솔루션

[지능형 위협 대응 ②] 대중화된 APT 공격, 업계 대응방법도 다양화

이민형

[디지털데일리 이민형기자] 국내에서 지능형지속가능위협(APT) 공격으로 인한 피해가 잇달아 발생하면서 대응 솔루션을 찾는 기관, 기업들이 증가하고 있다.

주목할 점은 APT 공격이 대중화됨에 따라 사용자들의 요구사항도, 보안업계의 대응방법도 변화하고 있다는 점이다. 초기에 사용자들의 시선이 가상머신(샌드박스)에만 맞춰져 있었다면 최근에는 엔드포인트 보안, 웹·메일 보안 등 다양한 방안에 주목하고 있다.

유종훈 인포섹 솔루션사업팀 부장은 “기존 네트워크 APT 대응 솔루션을 구축 운영 중인 고객사와 신규 APT 솔루션 도입 검토 고객사 모두 엔드포인트 관점에서의 대응에 대한 필요성을 인지하고 있다”며 “금융회사와 텔레마케팅 조직을 보유한 기업들이 새로운 솔루션에 대한 관심을 보이고 있다”고 전했다.

이처럼 고객들의 요구사항이 변화함에 따라 보안업체들도 새로운 전략과 기술을 소개하고 있다.

가상머신에 기술을 집중해온 파이어아이는 최근 엔드포인트·포렌식 전문업체인 맨디언트를 인수하며 악성코드 분석, 엔드포인트 보안까지 확대했다. 안랩은 자사의 APT 대응 솔루션인 ‘트러스와처’를 대폭 개선해 네트워크뿐 아니라 엔드포인트 보안까지 해결할 수 있도록 했다.

블루코트와 웹센스 역시 기존에 역량을 쏟아부은 웹 보안에서 더 나아가 메일, 네트워크 포렌식 등 보다 다양한 형태의 솔루션을 결합해 내놓고 있다.

이들 업체들의 공통점은 하나의 기술로 APT 공격에 대응하는 것이 아닌 다양한 방법을 결합한다는 것이다. 네트워크와 엔드포인트의 결합, 웹과 포렌식의 결합 등에서 이를 확인할 수 있다.

◆네트워크 솔루션과 엔드포인트 솔루션, 차이는=네트워크단에서 알려지지 않은 악성코드를 탐지하는 APT 솔루션은 구축이 간편하고 관리가 수월하다는 장점이 있다. 네트워크 인프라 앞단에 어플라이언스가 설치되는 방식이기 때문이다. 특히 의심되는 파일을 가상환경에서 돌려봄으로써 본래 시스템에 대한 피해를 최소화할 수 있다는 것이 강점이다.

하지만 단점도 있다. 네트워크를 통하지 않은 파일 등은 모니터링을 할 수 없으며 혹여 감염이 되더라도 치료하지 못한다.

아울러 최근 등장한 ‘가상머신 상황을 인지해 악성행위를 하지 않는 악성코드’에 대한 탐지를 할 수 없으며, 일부 솔루션의 경우 실행파일(Execution File)만 차단할 수 있는 한계점도 존재한다.

엔드포인트 제품의 가장 큰 장점은 실제 사용자PC에 감염된 악성파일의 행위를 기반으로 차단, 치료하기 때문에 제대로 구축될 경우 가장 안전한 방식이 될 수 있다는 점이다.

가상머신에서 탐지되지 않는 악성코드, 가상사설망이나 시큐어소켓레이어(SSL)로 암호화돼 유입된 파일 등도 결국 악성행위를 위해 사용자PC에서 복호화되는데 엔드포인트 솔루션은 이를 탐지, 차단할 수 있다.

반대로 악성행위에 대한 정의가 완벽하지 않을 경우 악성코드를 제대로 잡아내지 못할 수 있다는 점이 가장 큰 단점이다. 이는 오탐으로도 이어지거나 악성코드가 시스템 전체로 확산될 수 있다는 리스크를 짊어져야 한다.

◆’네트워크+엔드포인트’ APT 솔루션 대세될까=최근 기능적으로 단순 네트워크 레벨에서의 수집·분석만이 아닌 에이전트를 통한 엔드포인트(조직 내 개인 PC 등)레벨의 실질적인 대응을 요구하는 고객사가 늘고 있다. 이에 자체 에이전트를 제공하지 않는 제품들은 국내 엔드포인트 보안업체와 협력해 제안하고 있다.

