APT 방어를 위해 샌드박스 기술을 많이 사용하지만, 샌드박스는 우회하기 쉽기 때문에 효과적인 APT 방어 전략을 제공할 수 없다. 오히려 공격이 시작되는 첫번째 지점인 엔드포인트에 보다 정밀한 방어기술을 적용해 공격을 차단하는 것이 더 안전한 방법으로 꼽히고 있다. 실제로 APT 방어 솔루션을 제공해온 파이어아이, 팔로알토네트웍스 등이 엔드포인트 솔루션을 새롭게 발표하면서 엔드포인트 보호를 통한 APT 방어 효과를 얘기하는 상황이다.

엔드포인트에 대한 포렌식 기술을 제공하는 카운터택의 ‘센티넬’ 제품은 엔드포인트 보안의 대표적인 제품으로, 시그니처 방식의 백신 솔루션과 달리 엔드포인트에서 일어나는 모든 행위를 정밀하게 분석해 보안정책을 위반한 행위나 위험한 것으로 의심할 수 있는 정황을 탐지하고 차단할 수 있다.

마이클 데이비스(Michael Davis) 카운터택 CTO는 “네트워크 샌드박스 기술을 제공해온 파이어아이, 차세대 방화벽을 제공해온 팔로알토네트웍스가 엔드포인트 보호 신제품을 출시했다는 것은 엔드포인트 보안이 중요해졌다는 사실을 증명하는 것”이라며 “카운터택은 비 시그니처 기반 엔드포인트 보호를 위한 기술을 업계에서 가장 먼저 소개한 선두기업 중 하나다. 세계적인 금융기관, 통신사, 건설사, 국방관련 기관에 솔루션을 공급하면서 기술력을 입증해왔다”고 말했다.

국내 기업도 엔드포인트 보안에 관심 높아
센티넬은 PC와 서버에서 일어나는 모든 행위를 포렌식 기술을 활용해 정밀하게 분석하면서 이상행위 혹은 이상한 행위로 의심되는 정황을 탐지하고 보안 관리자에게 알리거나 실시간 차단 기능을 제공할 수 있다.

우리나라에는 지난해 인포섹과 총판계약을 맺은 후 금융·통신·대기업 등에 솔루션을 소개하고 있으며, 많은 고객으로부터 호평을 받고 있다. 이들 기업들은 수많은 엔드포인트를 통해 유입되는 보안위협을 해결하기 위한 방법을 찾고 있으며, 센티넬의 정밀한 보안 분석 기술을 긍정적으로 검토하고 있다.

데이비스 CTO는 “한국의 많은 기업들이 APT와 같은 지능형 타깃공격을 방어하는데 관심을 기울이고 있지만, 현재 APT 방어 솔루션이 공격을 막는데 한계를 갖는다는 것을 잘 알고 있다”며 “안티바이러스 솔루션은 알려지지 않은 공격을 차단할 수 없으며, 샌드박스·SIEM 등의 모니터링 기술은 우회공격이 쉬울 뿐 아니라 이벤트를 과다하게 발생시켜 관리 어려움을 가중시킨다”고 설명했다.

그는 “엔드포인트는 APT 방어를 위해 필요한 분야로, 가트너가 최근 엔드포인트 위협 탐지와 방어(ETDR) 카테고리를 별도로 만들면서 엔드포인트 보안 항목을 추가했다”며 “엔드포인트에 대한 세밀하고 빠른 분석이 가능한 센티넬 제품군은 이 카테고리의 선두그룹을 차지하고 있다”고 강조했다.

“장기적으로는 백신 대체할 것”
엔드포인트를 보호하기 위해서는 백신 솔루션이 필수적으로 요구되지만, 백신은 잘 알려진 패턴화된 공격만을 탐지할 수 있으며, 알려지지 않은 악성코드를 이용한 공격은 막지 못한다.

미국의 한 법률서비스 기업은 백신 솔루션이 탐지 못하는 공격에 빈번하게 노출돼 PC의 감염된 부분을 찾아 삭제하고 다시 설정하는 과정을 반복하면서 시간과 비용이 과다하게 소요되고 PC 관리가 제대로 이뤄지지 않는 문제가 있었다.

센티넬을 도입한 후 공격을 실시간으로 탐지하고 감염된 부분을 격리해 공격이 확산되지 못하도록 해 PC 관리 업무를 크게 줄이고 업무 생산성을 제고할 수 있었다.

한 헤지펀드 기업은 투자 수익을 극대화 할 수 있는 수익분석 알고리즘이 저장된 서버를 보호할 수 있는 방법을 찾고 있었다. 서버에 대한 접근 요청이 정상적인 경로로 이뤄지는지, 어떻게 감염되는지 등에 대한 가시성을 확보하고자 했으며, 센티넬 도입을 통해 공격 정황을 정확하게 포착하고 차단할 수 있었다.

데이비스 CTO는 “이외에도 다양한 기업과 기관에서 백신 솔루션이 탐지하지 못하는 공격을 센티넬이 탐지·차단하면서 엔드포인트 보안 수준을 한층 높일 수 있었다. 센티넬은 백신을 보완하는 기술이지만, 장기적으로는 백신을 대체하는 기술로 인정받을 것”이라며 “현재 백신은 컴플라이언스에 의해 반드시 설치돼야 하는 솔루션이기 때문에 당분간은 백신과 센티넬을 함께 운영하는 모델이 자리잡게 될 것”이라고 주장했다.

빅데이터 분석 기술로 위협요소 실시간 차단
센티넬이 백신을 대체할 수 있다고 자신하는 것은 행위기반 탐지 기술을 활용해 신·변종 공격에 상관없이 보안위협을 차단할 수 있기 때문이다. 백신은 시그니처에 등재된 것에서 조금만 변형이 일어나도 탐지하지 못한다.

센티넬은 악성코드 자체를 분석하는 것이 아니라 행위분석을 통해 공격을 탐지하기 때문에 시그니처 없이 위협요소를 찾아낸다. 위협요소를 클라우드로 보내지 않고 로컬에서 직접 분석하기 때문에 기업 내부 위협정보를 외부에로 보내지 않아도 된다.

빅데이터 분석 기술을 활용해 방대한 양의 데이터를 빠르게 분석할 수 있으며, 시스템 레벨에서 데이터를 수집하기 때문에 자원 사용률을 최소화하고 다른 보안 모듈과 충돌하지 않는다.

현재 센티넬은 윈도우 기반 PC와 서버를 지원하며, 내년 중반 리눅스 OS를 지원하고 내년 말에는 맥, 2016년에는 안드로이드를 지원할 계획이다.

데이비스 CTO는 “엔드포인트 보안의 중요성을 인지하는 고객이 매우 많다. 특히 한국은 IT에 막대한 투자를 해온 국가이기 때문에 지능형 공격 위협에도 노출돼 있어 지능형 보안에 많은 관심을 갖고 있다”며 “공격자들은 어떠한 방법으로든 보안시스템을 우회하기 때문에 공격이 일어나는 첫번째 관문에서부터 지능적으로 공격을 방어할 수 있어야 하며, 센티넬이 그 해답 중 하나를 제공해 줄 것”이라고 말했다.