[웹·이메일 APT②] 게이트웨이에서 차단해야 방어효과 높아
상태바
[웹·이메일 APT②] 게이트웨이에서 차단해야 방어효과 높아
  • 김선애 기자
  • 승인 2015.06.10 09:26
  • 댓글 0
이 기사를 공유합니다

SWG·URL필터링으로 웹 기반 위협 차단…블루코트 아성 도전하는 토종기업 등장

웹과 이메일이 APT 공격의 주요 통로로 자리잡고 있다. 악성 이메일 공격은 메일을 열어보기만해도 악성코드에 감염되도록 진화했으며, 웹사이트 방문자를 감염시키는 공격은 일회성 URL을 악성코드 유포지로 사용해 추적시스템을 무력화한다. 이러한 공격을 막기위해 게이트웨이 기반 보안 솔루션이 주목을 받고 있다. 더불어 웹방화벽, 시큐어코딩, 악성코드 탐지 기술 등 APT 공격 방어를 위한 다양한 기술이 다시 부상한다. 웹·이메일을 이용한 공격을 방어하는 다양한 기술을 살펴본다.<편집자>

게이트웨이, 보안위협 차단 위한 최적의 지점

웹과 이메일을 통한 공격위협을 막기 위해서는 여러가지 보안 기술이 필요하다. 웹을 통해 유입되는 공격을 차단하기 위해서는 사용자 단말과 웹 구간을 보호하는 보안웹게이트웨이(SWG)와 유해 사이트 접속을 차단하는 URL 필터링 기술이 필요하디.

웹페이지에 악성코드/악성링크가 삽입되지 못하도록해 드라이브 바이 다운로드/워터링홀 공격을 원천차단하는 것도 중요하다. 웹방화벽으로 웹서버를 보호하고, 웹 애플리케이션 개발시 시큐어코딩으로 보안취약점을 제거하며, 개발 완료된 애플리케이션은 난독화로 보호한다.

스피어피싱 차단을 위해서는 알려진 악성코드나 알려지지 않은 악성코드가 메일에 추가돼 있는지 살펴보는 기술이 필요하다. 다양한 문서에 교묘하게 숨어있는 악성코드를 찾아내기 위해 샌드박스, 행위기반 분석기술, 휴리스틱 기술 등 기존의 악성코드 탐지기술과 함께 문서의 텍스트, 이미지 등 안전한 콘텐츠만 꺼내서 안전하게 재구성하는 ‘디스암’ 기술도 주목을 받는다.

마크 앤드류 블루코트 세계 총괄수석부사장은 “APT 공격 방식은 매우 다양하고, 수법도 지능적으로 진화하고 있다. 수시로 변화하는 공격을 효과적으로 방어하기 위해서는 공격이이뤄지기 전 게이트웨이에서 탐지·차단해야 한다”며 “지능형 공격에 대응하기 위한 다계층 보안을 위해서는 게이트웨이 레벨의 분석·차단 기술이 필수”라고 말했다.

게이트웨이는 통신이 이뤄지는 관문으로, 보안위협을 차단할 수 있는 최적의 지점이다. 특히 SSL과 같은 암호화 통신에 숨어서 유입되는 공격은 게이트웨이에서 분석해 차단하는 것이 효과적이다. 그러나 게이트웨이에서 너무 높은 수준의 보안정책을 적용하면 응답속도가 떨어져 사용자 경험이 낮아지고 업무 효율성을 저해한다. 낮은 수준의 보안정책은 보안위협에 제대로 대응하지 못한다.

게이트웨이에 적용되는 프록시는 보안위협을 효과적으로 차단할 수 있는 기술로 꼽힌다. 프록시 기반의 보안 기술은 네트워크 연결을 안정적으로 지원하는 기술로, SSL 암호화 통신 분석과 함께 다양한 보안정책을 적용할 수 있다. 그러나 제대로 구현하지 못하면 프록시를 통과하면서 IP 주소가 변경되고 부하가 발생하는 등의 문제가 생길 수 있다.

