[엔드포인트 보안⑧] 경쟁 치열해지는 엔드포인트 보안

문서 재조립해 숨어있는 악성코드 차단…네트워크·엔드포인트 보안 결합해 오·미탐 방지

우리나라에 심각한 사이버 공격이 진행되면서 글로벌 보안 솔루션 기업이 국내 진출 속도가 빨라지고 있다. 특히 토종 일색이었던 백신 시장에도 외산 솔루션이 잇달아 진출하면서 국내 백신 시장 지형에 일대 변혁이 일어날지 관심이 모이고 있다. 이에 더해 네트워크·웹 보안 솔루션을 공급하던 기업들도 엔드포인트 보안 솔루션을 출시하면서 APT 방어 전략을 강화하고 있다. 사이버 공격의 시작점인 엔드포인트를 보호하는 방법과 새로운 기술을 소개한다. <편집자>

새로운 경쟁사 진입하며 시장 활성화

엔드포인트 보안의 중요성이 높아지면서 네트워크·웹 보안 솔루션 기업들도 일제히 엔드포인트 보안 솔루션을 내놓으면서 경쟁을 가속화하고 있다. 시스코는 소스파이어를 인수하면서 획득한 ‘AMP’를 소개하고, 팔로알토네트웍스는 사이베라를 인수하고 ‘트랩스’를 출시했다. 블루코트는 멀웨어 분석 어플라이언스(MAA)로 APT 악성코드를 탐지하며, 체크포인트는 샌드박스 기술과 함께 CPU 기반 위협탐지 기술, 문서의 악성코드 탐지기술을 결합해 제품을 내놓고 있다.

시스코의 AMP는 글로벌 위협 인텔리전스, 알려진 파일 시그니처, 동적파일 분석 기술을 사용해 공격 전/중/후 악성코드 침입을 탐지하며, 진행되는 공격을 발견했을 때는 회귀분석 기술을 이용해 공격 과정을 역분석해 감염된 시스템과 엔드포인트를 찾아 격리함으로써 피해 확산을 방지한다.

체크포인트는 가상화 기반 위협탐지 시스템 ‘쓰렛 프리벤션(Threat Prevention)’과 샌드박스 솔루션 ‘쓰렛 에뮬레이션’을 통해 메일, 웹으로 유입되는 파일의 유해성 여부를 분석한다.

샌드박스 우회 공격을 방지하기 위해 프로그램 코드의 CPU 플로우를 추적하는 ‘CPU 레벨 프리벤션’과 문서의 악성코드를 제거하는 ‘쓰렛 익스트랙션’을 추가해 악성코드 탐지 정확도를 높인다.

CPU 레벨 프리벤션은 프로그램 코드의 CPU 플로우를 추적해 의도되지 않는 프로그램상의 행위를 추적·탐지한다. 실시간에 가깝게 공격을 탐지할 수 있으며, OS와 애플리케이션에 의존하지 않으므로 샌드박스 우회공격에 대한 대안 될 수 있다. 쓰렛 익스트랙션은 오피스 파일, PDF 파일의 액티브 코드를 제거하고 안전한 그림·문자를 추출·재조합해 악성코드 유입을 차단한다.

<그림 1> 텍스트·이미지 등 안전성이 확인된 요소만 추출해 문서를 재조립하는 기술 (자료: 체크포인트코리아)

팔로알토네트웍스의 ‘트랩스’는 공격자들이 사용하는 기법을 파악해 익스플로잇 공격을 차단하기 때문에 신·변종 악성코드 여부에 상관없이 공격을 탐지할 수 있다. 해당 사이버 위협에 대한 사전 지식 없이 공격을 정확하게 탐지·차단할 수 있으며, 확장성 높은 경량 에이전트로 낮은 사양의 PC에서도 장애나 충돌 없이 구동될 수 있다.

트랩스 모듈은 사용자 프로세스에 침투해 공격이 시도되면 트리거(trigger)와 블로킹(blocking)을 수행해 공격을 막는다. 공격이 시도되지 않는 때에는 사용자 및 프로세스에 부합하는 비즈니스 사용 용도로 작동하는 등 최소한의 자원만을 사용하므로 사용자 경험에 영향을 주지 않는다.

트랩스는 공격 자체가 아닌 익스플로잇 기술에 중점을 둔 방어 솔루션으로, 패치가 설치돼 있지 않거나 소프트웨어 업데이트가 이뤄지지 않은 상태에서도 효과적으로 공격을 차단할 수 있다. 또한 악성 활동 자체를 스캐닝하거나 모니터링 하는 방식이 아니므로 최소한의 CPU 및 메모리만으로 보안 확장 효과를 취할 수 있다.

엔드포인트·네트워크 연계해 APT 방어 효과 높여

토종 기업 중 엔피코어가 APT 방어 솔루션 전문기업을 표방하면서 시장에서 선전하고 있다. 엔피코어는 엔드포인트와 네트워크 탐지를 연계해 오탐을 최소화하고 정확하고 신속하게 대응할 수 있게 한다.

엔피코어는 자사 제품을 통해 ▲네트워크 보안시스템을 우회하는(암호화, 잠복형) 악성코드에 대한 탐지·차단 ▲네트워크 정보와 엔드포인트 정보 연계분석으로 오탐율 최소화 ▲엔드포인트 탐지 적용으로 불법적인 아웃바운드 트래픽에 대한 원천차단으로 신속대응이 가능하다고 주장한다.

엔피코어 관계자는 “엔피코어 제품군을 도입한 지방자치단체의 경우, 기존에 도입된 타사 좀비PC 방지 솔루션과 함께 운영돼 이중으로 보안을 강화할 수 이었으며, 광역단체의 검사보고서에 대해서 자체적인 검증이 가능했고, 네트워크 패킷분석 방식에 의한 오탐율 감소와 네트워크 우회 공격에 대해서 원천적인 방어가 가능하게 됐다”며 “기존의 네트워크보안 장비로는 새로운형태의 공격 위험을 방어하기에는 기술적 한계가 있으므로 엔드포인트 보안 솔루션과 연동해 이중보안 시스템 구축으로 원천적인 방어체계를 구축하는 것이 중요하다”고 말했다.

한편 엔피코어는 스마트폰 보안 솔루션을 출시하면서 네트워크·엔드포인트·모바일 보안 솔루션까지 풀라인업을 구축해 엔터프라이즈 보안 시장에서 개인용 보안 시장까지 영업을 확대해 나갈 예정이다.

김선애 기자 다른기사 보기