딜라이트닷넷

[RSA 2012] RSA 2012에서 주목받은 APT 대응 솔루션은?

이민형 기자
- 안랩·파이어아이·HB개리, RSA 2012에서 APT 대응 솔루션 선봬

[디지털데일리 이민형기자] APT(지능형지속가능위협) 공격이 최근 기업을 위협하는 가장 지능적이고 무서운 사이버공격 수법으로 인식되고 있다.

지난해 APT 공격으로 인해 많은 기업들이 몸살을 앓았다. EMC RSA, 소니컴퓨터엔터테인먼트, 엡실론 등 해외기업을 비롯해 농협, SK커뮤니케이션즈, 넥슨 등 국내기업들도 APT 공격을 당하며 수천만건의 개인정보와 기업정보를 유출시켰다.

이런 상황에서 안랩, 파이어아이(FireEye), HB개리(HBGary)는 지난달 27일 미국 샌프란시스코에서 열린 세계 최대 정보보호 행사인 ‘RSA 2012’서 APT 공격 대응 솔루션을 내놔 세계인의 주목을 받았다.

이들 업체들의 공통점은 기존 안티멀웨어(Anti-Malware), 안티바이러스(Anti-Virus) 솔루션들이 사용하는 샘플, 시그니처 기반 기술을 사용하지 않는다는 것이다.

각자의 독자적인 엔진을 사용해 기존 안티바이러스, IPS, 방화벽을 무력화시키는 악성코드에 의한 침해사고를 대응할 수 있도록 지원한다.


안랩이 RSA 2012에서 내놓은 APT 대응 솔루션 ‘트러스와처2.0’은 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’이 탑재돼 있다.

이 기술은 PDF, MS워드와 같은 문서파일에 특화됐다. 악성코드가 문서 파일에 포함돼 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다. 또한 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 이유 중 하나로 꼽힌다.

DICA기술은 클라우드와 가상머신을 사용해 해당 파일이 어떤 행위를 할 것인지를 분석해 악성코드가 들어있다고 판단되면 곧바로 삭제를 하게 된다. PDF파일을 열람함과 동시에 악성코드에 감염되는 것을 미연에 방지할 수 있는 솔루션인 셈이다.

가령 이메일 첨부파일로 온 문서파일을 PC로 내려받으면 트러스와처가 이를 검사한다. 검사를 마친뒤 해당 문서파일에 문제가 있다면 해당 사실을 사용자에게 알려주고 자동으로 삭제한다. 문제가 없으면 아무런 알림이 뜨지 않는다.

트러스와처는 백그라운드에서 해당 파일을 검사하기 때문에 엔드포인트단에서는 이를 인지하기도 전에 위협을 방지할 수 있다는 퍼포먼스로서의 강점도 가지고 있다.

안랩 김홍선 대표는 “APT 공격은 네트워크 트래픽과 그 안에 숨겨진 콘텐츠를 정확히 분석해야 효과적으로 방어할 수 있다”고 전했다.

지난해 RSA 컨퍼런스에서 차세대 이메일 보호 솔루션을 내놓은 파이어아이는 이번 RSA 에서는 제로데이·APT 공격에 대응할 수 있는 MPS(Malware Protection System)을 선보였다.

MPS는 기존 파이어아이의 솔루션을 웹으로 확대시킨 솔루션이다. 최근 페이스북, 트위터와 같이 소셜네트워크서비스에서 악성코드를 전파하는 사례가 증가하자 새롭게 개발했다고 회사측은 설명했다.

파이어아이의 MPS에는 VX(가상실행, Virtual Execution)엔진이 탑재돼 있다. VX엔진이 악성코드를 탐지하는 방법은 매우 단순하다. 웹이나 이메일상에서 의심이 가는 웹 애플리케이션(앱), 첨부파일을 가상화공간에서 직접 실행해 문제여부를 판단한다.

의심이 가는 상황을 직접 시연함으로써 알려지지 않은 악성코드나 취약점도 극복할 수 있다.

이 회사 아샤 아지즈 최고경영자(CEO)는 RSA 2012에서 “시그니처 베이스 보안 솔루션과 달리 악성코드의 샘플을 사용해서 차단하는 기술이 아니기 때문에 샘플도 없는 신종 공격에도 대응할 수 있다”라며 “이 기술은 APT 공격을 막을 수 있는 파이어아이만의 완전한 해답이 될 것”이라고 말했다.


HB개리의 APT 대응 솔루션 ‘리스폰더 프로페셔널(Responder Professional)’은 PC의 물리적 메모리에 상주하며 악성코드, 멀웨어를 탐지한다.

시스템 메모리 분석과 행위 기반 탐지로 기존 보안솔루션을 우회하는 악성코드를 인지, 대응할 수 있도록 설계됐다.

물리적 메모리에 상주하고 있기 때문에 운영체제(OS)가 잡아내지 못하는 악성코드도 탐지할 수 있다. 이는 OS단에서 실행되는 모든 모듈들은 ‘메모리에 상주’되기 때문이다.

HB개리의 리스폰더 프로페셔널은 PC의 메모리에서 PC의 하드웨어, OS 정보 등을 파악하고 상관관계를 분석해 위험도(Severity)를 측정한다.

위험도의 수치(0-100)에 따라 기업은 해당 프로세스가 악성코드인지의 여부를 파악할 수 있게 된다.

한편 파이어아이는 조만간 한국지사를 개소해 국내에서 사업을 확대하며, HB개리도 최근 인섹시큐리티와 독점 총판계약을 맺고 국내에서 제품 영업을 본격 시작했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널