‘샌드박스’ 채택 APT 방어 솔루션 ‘러시’
상태바
‘샌드박스’ 채택 APT 방어 솔루션 ‘러시’
  • 김선애 기자
  • 승인 2013.10.08 01:31
  • 댓글 0
이 기사를 공유합니다

“샌드박스 비판 기업도 채택, 다단계 방어 가능토록 에코 시스템 만들어야”

APT 공격이 성행하면서 방어 솔루션 출시가 러시를 이루고 있는 가운데, 샌드박스 기술 채택이 중요한 트렌드를 이루고 있다. 특히 샌드박스 기술에 비판적인 입장을 보이던 벤더들이 이 기술을 채택하면서 샌드박스 방식이 APT 방어에 중요한 기술로 자리잡고 있다.

샌드박스는 악성코드로 의심되는 파일을 가상환경에서 구동시켜 의심스러운 행동을 하는지 살펴보는 기술로, 안티바이러스 엔진이 악성코드 여부를 판명할 때 사용하는 것이다. 이 기술을 네트워크 게이트웨이에 적용해 모든 트래픽에 악성코드가 포함돼 있는지 살펴보거나, 의심파일만을 분류해 검사하는 것이 최근 출시되는 샌드박스 기술을 적용한 APT 방어 솔루션이다.

샌드박스 기술을 적극적으로 설파해온 기업이 파이어아이다. 이 회사는 샌드박스 기술을 기반으로 한 가상실행엔진(MVX)을 통해 알려지지 않은 공격을 탐지한다. MVX는 자체적으로 개발한 가상화 기술을 기반으로 하기 때문에 VM웨어의 알려진 취약점을 악용한 샌드박스 우회 공격을 막을 수 있다.

파이어아이는 장비 내에 샌드박스를 적용해 사내로 유입되는 트래픽의 이상행위를 즉시 탐지할 수 있으며, 클라우드를 통해 수집되는 최신 악성코드 정보도 함께 얻을 수 있다.

“모두 같은 샌드박스는 아니다”
지난 6월 한국에 지사를 설립한 웹센스도 샌드박스를 적용한 신제품을 출시했다. 웹센스는 샌드박스 기술이 ‘알려지지 않은 악성코드를 이용한 첫번째 공격’을 막을 수 없으며, 샌드박스 우회기술을 이용한 공격을 막을 수 없다고 강조해왔다.

그러나 7일 샌드박스 기술을 적용한 신제품 ‘트라이튼 리스크비전’을 발표하며 휴리스틱 탐지, 행동 분석 및 샌드박싱 기법을 통해 단순한 멀웨어 식별 이상의 고차원적 기능을 제공한다고 강조한다. 특히 샌드박스 기술 뿐 아니라 지능형 분류엔진을 통한 웹 트래픽의 실시간 위협 분석과, 전 세계 엔드포인트와 웹 요청을 분석한 글로벌 위협인지 기술을 함께 제공한다.

포티넷은 다단계 방어 기법을 적용한 샌드박스라는 차별성을 강조한다. ‘포티샌드박스’는 4단계 방어기법을 이용해 샌드박스 구동을 최소화해 시스템 성능저하를 방지하고 오탐·미탐을 줄일 수 있다

우선 동적 바이러스 검색기술을 통해 샌드박스 외부에서 악성코드 차단을 시작한 후, 실시간 샌드박스(RTS)를 이용해 필요한 코드만 분할해 구동시켜 신속하게 악성코드를 검색한다. 다음으로 포티가드 클라우드에 등록된 최신 시그니처와 비교해 악성코드를 걸러낸 다음 포티샌드박스를 완전히 가동해 의심파일을 가상환경에서 충분히 돌려본다.

블루코트는 지난 5월 인수한 솔레라네트웍스의 네트워크 포렌식 솔루션을 자사 포트폴리오에 통합했으며, 조만간 샌드박스 기술을 적용해 APT 대응 능력을 한층 강화하겠다고 밝혔다.

솔레라의 제품은 네트워크 패킷을 모니터링하는 기술 뿐 아니라, 운영중인 패킷을 직접 분석할 수 있어 제로데이 공격 위험을 줄일 수 있다. 여기에 샌드박스 기술까지 적용되면 알려지지 않은 악성코드로 인한 보안위협을 한층 더 낮출 수 있을 것으로 기대된다.

더불어 암호화된 트래픽을 복호화 해 주는 네트로놈 솔루션을 통해 네트워크 가시성을 높일 수 있어 지능형 보안위협에 대응할 수 있다고 강조한다. 네트로놈은 암호화된 트래픽을 복호화한 후 다시 암호화하는 솔루션으로, 암호화된 트래픽에 숨어있는 악성코드로 인한 위험이나, 중요정보 유출 위험을 방지할 수 있다.

샌드박스 취약점 많아…에코시스템 통해 다단계 방어 해야
APT 공격 방어를 위해 샌드박스 기술이 채택되는 트렌드가 나타나는 것은 분명하지만, 샌드박스만으로 APT를 막을 수는 없다. 샌드박스 기술은 쉽게 우회할 수 있는 방법이 다양하게 보고되고 있다.

대부분의 샌드박스 기술이 아웃오브라인 방식으로 구성된다는 점도 문제로 지적된다. 이 방법은 트래픽 중 악성파일로 의심되는 것을 복사한 후 트래픽은 흘려보낸 후 샌드박스에서 구동시켜 보는데, 해당 파일에 악성코드가 있다면 시스템 내에서 이를 찾아내는 것이 쉽지 않은 일이다. 더불어 그 시간동안 이미 악성코드는 C&C 서버와 통신을 해서 다른 봇을 생성시키거나 시스템을 감염시켜놓은 상태일 수도 있다.

샌드박스를 인라인으로 구성하는 것은 네트워크 속도에 영향을 미치며, 오탐률이 높다는 문제도 있다.

김창오 블루코트코리아 이사는 “샌드박스 기술이 APT 방어에 효과가 있는 것은 사실이지만, 완벽하게 방어할 수 있는 것은 아니다. APT 방어를 위해서는 다양한 에코시스템을 형성하는 것이 중요하다”며 “다양한 기술이 여러 단계에 걸쳐 방어 시스템을 구축하는 것이 APT 방어의 기본”이라고 말했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.