웹과 이메일이 APT 공격의 주요 통로로 자리잡고 있다. 악성 이메일 공격은 메일을 열어보기만해도 악성코드에 감염되도록 진화했으며, 웹사이트 방문자를 감염시키는 공격은 일회성 URL을 악성코드 유포지로 사용해 추적시스템을 무력화한다. 이러한 공격을 막기 위해 게이트웨이 기반 보안 솔루션이 주목을 받고 있다. 더불어 웹방화벽, 시큐어코딩, 악성코드 탐지 기술 등 APT 공격 방어를 위한 다양한 기술이 다시 부상한다. 웹·이메일을 이용한 공격을 방어하는 다양한 기술을 살펴본다.<편집자>
샌드박스·행위분석 연동해 악성코드 차단
APT 공격 방어의 핵심은 알려진, 혹은 알려지지 않은 악성코드를 얼마나 효과적으로 빠르게 차단하는가이다. 샌드박스는 알려지지 않은 악성코드를 탐지하는데 가장 탁월한 효과를 보이지만, 쉽게 우회할 수 있기 때문에 샌드박스와 함께 다른 보안 솔루션을 적용하는 것이 필요하다. 또한 샌드박스는 너무 많은 보안 이벤트를 발생시키기 때문에 실제 위협에 대한 가시성이 떨어지고, 운영을 위한 전문성을 요한다.
모니터랩은 샌드박스와 행위기반 분석기술을 연동해 알려지지 않은 악성코드 탐지율을 높인다. 바이러스토탈과 연동해 실시간 악성코드 정보를 공유하며, 악성 카테고리 DB를 보유하고 있는 사이렌디비와도 협력해 악성URL을 차단한다. 악성링크는 끝까지 추적해서 위험한 것으로 추정되는 사이트를 우선 차단하는 정책을 적용할 수 있다.
첨부파일에 악성코드가 숨어있는 공격은 텍스트, 이미지 등 안전한 콘텐츠만 털어내 안전한 문서로 다시 제조합하는 기술이 주목된다. 시만텍의 ‘디스암’ 기술이 이러한 기능을 제공하는 것으로, 교묘하게 숨어있는 위협요소를 원천 차단할 수 있다.
시만텍은 글로벌 인텔리전스 네트워크(GIN)를 통해 전 세계 보안위협 정보를 수집·분석하며, 휴리스틱 기술, 스켑틱 기술, 행위기반 분석, 빅데이터 분석기술 등 다양한 악성코드 분석 기술을 적용해 정확하게 보안위협만을 탐지한다.
박희범 시만텍코리아 지사장은 “방대한 규모의 데이터를 수집해 여러 기술을 적용해 분석하기 때문에 오탐·미탐 없이 보안위협을 차단할 수 있다. 시만텍이 하루 동안 수집·분석하는 보안위협 정보는 경쟁사에서 일주일 이상 한달까지 걸리는 규모”라며 “시만텍은 전 세계 최고의 보안 기술과 보안전문인력을 통해 위협요인을 지능적으로 걸러낼 수 있다”고 말했다.
디스암의 기본 기능은 안티바이러스 솔루션에 탑재돼 있으며, 국내에서도 소프트캠프에서 제공하고 있다. 소프트캠프는 문서방역기능을 이용해 외부 유입 파일을 안전하게 격리된 공간에서 관리하며, 내부 시스템 상에서 열어봐야 할 경우 안전한 콘텐츠만 재조합해 열어보게 만들고, 외부 콘텐츠로 철저하게 분류해 악의적인 행동이 일어나는지 모니터링한다.
이글루시큐리티는 보안위협연구센터의 악성코드 유포지 자동수집 시스템인 ‘애플도어 시스템’을 통해 약 100만개 이상의 URL, IP 등 정보를 수집해 악성코드를 유포하는 URL 및 악성 샘플을 수집하고 있으며, 바이러스토털, 한국인터넷진흥원 등 외부 기관들이 수집하는 최신 위협 정보도 분석하고 있다. 더불어 소프트웨어 취약점을 이용한 공격을 탐지할 수 있는 안티 익스플로잇 기술과 가상화 환경을 이용한 악성코드 탐지 기술을 제공한다.
글로벌 보안 인텔리전스로 오탐 최소화
시만텍 GIN과 같은 보안 인텔리전스는 대부분의 보안 전문 기업들이 서비스하는 것으로, 전 세계 고객으로부터 보안위협 정보를 수집해 분석하고, 탐지된 위협요소를 제거하는 정책을 다시 배포하는 형식을 취한다.
블루코트 GIN, 인텔시큐리티는 글로벌 위협 인텔리전스(GTI), 체크포인트 쓰렛 에뮬레이션, 포티넷 포티가드, 웹센스 쓰렛시커, 카스퍼스키랩 KSN, 팔로알토네트웍스 와일드파이어 등이 대표적인 인프라로, 저마다 업계 최고의 DB와 가장 빠른 차단 정책 제공을 강점으로 내세운다.
체크포인트는 여기에 CPU 레벨 샌드박스 기술을 이용해 악성코드 탐지율을 높인다. OS 레벨의 샌드박스는 특정 OS와 애플리케이션 버전에 종속되지만, CPU 레벨 샌드박스는 OS·애플리케이션 종속없이 위협요소를 검사할 수 있다.
남인우 체크포인트코리아 기술총괄 상무는 “CPU 레벨 샌드박스 기술은 기존 샌드박스 우회기술이 적용되지 않으며, 초단위 탐지가 가능해 진정한 실시간 탐지를 제공할 수 있다”며 “또한 시만텍 디스암과 같은 기능을 제공하면서 안전한 문서를 PDF로 제공해 만에 하나 걸러지지 않은 위험요소가 실행되지 않도록 원천차단한다”고 설명했다.
HP는 ‘시큐리티 리서치’를 통해 전 세계 위협정보를 수집·분석하며, DV랩스를 통해 보안위협 정보 포털 ‘쓰렛 센트럴’을 운영해 실시간 악성코드 정보를 일반인도 쉽게 알수 있게 한다. 또한 ZDI 제로데이 이니셔티브를 후원해 전문가와 개인이 보안취약점을 발견해 신고하면 이에 대해 적절한 포상을 하고 취약점 정보를 해당 벤더에 알려서 조치를 취하도록 한다.
