우리나라에 심각한 사이버 공격이 진행되면서 글로벌 보안 솔루션 기업이 국내 진출 속도가 빨라지고 있다. 특히 토종 일색이었던 백신 시장에도 외산 솔루션이 잇달아 진출하면서 국내 백신 시장 지형에 일대 변혁이 일어날지 관심이 모이고 있다. 이에 더해 네트워크·웹 보안 솔루션을 공급하던 기업들도 엔드포인트 보안 솔루션을 출시하면서 APT 방어 전략을 강화하고 있다. 사이버 공격의 시작점인 엔드포인트를 보호하는 방법과 새로운 기술을 소개한다. <편집자>
우회기술 막는 기술 끊임없이 발전
백신만으로 사이버 공격을 막을 수는 없지만, 백신 없이 공격을 막는 것도 불가능하다. 하루 수십만개씩 생성되는 새로운 악성코드를 일일이 샌드박스로 실행시켜보는 것은 불가능한 일이다.
공격에 사용되는 악성코드의 90%는 이미 알려진 것이거나 간단한 변형으로 백신 시그니처로 차단될 수 있다. 나머지 10%의 알려지지 않은 공격은 다른 분석기법을 이용해 탐지·삭제하는 방법으로 지능형 공격을 단계적으로 차단하는 것이 가장 효과적인 방법이다.
남인우 체크포인트코리아 상무는 “사이버 공격이 빠르게 변화하고 있기 때문에 모든 위협을 완벽하게 탐지하고 차단하는 단일 기술은 없다. 방어 수단의 특징과 목적을 정확히 이해하고 최적의 조합으로 구현해 공격을 최대한 어렵게 하고, 실수로 인한 유입/감염을 방지하며, 공격을 당했을 때 피해를 최소화하며, 사고에 대해 빠르게 조치하고 원인을 파악해 대책을 마련하는 과정이 필요하다”고 설명했다.
공격과 방어는 쫓고 쫓기는 관계에 있으므로, 공격자의 공격패턴을 파악한 방어자가 이를 차단하는 기술을 개발하면 공격자는 이를 다시 우회하는 기술을 찾아내고, 방어는 우회공격을 막는 기술을 다시 개발해 차단하는 패턴을 갖는다. 공격자가 언제나 한 발 앞서있는 상황으로, 향후 공격자가 사용할 것으로 예상되는 공격까지 막을 수 있어야 한다.
이를 위해 백신 솔루션은 여러 엔진을 적용해 시그니처에 등록돼 있지 않은 보안위협도 차단할 수 있도록 지능적으로 진화하고 있다. 이전에 진행된 업무 패턴을 기반으로 정상적이지 않은 행위가 일어났을 때 차단하거나 파일·문서의 평판정보를 분석해 일정수준 이상의 평판을 받은 파일/문서만을 열어볼 수 있도록 한다.
‘똑똑한 두뇌’ 장착한 다중 보안 엔진 탑재
시만텍은 엔드포인트, 이메일, 네트워크 세 부분에서 악성행위를 탐지·차단하며, 위협요소를 탐지하는 여러 엔진을 탑재해 탐지 정확도를 높인다. 여기에 ‘시냅스’ 기능을 추가해 탐지된 요소 중 진짜 위험한 것이 무엇인지 찾아내 오탐을 최소화하고 공격만을 차단한다.
강기호 시만텍코리아 부장은 “시냅스는 시만텍 보안 솔루션의 ‘두뇌’ 역할을 하는 코릴레이션 엔진으로, 공격요소가 유입된 경로와 공격진행 상황 등을 모니터링해 차단, 사후조치 할 수 있도록 하는 것”이라며 “전 세계 보안위협 정보를 수집하는 글로벌 인텔리전스 네트워크(GIN)와 연동돼 악성코드 탐지 속도와 정확도를 더욱 높일 수 있다”고 말했다.
시만텍 엔드포인트 시큐리티(SEP)는 물리·가상환경에서도 지능적으로 공격을 차단하며, 네트워크 위협 보호, 시만텍 인사이트, 소나(SONAR) 등 강력한 기술을 활용해 표적공격으로부터 사용자의 PC와 노트북을 보호한다.
네트워크 위협 보호는 사용자의 기기에서 처리되기 이전에 네트워크로 들어오는 데이터를 미리 분석해 네트워크 내의 취약한 소프트웨어 혹은 사용자들에게 영향을 미치기 전에 표적 공격을 예방할 수 있다.
시만텍 인사이트는 악성으로 보고된 인바운드 소프트웨어 파일을 자동으로 차단하며, 소나 기술을 통해 자동으로 모든 소프트웨어의 행위들을 모니터링하고, 표적공격과 같은 행위를 하는 소프트웨어를 탐지하기 위해 각 애플리케이션의 행위를 실시간으로 분석한다.
이 기술에 기반해 SEP는 네트워크 접근 제어, 애플리케이션 제어, 안티바이러스, 안티스파이웨어, 데스크톱 방화벽, 호스트 및 네트워크 침입 방지, 디바이스 제어와 같은 다양한 보안 기술들을 하나로 통합, 다수의 엔드포인트 보안 제품들을 관리할 때 발생할 수 있는 시간, 비용, 인력 자원 낭비를 방지하고 다양한 이기종 플랫폼 지원을 통해 운영 효율성을 극대화 해준다.
강기호 부장은 “SEP는 GIN과 연결돼 있기 때문에 많은 엔진이 탑재돼 있어도 PC 성능에 영향을 주지 않고 알려진/알려지지 않은 위협요소를 차단한다. 가상실행기술 뿐 아니라 물리적인 환경에서 의심파일을 실행해보는 환경도 갖추고 있어 가상환경을 우회하는 악성코드도 찾아낼 수 있다”고 설명했다.
