우리나라에 심각한 사이버 공격이 진행되면서 글로벌 보안 솔루션 기업이 국내 진출 속도가 빨라지고 있다. 특히 토종 일색이었던 백신 시장에도 외산 솔루션이 잇달아 진출하면서 국내 백신 시장 지형에 일대 변혁이 일어날지 관심이 모이고 있다. 이에 더해 네트워크·웹 보안 솔루션을 공급하던 기업들도 엔드포인트 보안 솔루션을 출시하면서 APT 방어 전략을 강화하고 있다. 사이버 공격의 시작점인 엔드포인트를 보호하는 방법과 새로운 기술을 소개한다. <편집자>
샌드박스, 우회공격 방지 기술 추가하며 진화
백신 솔루션이 악성코드 여부를 분석하는 기술 중 하나가 샌드박스로, 가상실행환경 내에서 의심파일을 실행시켜 위험여부를 판단한다. 파이어아이가 샌드박스를 단독 어플라이언스로 내놓으면서 APT 방어 전용 솔루션 시장이 생성되기 시작했다.
샌드박스는 우회하기 쉽고 분석에 시간이 걸려 인라인으로 구축되기 어려우며, 과탐으로 관리가 까다롭다는 문제가 있다. 그래서 보안인력이 충분히 조직된 대규모 기업이나 CERT를 운영하는 관제서비스 기업 등에서 한정적으로 도입했다. 우회공격을 방지하기위한 기술이 발달하고, 탐지 속도와 정확도를 높이고 있지만, 샌드박스만 사용하기에는 아직 제약이 많은 상황이다.
강기호 시만텍코리아 부장은 “백신 솔루션에도 샌드박스 엔진이 탑재돼 알려지지 않은 공격을 탐지한다. 이외에도 다른 여러 기능을 수행하는 엔진이 다양하게 탑재돼 우회공격과 미탐을 찾아낸다. 다양한 형태로 진행되는 APT 공격을 효과적으로 차단하기 위해서는 한두가지 기술만으로 대응할 수 없기 때문”이라고 말했다.
시만텍은 샌드박스 우회공격은 막기 위한 ‘시닉’ 엔진을 소개한다. 가상환경을 인지하는 악성코드를 찾아내기 위해 사용자 환경과 똑같은 물리적인 환경에서 실행시켜보는 방식으로, 사용자 PC가 아니라 클라우드에서 분석하기 때문에 PC 성능부하 우려가 없으며, 빠르게 분석이 가능해 공격이 진행되기 전에 차단할 수 있다.
공격자 정보 파악해 정확한 방어 제공
샌드박스 기술로 APT 방어 시장을 개척해 온 파이어아이는 핵심 기술인 ‘멀티벡터 가상실행엔진(MVX)’을 통해 샌드박스 우회기술을 차단하고 알려진/알려지지 않은 악성코드를 탐지한다. 맨디언트 인수로 획득한 침해조사 통계를 기반으로 ‘파이어아이 인텔리전스 센터(FIC)’ 포털을 옵션으로 서비스해 공격자에 대한 정보를 알 수 있게 해 보다 정확한 방어를 제공한다.
김현준 파이어아이코리아 상무는 “악성코드만을 분석해서는 지능형 공격을 막을 수 없으며, 공격자의 배후와 목적을 파악하고 그에 따른 대응책을 마련하는 것이 근본적으로 사이버 공격을 차단하는 방법”이라며 “FIC에서는 기존 침해사고 분석 결과를 기반으로 정리된 공격자 DB를 기반으로 해당 공격그룹이 사용하는 공격기법과 목표, 목적을 파악해 대응할 수 있도록 한다”고 설명했다.
파이어아이는 FIC를 통해 어디로 공격이 유입됐으며, 어떠한 정보가 유출됐고, 시스템의 어느 부분까지 침투했는지 파악한 후 엔드포인트 보안 솔루션 ‘HX’를 통해 피해를 입은 엔드포인트를 추적해 피해범위를 확인하고 추가피해를 방지할 수 있도록 한다. HX 분석을 통해 내부 네트워크 감염 경로를 파악하고, 내외부의 피해를 입은 엔드포인트를 파악해 격리하는 등의 일련의 조치를 취할 수 있다.
HX는 맨디언트가 침해조사를 수행할 때 사용한 기술로, 서버 한 대로 10만대의 PC를 동시에 스캐닝 할 수 있는 포렌식 기술이 적용됐다. 실시간으로 PC를 모니터링하면서 의심행위를 찾아내고 네트워크에서 격리해 피해가 확산되는 것을 막을 수 있다. 더불어 실제로 공격이 성공했는지, 이 공격이 비즈니스에 미치는 영향력은 어느 정도인지 파악할 수 있는 네트워크 포렌식 솔루션 ‘PX’을 제공한다.
김현준 상무는 “샌드박스 기술만으로 보면 경쟁사와의 기술격차가 상당히 좁혀진 것은 사실이다. 그러나 공격이 진행되는 전 과정에서 공격을 탐지하고 공격자의 배후와 방법, 목적 등을 파악해 추가확산을 차단하고 비즈니스 피해까지 분석하는 종합대책은 경쟁사에서 제공하지 못한다”고 자신했다.
