지능형 타깃 공격은 기업/기관의 기밀 데이터만 노리는 것은 아니며, 불특정 다수의 개인정보와 금융정보를 노리고 있다. 또한 랜섬웨어와 같이 직접적인 금전 수익을 노리는 공격도 성행하고 있어 사이버 공격으로부터 안전한 사람은 아무도 없게 됐다.
이러한 공격은 알려지지 않은 악성코드를 이용해 백신 솔루션을 우회하기 때문에 샌드박스를 이용해 새로운 공격을 탐지하는 것이 필요하다. 그러나 샌드박스에 너무 의존하는 것은 한계가 있다. 샌드박스 기술이 범용적으로 사용되면서 정형화된 분석을 제공하게 돼 우회공격이 쉽게 이뤄질 수 있다. 과·오탐으로 인한 관리적인 문제도 샌드박스의 한계로 지목된다.
강지환 한국트렌드마이크로 기술지원팀장은 10일 서울 삼성동에서 열린 ‘제 15회 차세대 보안 비전(The Next Generation Next Security Vision) 2016’에서 ‘진화하는 보안 위협과 이에 대한 대응 방안’이라는 주제의 세션을 통해 최근 사이버 공격 트렌드와 이에 대응하는 방어 전략의 한계를 설명하고, 기존 방어 전략을 보완하는 합리적인 보안 기술을 소개했다.
우선 샌드박스의 문제를 해결하기 위해 사용자 환경과 동일한 환경의 커스텀 샌드박스를 구성해 사용자 조직을 노리는 공격을 정확하게 탐지한다. 정형화된 샌드박스 분석에서 벗어나 스크립트, 쉘코드, 페이로드 행위를 찾아내 시스템에 미치는 영향을 분석한다.
웹 브라우저를 통해 유입되는 악성코드를 차단할 수 있도록 브라우저 에뮬레이션 기술도 제안된다. 익스플로잇 행위 분석, 익스플로잇 페이지 핑거프린트 등을 이용한다. 브라우저 후킹을 통한 브라우저 행위를 모니터링하고, 시스템 후킹으로 시스템 내에서 이뤄지는 공격을 차단한다.
더불어 메모리 스캔과 C&C 통신 탐지, 글로벌 위협 인텔리전스를 통한 네트워크 레벨의 다양한 탐지 기법과 다중 검사를 지원한다.
엔드포인트 레벨에서는 통합 모니터링 기술을 적용해 서버에 접근 후 동작한 흔적을 모니터링하고, 기존 파일 값과 변경된 개체 상태를 비교해 악성행위 여부를 탐지한다. DPI 기능으로 OS와 애플리케이션 취약점 가상패치를 지원하며, 트래픽 페이로드를 검사해 취약점 악용 콘텐츠를 찾아낸다. 더불어 NAC, 방화벽, IPS, 보안스위치, SIEM 등 보안 시스템과 연계해 지능적인 공격을 차단한다.
강지환 팀장은 APT 대응 시스템 구성 예로 트렌드마이크로의 ‘딥시큐리티’를 소개했다. 딥시큐리티는 통합 샌드박스로 신변종 악성코드를 찾아내고, 이메일 악성파일과 URL을 탐지·분석하며, 엔드포인트 포렌식으로 엔드포인트의 침해흔적을 탐지한다.
강 팀장은 “딥 시큐리티의 시스템 시큐리티는 악성코드 탐지·차단과 인가받지 않은 위변조 탐지, 로그 파일에서의 중요한 보안 이벤트 가시성을 확보할 수 있으며, 네트워크 시큐리티는 웹 애플리케이션을 보호하고 취약점으로부터 가상패치를 지원하고, 물리·가상 서버의 공격 범위를 축소시킬 수 있다”고 설명했다.
