APT 공격은 알려진 악성코드 뿐 아니라 새롭게 개발된 알려지지 않은 악성코드도 이용한다. 이전에 발견되지 않은 악성코드를 탐지하기 위해서는 악성코드로 의심되는 요소를 가상의 샌드박스에서 실행시켜 보는 방식이 각광을 받고 있지만, 샌드박스는 실시간 탐지가 어렵고 다양한 우회공격이 가능하다는 치명적인 단점이 있다.
샌드박스의 한계를 해결할 수 있는 방법으로 ‘보안 인텔리전스’가 주목된다. 전 세계에서 탐지되는 의심파일을 분석해 악성코드로 판명되면 이를 차단할 수 있는 시그니처를 만들어 배포하는 방식이다.
보안 인텔리전스는 안티바이러스 등 시그니처 기반 보안 솔루션을 제공하는 기업들이 새로운 위협요소를 탐지하기 위해 오래 전 부터 제공해 온 방식으로, 클라우드 인프라를 활용한 빅데이터 분석 기술을 이용해 더욱 지능화된 보안 위협 정보를 제공하게 됐다.
행위분석 기술로 최신 위협 정보 제공
글로벌 기업들은 전 세계에 배포된 자사 장비와 고객들로부터 보안위협 정보를 수집하고 거대한 인프라를 이용해 분석함으로써 새롭게 발견되는 위협 정보를 빠르고 정확하게 분석하고 탐지·배포할 수 있다.
그러나 토종 솔루션 벤더들은 상대적으로 적은 고객과 위협정보 샘플 수집 제한으로 글로벌 기업만큼 방대한 규모의 정보 수집에 어려움을 겪는다. 세인트시큐리티는 이러한 문제를 해결하기 위해 세계적인 바이러스 정보 서비스인 ‘바이러스토탈’과 함께 손잡고 최신 위협 정보를 제공한다.
세인트시큐리티는 ‘멀웨어스닷컴(malwares.com)’을 통해 위협정보를 수집·탐지한다. 바이러스토탈의 악성코드 정보와 자체적으로 개발한 행위분석 기술을 바탕으로 최신위협정보를 신속하게 제공한다. 또한 세인트시큐리티와 협력을 맺고 있는 국내 주요 보안기업과 고객으로부터 제공받은 위협요소도 함께 분석해 국내 기업/기관을 노리는 지능적인 악성코드를 탐지할 수 있다.
김기홍 세인트시큐리티 이사는 “국내 보안기업이나 고객들이 보안 위협 정보를 외부로 보내는 것을 꺼리는 분위기가 있었으나 최근 보안위협이 지능화되면서 ‘보안 인텔리전스’에 대한 이해가 높아져 보안위협 정보 공유를 통해 지능형 공격을 막고자 하는 부위기가 형성되고 있다”며 “멀웨어스닷컴은 국내 뿐 아니라 전 세계의 다양한 고객과 기업/기관으로부터 위협요소 정보를 수집·분석해 가장 최신의 악성코드 정보를 제공할 수 있다”고 말했다.
“IoT 최신 악성코드 분석 서비스 제공할 것”
멀웨어스닷컴은 웹사이트에 숨어있는 악성코드를 탐지해 드라이브 바이 다운로드/워터링홀 공격을 차단하고, 모바일 악성코드 분석과 특정 IP 또는 호스트네임의 파일유포 이력을 분석하며, 기존 보안 솔루션과 연계할 수 있도록 API를 제공한다.
세인트시큐리티는 바이러스토탈의 API 판매와 관련, 아시아 총판 계약을 체결한 바 있다. 전 세계 유수의 백신 기업이 바이러스토탈의 정보를 자사 제품에 연동시키고 있으며, 아시아 지역에서는 이와 관련된 수요가 이제 막 생겨나기 시작했다고 판단하고 있다. 특히 우리나라와 일본, 중국에서 수요가 발생하고 있으며, 일본·중국은 파트너를 통해 공급한다는 계획을 세우고 있다.
김기홍 이사는 “현재 주요 고객은 보안관제 기업과 보안 솔루션 기업, 그리고 ISP·대학 등 다양한 산업군에 포진돼 있으며, 향후 사물인터넷 관련 보안 기업들과도 협력할 수 있을 것으로 기대한다”며 “특히 사물인터넷 보안을 강화할 수 있도록 스마트 기기에 대한 클라우드 서비스를 개발해 사업 영역을 확장하고자 한다”고 밝혔다.