류봉현 모니터랩 실장은 “프록시 기술은 전통적인 통신 기술로, 기술을 구현하는 것 자체가 어려운 것은 아니다. IPS, 웹방화벽 등 네트워크 보안 시스템에도 사용된다. 문제는 대용량 트래픽 환경에서도 안정적이고 높은 성능을 유지하는지에 대한 것”이라며 “프록시를 거치면서 IP가 바뀌거나 네트워크 성능이 떨어지는 등의 문제가 발생할 수 있다”고 지적했다.

프록시 기술 기반 게이트웨이 보안 ‘탁월’

프록시 기술 기반의 게이트웨이 보안 솔루션을 공급하는 벤더는 블루코트, 웹센스 등을 꼽을 수 있으며, IPS 시스템도 프록시 기술을 이용한다. 국내 웹방화벽 솔루션도 대부분 프록시 기술을 사용하고 있다. 특히 SSL 분석 등 APT 방어에 프록시 기술을 응용하고 있는 기업은 모니터랩이 대표적이다. 모니터랩은 실제 사이트에서 성능을 테스트했을 때 자사 웹방화벽이 경쟁사에 비해 높은 성능을 기록했다고 강조한다.

블루코트는 웹 프록시 기술을 전문적으로 개발해 온 기업으로, SWG 솔루션 시장 1위를 지키고 있는 ‘프록시SG’가 대표적인 제품이다.

마크 앤드류 부사장은 “프록시SG는 게이트웨이 단의 프록시를 통해 보안위협을 차단하면서 응답속도를 향상시킬 수 있는 최적의 아키텍처를 기반으로 설계된 제품”이라며 “게이트웨이에서 공격 라이프사이클에 맞는 방어정책을 펼칠 수 있으며, 네트워크 상에서 암복호화가 가능해 공격 가시성을 명확히 할 수 있다”고 강조했다.

블루코트는 공격 가시성을 확보할 수 있는 복호화 솔루션 ‘SSL 가시성(VA)’을 게이트웨이에 적용하고, 네트워크 내부에서는 모든 트래픽을 포렌식 분석할 수 있는 ‘보안 분석 플랫폼(SAP)’을 적용해 공격이 이뤄지는 모든 과정에서 위협을 탐지할 수 있도록 한다. 알려지지 않은 악성코드를 분석하는 ‘멀웨어 분석 어플라이언스(MAA)’, 이메일 전용 APT 방어 솔루션 ‘메일 위협 방어(MTD)’ 솔루션으로 이어지는 포트폴리오를 통해 APT 공격 차단 효과를 높인다.

블루코트의 전 제품은 전 세계 웹 공격에 대한 정보를 수집·분석하는 ‘글로벌 인텔리전스 네트워크(GIN)’와 연동돼 실시간 웹 공격을 차단한다. GIN은 1만2000개의 기업, 7500만 사용자를 통해 웹위협 정보를 수집하며, 하루에 10억개의 URL을 분석해 악성 URL을 차단할 수 있다.

앤드류 블루코트 부사장은 “블루코트는 APT 공격을 차단하는 지능형 위협방어(ATP) 전략을 완성해가고 있다. 특히 개방형 협업 생태계를 구축해 다양한 써드파티 업체들과 APT 공격 차단 효과를 높이고 있다”며 “베스트 오브 브리드 전략을 통해 진화하는 공격을 지능적으로 방어할 수 있도록 하는 한편 향후 발생할 가능성이 있는 공격에 대한 예측방어도 가능하다”고 설명했다.

토종 솔루션도 SWG 시장 경쟁 참여

웹 기반 공격이 성행하면서 블루코트의 아성으로 꼽혀온 SWG 시장에 여러 기업들이 경쟁적으로 뛰어들고 있다. 특히 최근 보안 담당자들이 웹 기반 공격을 방어하는데 SWG가 효과적이라는 사실을 인지하게 되면서 웹 기반 보안솔루션을 제공해 온 기업들이 일제히 SWG를 출시하면서 경쟁에 불을 붙이고 있다.

