지능형 공격 차단을 위해 제안되는 가상머신 기반 행위분석은 다양한 우회공격이 가능하기 때문에 이를 보완하는 기술이 필요하다. 코마스가 공급하는 엔토빌소프트의 ‘넷쉴드’ 제품군은 파이어아이 등 APT 방어 솔루션과 연동 가능한 지능형 위협 차단 모듈과 SSL 암복호화 모듈, 파일 추출 기능을 제공해 기존 보안 솔루션의 한계를 모두 해결했다. <편집자>
국내 보안 전문기업 엔토빌소프트가 제공하는 ‘넷쉴드(NetShield)’는 기존 APT 방어 장비가 갖고 있는 문제를 해결·보안할 수 있는 기능을 탐재했다. 넷쉴드 제품군은 파이어아이와 연동해 강력한 탐지 성능을 제공하며 ▲인텔리전스 차단 기능 ‘넷쉴드AT(NetShield-AT)’ ▲전문 파일 추출기능 ‘넷익스트랙터(NetExtractor)’ ▲SSL 암복호화 ‘넷크립토(NetCrypto)’의 3가지 모듈을 하나의 하드웨어를 통해서 제공한다. 각각의 모듈은 함께 구성될 수도 있고 별도 제공도 가능하다.
넷쉴드AT는 파이어아이의 APT 장비와 연동되거나 사용자 기반 블랙리스트를 받아 네트워크에서 차단 기능을 수행한다. TCP 리셋 형태의 차단 기능을 제공하기 때문에 기존 네트워크 구성에 영향을 주지 않으면서 높은 차단율을 제공한다.
기존 APT 장비의 차단 기능에서 아쉬운 점으로 꼽혔던 유연한 차단 정책이 모두 지원된다. 레이어 3/4 기반 차단 정책은 물론이고 우선순위에 따른 화이트리스트/블랙리스트, HTTP 풀 URL/URI의 특정 필드 기반 차단, 탐지한 이벤트에 대한 관리화면과 리포트 관리 위험도 표시 등을 제공한다.
활용측면에서 보면 기업내 다양한 보안 솔루션과의 연계를 통해서 차단 역할의 기능적 단일화와 통합을 제공함으로써 운영 효율성을 높일 수 있다. 특히 국내 대기업이나 통신사들에 연이어서 납품하면서 실제 환경에서의 안정성 등도 검증을 받았다.
네트워크 변경 없이 SSL 복호화 시스템 구성
SSL 기반 암호화 트래픽은 매년 52%씩 증해 SSL 트래픽 검사 없이 APT 위협으로부터 안전성을 보장받지 못한다. 한 연구에 의하면 2017년 SSL을 이용해 암호화를 한 악성코드 공격이 기존 대비 50% 이상 증가할 것이라는 보고서도 있다. 그만큼 SSL 트래픽 검사는 기업 보안의 관점에서는 필수적인 요소가 됐다고 할 수 있다.
이 때문에 글로벌 보안 기업들은 SSL 복호화 장비가 출시되고 있지만, 도입·운영 비용이 높고 네트워크 구성을 변경해야 하는 라우티드 모드(Routed-Mode)로 구성돼 기업이 쉽게 도입할 수 없엇다.
엔토빌의 SSL 암복호화 솔루션 넷크립토는 레이어 2 기반으로 풀 트랜스패어런트 구성이 가능해 네트워크 구성 변경 없이 모든 암호화 트래픽의 가시성을 확보할 수 있도록 한다. 또한 강력한 SSL 정책으로 단순히 암복호화만을 진행하는 것이 아니라 SSL 연결시 사용되는 인증서에 대한 유효성 검증은 물론이고 특정 사이트에 대한 예외 처리 기능과 같이 유연하고 강력한 정책 적용이 가능하도록 지원한다.
기존 SSL 암복호화 솔루션을 고려할 때 기업의 가장 큰 걱정거리였던 성능 부분도 완벽하게 지원한다. 넷크립토는 최대 20Gbps 트래픽을 처리하는 하드웨어에 SSL 암/복호화에 대해서 4Gbps의 트래픽을 처리가 가능하기 때문에 대부분의 기업 환경에서 유연하게 적용이 가능하다.
넷크립토에 의해 암호 해제된 트래픽은 파이어아이와 같은 APT 장비나 기타 IPS, 방화벽, WAF 등과 같은 보안 장비나 모니터링 장비로 실시간 미러링을 통해 전달할 수 있다. 이러한 연동을 통해서 기업은 숨어 있는 공간이 없이 트래픽에 대한 충분한 가시성을 확보함으로써 조직내 보안을 한층 더 강화 시킬 수 있다.
망분리 보안 더욱 강화해 지능형 공격 차단
넷쉴드 제품군의 ‘넷익스트랙터’는 강력한 DPI 엔진을 기반으로 네트워크 상에서 움직이는 모든 파일을 추출해 파이어아이와 같은 보안 장비로 전달해서 자동으로 악성여부를 확인할 수 있도록 한다.
넷익스트랙터는 금융·공공의 망분리 환경에서 더욱 필요성이 강조된다. 망분리 솔루션을 적용해도 인터넷망과 내부망에서 파일 교환 필요는 지속적으로 생길 수밖에 없다. 대부분의 기업, 기관이 사용하는 방식이 망연계 솔루션에 의한 방법이다.
망연계 솔루션은 물리적으로 나뉜 내부망과 외부망 사이에서 파일을 교환할때 백신 소프트웨어로만 검사를 진행한다. 그러나 지능형 지속 공격에 사용되는 악성코드가 백신 소프트웨어에 탐지될 확률은 거의 없다.
물리적으로 두대의 PC로 나뉘어 졌기 때문에 내부망의 PC가 확률적으로 악성코드를 받을 확률은 낮아졌지만, 여전히 파일 교환 과정에서의 보안 수단은 백신이기 때문에 악성코드를 탐지하는 입장에서는 개선된 점이 없다.
이 때문에 많은 기업이나 기관들이 망연계 솔루션이 있는 구간에서 파이어아이와 같은 가상머신 기반의 솔루션들을 적극적으로 검토하고 적용하고 있다. 이유는 백신 소프트웨어의 파일 검사만으로는 지능형 악성코드를 잡아낼 수가 없기 때문에 파이어아이와 같은 가상머신 솔루션으로 한 번 더 검사를 해서 지능형 악성코드에 대한 부분까지도 해결하도록 하는 것이다.
망연계 솔루션과 가상머신을 연동하는 것이 간단하지는 않았지만, 엔토빌의 넷익스트랙터를 통해 연동할 경우 구현 과정을 손쉽게 진행할 수 있다. 또한 네트워크 상에서 자동으로 파일을 추출해 해당 파일을 파이어아이와 같은 보안 장비로 연결, 안전성을 확인함으로써 망분리 후에 파일 교환 부분에 있어서 한층 더 강력한 보안성을 제공할 수 있게 된다.
넷익스트랙터는 모듈을 사용하면, 트래픽에 대한 원시(Raw) 패킷을 저장하고 이에 대한 분석과 추적을 지원하는 네트워크 포렌식 기능 ‘넷프리저(NetFree zer)’를 제공해 효용성이 매우 크다. 네트워크 플로우에 대한 정보를 자동으로 저장하고 이에 대한 다양한 검색 기능까지 지원하므로 만에 하나 사고가 발생하더라도 넷쉴드 솔루션을 이용해 과거 네트워크의 트래픽에 대한 검사/검색 및 추적이 가능하다.
