러가지 기능을 추가시키면서 발전해왔다. 최근에는 전통적인 PC보안 기능 외에 개인정보보호법 준수를 위한 개인정보 암호화·유출방지, APT 방어를 위한 악성코드 탐지/좀비PC 방지 기능을 구현하면서 정교한 공격을 막을 수 있는 방법을 소개하고 있다.
레드오션 PC보안, 수익성도 낮아
PC보안 시장에서는 토종기업이 가격경쟁력과 유연한 커스터마이징 등에서 유리한 고지를 차지하고 있다. 안랩, 잉카인터넷, 하우리, 이스트소프트 등이 리더를 자임하고 있으며, 중소규모 보안 솔루션 기업들도 개인이나 소규모 기업을 위한 PC보안 제품을 공급한다. 클라우드 서비스 기업이나 ASP 기업들도 자체개발하거나 외산 엔진을 들여와 국내환경에 맞게 커스터마이징해 서비스 형태로 제공한다.
글로벌 기업 중에서는 시만텍, 맥아피, 트렌드마이크로, 카스퍼스키랩 등이 선전하고 있으며, 대형기업과 금융권 등 성능과 안정성을 중요시하는 산업군에 공급되고 있다. 또 포털사이트에서 무료로 제공하는 PC보안 제품도 상당한 수준으로 PC에 대한 공격을 막아준다.
안티바이러스 시장 부동의 국내 1위 안랩은 ‘V3 인터넷 시큐리티 8.0’을 대표적인 제품으로, 클라우드 기반 악성코드 탐지 기술 ‘스마트디펜스(ASD)’, 중앙관리 솔루션 ‘안랩 폴리시센터 4.0’, 개인정보보호 솔루션 ‘프라이버시 매니지먼트(APrM)’, APT 공격탐지 ‘트러스와처 2.0’ 등을 연계시켜 공급한다. 시큐리티대응센터(ASEC)와 컴퓨터침해사고 대응센터(CERT)를 운영하며 24시간 365일 악성코드와 해킹을 실시간 예방/차단할 수 있다.
통합PC보안이라는 개념을 제일 처음 주장한 기업은 닉스테크다. 매체제어, PC보안 제어, 출력물 보안, 매체 반·출입 관리, 자산관리 등 PC보안 솔루션을 하나로 통합시킨 ‘세이프PC 엔터프라이즈’는 특유의 가격경쟁력을 바탕으로 시장을 공략하고 있다. 닉스테크는 보안 USB 관리 솔루션 ‘세이프USB+’, 개인정보보호 솔루션 ‘세이프 프라이버시’, 네트워크접근제어 ‘애니클릭 NAC’, 개인정보보호관리 장비 ‘세이프스캐너’를 단일 에이전트로 통합해 제공할 계획이다.
SGA는 행위기반 악성코드 차단 솔루션 ‘바이러스체이서’와 패치관리 솔루션 ‘패치체이서’를 전라북도교육청, 인천공항공사 등에 공급하며 공공시장에서 두각을 보이고 있다. 또한 기업 내부 전체 PC보안에 대한 전반적인 현황을 실시간으로 파악하는 통합보안관리솔루션 ‘SGA-SC(Security Center)’를 제공한다. 더불어 바이러스체이서, 패치체이서, SGA-SC를 단일 에이전트로 통합한 통합PC관리 솔루션을 지방자치단체에 공급해 보안전문인력이 부족한 지자체에서도 PC를 안전하게 관리할 수 있도록 했다.
방대한 악성코드 샘플 분석으로 선제방어 환경 마련
외산 벤더는 토종기업처럼 기업의 요구에 맞게 기능을 조합하는 형태로 통합보안제품을 제공하지 못한다. 패키지 형태로 제공되는 PC 보안 제품은 커스터마이징이 어렵고, 국내 기업을 타깃으로 하는 공격에 대한 방어가 약한 편이며, 인하우스 시스템을 공격으로 간주하는 오탐도 잦은 편이다.
외산벤더들은 전 세계에 공급된 자사 제품에서 수집되는 방대한 양의 악성코드 샘플을 분석해 실시간에 가깝게 업데이트하기 때문에 제로데이 공격을 최소화할 수 있다고 주장한다. 특히 악성코드를 많이 발송하는 국가가 중국에서 동유럽권으로 옮겨가고 있으며, 해커들은 전 세계에 흩어진 봇넷을 통해 공격을 조종하기 때문에 세계 전 지역의 악성코드 샘플을 다량 확보하고 있는 것이 오탐을 줄이면서 새로운 공격에 대비할 수 있다.
국내 기업들은 지역적 한계 극복을 위해 해외의 유명 커뮤니티와 제휴를 맺는 등의 방법을 취하고 있지만, 악성코드 샘플 규모나 분석기술 등을 단순하게 비교하면 기술력의 차이가 있다. 반면 국내에서 발생하는 공격이나 악성코드, 국내 기업문화의 독특한 점을 고려한 보안정책 수립 등에서는 상대적으로 유리하다.
전세계 PC보안 선두기업인 시만텍은 클라우드 기술을 적용한 ‘엔드포인트 프로텍션 12(SEP 12)’를 소개한다. 이 제품은 ▲클라우드 기반의 평판 보안 기술 ‘인사이트(Insight)’ ▲행위 기반 기술과 평판 보안 탐지 기술을 결합한 3세대 보안 엔진 ‘SONAR 3’ ▲가상 환경 최적화 ▲업계 최고의 성능과 스캔 속도를 제공해 제로데이 공격 및 표적 공격을 포함한 최신 보안 위협으로부터 기업의 인프라와 정보 보호 등의 기능을 제공한다.
맥아피는 ‘엔드포인트 토털 프로텍션’ 제품군으로 통합PC보안 이슈에 대응한다. 맥아피는 화이트리스트 기반 보안 솔루션인 ‘애플리케이션 컨트롤’과 인텔의 딥세이프 기술과 함께 사용돼 하드웨어에서부터 OS, 애플리케이션을 보호한다.