류봉현 모니터랩 실장은 “APT 공격 방어 솔루션은 전 산업군에서 높은 수요가 발생하고 있다. 특히 공공·금융기관은 여러차례의 APT 공격을 받으면서 체계적인 APT 공격 방어 시스템 구축에 관심을 많이 보이고 있다”며 “SWG와 이메일 보안 시스템은 토종 솔루션을 보호하기 위한 규제가 없으며, 가격보다 기술에 중점을 두기 때문에 올해 글로벌 기업과의 기술경쟁이 치열하게 펼쳐질 것으로 보인다”고 말했다.

APT 공격 방어를 위한 SWG와 이메일 보안 시스템을 출시한 국내 기업 중 모니터랩이 주목할만하다. 모니터랩은 ‘웹인사이트 SWG(WISWG)’와 ‘이메일 인사이트 SEG()’를 통해 APT 공격에 가장 많이 이용되는 웹과 이메일을 통한 위협을 효과적으로 차단할 수 있도록 한다고 강조했다.

WISWG는 사용자의 실시간 브라우징 습관에 따라 분류된 DB를 바탕으로 사용자 요청의 99% 이상을 로컬에서 실시간 차단한다. 외부 클라우드 기반 가상 시스템 환경에서 알려지지 않은 링크에 대해 분석을 실시해 자체 시스템 부하에 영향을 주지 않는다.

이메일 인사이트 SEG는 메일로 유입되는 본문에 악성 링크나 악성 URL이 포함된 경우 사용자가 해당 링크를 클릭하는 순간 보안 카테고리 DB와 MUD 시스템을 이용한 행위분석을 통해 차단 한다. 이를 통해 샌드박스 가상환경을 우회하는 악성코드를 탐지할 수 있으며, 발신메일에는 내부정보 유출방지를 위한 기술을 제공한다.

  <그림 1> 모니터랩 ‘이메일 인사이트 SEG’ 특징

모니터랩은 보안 위협 센터인 쓰렛 인사이트 센터에서 알려진/알려지지 않은 위협요소 차단을 위한 보안 인텔리전스를 운영하고 있는데, MUD(Malicious URL Detection)와 MAD(Malicious Attachment Detection)를 통해 의심되는 URL과 첨부파일 악성코드를 분석해 분석결과를 SWG와 SEG로 각각 전송한다.

모니터랩의 웹인사이트 제품군은 투명한 프록시를 구현해 기존 네트워크 환경 변화 없이 강력한 보안이 가능하며, 네트워크에 인라인으로 구성하면서도 성능저하 없이 높은 수준의 보안을 제공할 수 있다. 장애상황에서는 바이패스 기능을 제공해 서비스 가용성을 최대한 보장한다.

류봉현 모니터랩 실장은 “SWG와 SEG 솔루션의 특징은 악성코드, 악성링크 차단 뿐 아니라 DLP 등 보안기능을 통합해 주요정보의 유출을 방지한다. 또한 별도 클라이언트 없이 웹메일에 대한 보안도 제공할 수 있어 다양한 메일환경을 안전하게 보호할 수 있다”고 설명했다.

하우리는 ‘APT 쉴드 2.0’을 통해 웹 브라우저 및 웹 브라우저 플러그인 취약점을 비롯해 문서 편집/뷰어 프로그램 취약점, 미디어 플레이어 취약점, 메신저 취약점, 각종 유틸리티 취약점 등으로 PC에 설치되는 악성코드를 차단한다.

취약점을 이용한 공격을 탐지하는 기술은 하우리의 축적된 기술력과 노하우를 바탕으로 취약점을 이용한 악성코드의 특정 행위(예) 특정 위치의 파일 생성, 파일 복사, 파일 실행, 정보 전송 등)를 APT 쉴드가 탐지하는 행위기반 기술을 제공한다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.