APT 방어 솔루션으로 알려지지 않은 악성코드를 탐지하는 샌드박스 기술이 많이 사용된다. 그러나 APT가 알려지지 않은 악성코드만으로 공격하는 것이 아니고 목표를 달성할 때 까지 다양한 방법을 이용해 지속적으로 시도하기 때문에 공격 단계별 방어전략을 세워야 한다.
특히 공격을 탐지·차단한 후 해당 공격이 어떠한 방식으로 시작돼 진행됐는지 파악해 같은 유형의 공격은 미리 차단할 수 있도록 하는 단계도 반드시 필요하다.
시스코코리아는 자사의 APT 방어 포트폴리오에 회귀분석 단계를 강화시켜 APT 공격 전체에 대한 가시성을 높였다고 밝혔다. 또한 샌드박스 솔루션 AMP와 쓰렛그리드를 통해 알려지지 않은 악성코드 분석 능력을 강화했다고 설명했다.
정경원 시스코코리아 대표는 “시스코의 새로운 주력 사업이 보안이다. 현재까지는 네트워크 보안에 중점을 두어왔으나 시스템 전반의 보안과 물리보안, 나아가 만물인터넷(IoE) 환경 보안까지 확장될 것”이라며 “차세대 IPS 기업 소스파이어와 샌드박스 기술 기업 쓰렛그리드를 인수한 것은 이러한 전략의 일환으로, 보다 넓은 영역에서 융합보안 전략을 제공할 수 있도록 하겠다”고 말했다.
공격 전-진행 중-공격 후 3단계 방어전략
시스코는 공격 전-공격 진행 중-공격 후 3 단계에서 APT 방어 기술을 제공한다고 설명했다.
차세대 네트워크 보안 솔루션과 접근제어·IAM 기술로 공격이 일어나기 전 인지한 위협을 탐지한다. 공격이 진행되는 동안에는 차세대 IPS, 웹 보안, 이메일 보안 솔루션으로 차단한다. 공격이 일어난 후에는 회귀분석 기술을 이용해 공격의 발생과 진행유형 등을 분석해 패턴화 한 후 보안위협 DB에 업데이트해 향후 비슷한 공격은 미리 차단할 수 있도록 한다.
회귀분석 기술은 지난해 인수한 소스파이어의 AMP에서 제공하는 것으로, IPS가 트래픽의 IP를 프로파일링해 사용자와 사용된 OS, 위치 등을 분석한다. 사용자 단말에 에이전트를 설치하지 않아도 IPS 상에서 공격이 시작된 지점에 대한 분석이 가능해 향후 비슷한 유형의 공격을 미리 막을 수 있다.
AMP는 소스파이어가 인수한 샌드박스 기술로, 시스코는 AMP를 소스파이어와 웹 보안 솔루션 아이언포트에 라이선스 모듈로 판매해 APT 대응 능력을 강화한다.
샌드박스 단독 솔루션은 5월 인수한 쓰렛그리드를 통해 제공한다. 쓰렛그리드는 상관관계 분석 기반의 행위분석 기술을 구현해 지능형 악성코드 분석 환경을 구성할 수 있다. 표준형 API로 모든 보안 기술과 연계분석 할 수 있으며, SIEM, 포렌식 등 모니터링·분석 기술과 함께 사용될 수 있어 보다 정확한 악성코드 탐지가 가능하다. 시스코는 내년 쓰렛그리드를 AMP에 통합시켜 브랜드화 할 계획이다.
이석호 시스코 APJ 보안사업부 이사는 “많은 보안 벤더들이 APT 방어를 위한 다단계 보안 전략을 제공하지만 시스코만큼 포괄적인 포트폴리오를 제공하지 못하고 포인트 솔루션이나 몇 가지 기술만을 제공한다”며 “시스코는 APT 공격이 진행되는 전 단계에 대한 가시성과 탐지·차단·예방 정책을 제공할 수 있고, 다양한 파트너십을 통해 지능화되는 공격에 대한 협업방어 체계를 구성한다”고 말했다.
그는 “그동안 국내 기업들이 포인트 솔루션으로 샌드박스를 구입했지만 샌드박스의 한계를 느껴 진보된 APT 방어 전략을 고민하고 있다. 시스코는 샌드박스와 함께 전 단계 보안을 체계적으로 제공할 수 있어 국내 APT 방어 시장에서도 리더의 위치를 지켜나갈 것”이라고 말했다.
