3·20 전산망 마비사고를 일으킨 악성코드는 사내에서 시스템을 공격했으며, 외부로부터의 공격흔적도 발견되는 등 피해기관 내외부 모두 공격을 받은 것으로 알려지고 있다. 사고 발생 후 많은 보안 솔루션 기업들이 저마다 자사 제품의 경쟁우위를 강조하면서 APT 방어에 최적화 돼 있다고 주장하고 있지만, APT는 매우 복잡하고 지능적인 공격이기 때문에 단일 솔루션으로 막을 수 없다.
이러한 배경에서 네트워크 보안 장비인 차세대 방화벽과 네트워크 포렌식 기술을 적용한 ESM을 통합한 전용솔루션이 소개돼 주목된다. IT 전문기업 유퀘스트(대표 강종철)는 팔로알토네트웍스의 ‘PA’ 시리즈와 EMC RSA 넷위트니스 솔루션을 패키지화 해 APT 대응 솔루션으로 공급할 계획이라고 22일 밝혔다.
“여러 보안 솔루션 최적의 조합 찾아야”
강종철 대표는 “최근 APT 방어 전용 솔루션이 다양하게 소개되고 있지만, 이번 3·20 사고에서 볼 수 있듯 단일 솔루션으로 APT를 막을 수 없다. 외부에서의 공격과 내부 공격을 모두 방어하기 위해서는 여러 솔루션의 최적의 조합을 찾아야 한다”고 설명했다.
유퀘스트는 팔로알토 국내 총판이며, EMC RSA 제품의 솔루션 파트너이다. 팔로알토의 PA 시리즈는 뛰어난 애플리케이션 인지 기능을 갖춘 차세대 방화벽이며, EMC RSA 넷위트니스는 네트워크 포렌식 솔루션이다.
두 솔루션의 조합은 내외부 공격을 막는데 효과적이다. 외부로부터의 침입은 차세대방화벽으로, 내부에서 일어나는 공격은 포렌식 솔루션으로 막을 수 있기 때문이다.
팔로알토 제품군은 애플리케이션의 세부 항목까지 세밀하게 통제가 가능하며, HTTPS, SSL 등 암호화된 트래픽도 조사할 수 있어 암호화 트래픽에 숨겨진 악성코드도 탐지할 수 있다. 또한 클라우드 방식의 샌드박스 기술을 이용해 알려지지 않은 악성코드를 찾아낼 수 있다.
사내 네트워크로 유입되는 모든 트래픽을 검사해 악성코드 시그니처에 등록된 것은 즉시 차단하고, 등록되지 않은 것은 샌드박스에서 실행해 이상행위를 하는지 살펴볼 수 있다. 샌드박스는 전 세계 트래픽을 분석하기 때문에 악성코드 정보를 빠르고 정확하게 업데이트 할 수 있다.
샌드박스 기법은 알려지지 않은 악성코드를 찾아내는데 탁월한 효과를 보이고 있지만, 샌드박스를 우회하도록 설계된 진화된 악성코드도 있어 샌드박스 방식이 완벽한 것은 아니다.
아주 작게 설계돼 샌드박스를 거치지 않고 시스템 내부로 들어간 후 다른 악성코드들과 결합해 공격을 단행하는 사례가 발견된 바 있다. 악성코드가 다운로드 된 다음 일정 기간 동안 실행파일을 설치하는 등의 이상행위를 하지 않아 샌드박스가 정상 파일로 간주해 사내 시스템으로 유입시키는 방식도 발견됐다.
샌드박스를 통과한 정교한 악성코드를 막을 수 있는 방법은 네트워크 트래픽의 행위를 분석해 이상행위를 찾아내야 한다.
EMC RSA 넷위트니스는 내부망의 모든 트래픽을 조사해 정상적이지 않은 행위를 찾아 경고를 한다. 만일 트래픽 중 비정상적으로 빠른 속도로 특정 내·외부 서버와의 통신을 시도하거나, 이전과 다른 방식으로 시스템과의 통신을 시도한다면 위험한 트래픽일 가능성이 높다는 뜻으로 경고를 줄 수 있다.
강종철 사장은 “APT는 악성코드를 이용하는 공격이 주를 이루고 있지만, 외부 네트워크를 통해서만 유입되는 것은 아니다. 직원들의 USB나 무선·모바일 취약점을 노려 내부 시스템으로 직접 공격해 올 수 있다”며 “내외부 네트워크를 철저하게 모니터링하고 세밀하게 분석해 공격을 막을 수 있다”고 말했다.
강 사장은 “3·20 사고에서 볼 수 있듯 APT 공격은 앞으로 더욱 심각한 보안위협이 될 것이다. 이를 방어하기 위해서는 IT의 모든 지점에서 철저한 보안정책을 마련해야 한다”며 “모든 기업·기관은 APT 타깃이 될 수 있으므로 대책 마련을 서둘러야 한다”고 말했다.
“기존 고객 보안 환경 점검 서비스도 병행”
유퀘스트는 팔로알토와 EMC RSA 통합 패키지를 APT 공격에 민감한 고객을 대상으로 적극적인 영업을 펼칠 계획이다. 클라우드 서비스 사업자나 증권사 등은 APT 공격 대상이 될 가능성이 높으며, 공격을 당했을 때 피해규모가 매우 크기 때문에 이 시장에서 수요가 크게 늘어날 것으로 기대하고 있다.
더불어 사회적인 영향력이 크고 다양한 분야의 중요정보를 갖고 있는 언론사·방송국도 APT 공격의 대상이 되고 있으며, 공공기관 등도 주요 타깃이 되고 있어 이 시장도 적극 개척할 계획이다.
강종철 대표는 “APT 방어를 위해 반드시 새로운 보안 솔루션을 구입해야 하는 것은 아니다. 기존 제품을 재정비하는 것으로도 APT 공격의 일정부분은 막을 수 있다”며 “협력사·파트너와 함께 고객들의 보안 환경을 점검하면서 팔로알토 장비의 OS 무료 업그레이드 서비스를 제공하는 등 고객사를 보호하기 위한 노력을 지속할 계획”이라고 말했다.
