솔루션

포티넷 “일반 샌드박스로는 APT 대응 어렵다”

이민형 기자
- 데릭 맨키 포티넷 보안전략가 “전수조사 방식이 해답은 아니다”

[디지털데일리 이민형기자] 가상머신(VM, 샌드박스) 기반의 네트워크 보안 솔루션은 지능형지속가능위협(APT) 대응에 적절치 않다는 지적이 나왔다.

일반적인 샌드박스는 가능한 한 발생할 수 있는 모든 경우의 수를 계산해 실행하기 때문에 많은 시간이 소요되는데, 이는 빠른 탐지와 차단을 필요로 하는 위협 대응에는 맞지 않다는 주장이다.

데릭 맨키 포티넷 보안전략가<사진>는 15일 열린 기자간담회에서 “최근 등장하는 악성코드는 백신이나 가상머신을 회피할 수 있어 보통의 샌드박스로는 이를 막아내는 것이 쉽지 않다”며 “게다가 악성코드로 의심되는 파일을 수 십개의 가상머신 환경(윈도, 리눅스 등 각종 운영체제)에서 돌리는 방식이다보니 신속한 대응이 힘든 것이 사실”이라고 강조했다.

샌드박스가 완벽하지 않다는 주장이 나온 것은 처음이 아니다. 웹센스, 담발라, 블루코트 등 많은 보안업체들이 지적했던 부분이며, 샌드박스 기반 솔루션 업체들은 이를 극복하기 위한 제반을 마련하고 있다.

주목해야 할 것은 샌드박스의 한계를 지적한 포티넷 역시 샌드박스 기반의 솔루션을 출시했다는 점이다. 다만 포티넷은 현재 시장에 나와 있는 솔루션과는 분명한 차이가 있다고 주장한다.

맨키 보안전략가는 “포티넷의 APT 대응 솔루션인 포티샌드박스는 백신, 실시간 샌드박스(Realtime Sandbox)와 풀 샌드박스(Virtual Sandbox)로 구성돼 보안성과 성능이란 두 마리 토끼를 모두 잡았다”며 “특히 경쟁사와 달리 하나의 어플라이언스로도 사용이 가능해 투자수익률(ROI)도 높다”고 전했다.

우선 샘플기반의 악성코드를 1차로 걸러내고, 그 다음으로는 의심되는 파일은 실시간 샌드박스(클라우드)를 통해 2차로 추려낸다. 최종적으로 남은 파일을 풀 샌드박스를 통해 검진하면 대부분의 보안위협을 막을 수 있다는 설명이다.

이에 대해 맨키 보안전략가는 “실시간 샌드박스의 과정을 거칠 경우 악성코드의 96%는 이미 차단된 상태”라며 “풀 샌드박스는 성능이 우수하지만 많은 시간이 소요되므로 핵심은 악성코드로 의심되는 파일의 숫자를 줄이는 데 있다”고 말했다.

포티샌드박스는 포티넷 APT 대응 전략인 ‘연결고리 끊기(Kill the Chain)’와도 맥을 같이 한다. 하나의 제품만으로 APT를 대응하는 것은 사실상 불가능하므로 다양한 방법(멀티팩터)으로 공격의 맥을 끊자는 것이다.

맨키 보안전략가는 “APT 공격의 속성은 변화무쌍하므로 종합적인 대응이 필요하다”며 “특히 공격이 시작하기 전 예방하는 것이 가장 중요한데, 이를 위해 포티넷은 한국인터넷진흥원(KISA)과 같은 국가단위 침해사고대응센터(CERT)와 위협 정보를 주고 받으며 협력하고 있다”고 강조했다.

현재 포티넷은 KISA와 더불어 전세계 60여개 국가의 CERT가 속해있는 사고대응보안팀 ‘퍼스트(FIRST)와도 협력하고 있다.

<이민형 기자>kiku@ddaily.co.kr
이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널