그러나 이 경우는 네트워크와 엔드포인트 간 연계 범위에 한계가 있다. 즉, 네트워크 장비로 출발한 장비는 네트워크에 유입된 신종 악성코드를 정확하게 탐지했다 하더라도 이미 다운로드된 악성코드를 조치할 방안이 없다. 

독자적인 엔드포인트 레벨 보안 기술을 가지지 못 한 업체는 다른 엔드포인트 보안 솔루션과 연계해 해결하고 있으나, 경험적으로 이기종 보안 장비 간의 협력 시도가 원활하게 이뤄진 사례가 없어 고객들도 주저하고 있는 상황이다.

안랩 트러스와처는 기획 초기부터 APT 대응은 네트워크 레벨과 엔드포인트 레벨 양단간에서 긴밀히 협력해 이뤄져야 한다는 관점에서 만들어져 전용 에이전트를 제공하고 있다.

안랩의 전용 에이전트는 실시간으로 네트워크 레벨에서 탐지된 신종 악성코드를 삭제하는 기능은 물론, UBS 또는 암호화 트래픽을 통해서 유입된 잠재 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능까지 제공한다.

네트워크 솔루션으로써 트러스와처는 일반적인 실행파일부터 문서파일과 같은 비실행형 파일까지 가상머신을 통해 살펴볼 수 있다는 점이 가장 큰 강점이다.

알려지지 않은 신종 악성코드를 탐지하기 위해서 내장된 가상 OS 환경에서 다차원 기반의 동적 행위 분석을 수행하고 비실행형 파일에 대한 동적 콘텐츠 분석(DICA: Dynamic Intelligent Content Analysis) 기능을 제공한다.

올해 파이어아이도 네트워크와 엔드포인트 통합 솔루션을 내놓을 예정이다. 가상머신을 사용한 지능형 공격 대응 솔루션으로 시작한 파이어아이는 지난해 말 맨디언트를 인수했다. 맨디언트는 엔드포인트 보안, 악성코드 분석, 포렌식 등의 기술력을 갖춘 회사다.

파이어아이는 자사의 멀티벡터실행(MVX) 엔진과 맨디언트의 엔드포인트 보안 기술을 결합할 계획이다. 파이어아이는 이번 맨디언트 인수로 ‘탐지’만 가능했던 약점을 보완할 수 있을 것으로 보인다.

두 회사의 논리적인 결합은 이미 완료된 상태다. 지난 2012년 4월부터 양사는 전략적 제휴 파트너로 지난해 2월 통합 제품을 공개한 바 있다.여기에 파이어아이는 맨디언트의 보안컨설팅, 사고대응을 위한 클라우드 솔루션 등을 자사 솔루션에 통합할 계획이다.

지난해 국내에 진출한 담발라와 닉선은 엔드포인트 보안업체와 손잡고 통합 솔루션을 내놓을 계획이다. 인포섹은 파이어아이, 카운터택의 솔루션을 자체적으로 결합하고 보안관제, 컨설팅 역량을 쏟아 넣은 통합 APT 대응 서비스로 시장을 공략할 계획이다.

◆“샌드박스는 최후의 방법으로 사용해야”=APT 대응 솔루션 시장에서 네트워크 기반이라고 하면 일반적으로 샌드박스를 떠올리기 쉽다. 하지만 방화벽, 침입방지시스템(IPS) 등의 전통적인 네트워크 기반 솔루션만으로도 APT 공격에 대응할 수 있다는 지적도 나오고 있다.

포티넷은 자사가 보유한 다양한 솔루션을 결합하는 형태로 APT 공격 대응을 제안하고 있다. 가장 기본적인 솔루션으로 포티게이트를 통해 네트워크를 통해 들어오는 악성코드를 사전에 차단하고, 네트워크 기반의 안티바이러스 게이트웨이 기술을 통한 악성코드의 차단, 악성 URL 차단, 악성 애플리케이션 차단, C&C 센터와의 통신 시도 감지 및 차단, 이메일 공격 차단 등 활용 가능한 모든 방어 솔루션을 총망라하고 있다.

즉, 네트워크단에서 대부분의 보안위협을 차단할 수 있다는 것이 포티넷의 주장이다. 포티넷은 여기에 최근 출시한 포티샌드박스를 결합했다.

포티샌드박스는 기존에 알려져 있는 샌드박스 기술의 몇 가지 단점을 보완하는 새로운 기능을 제공하고 있는데, 대표적 특징으로는 악성코드들이 샌드박스 환경을 인지하고 이를 회피를 시도하는 악성코드를 잡아내는 기능과 또한 어떤 특정 OS와 애플리케이션 환경에서만 동작하는 악성코드들도 잡아낼 수 있도록 설계돼 있다.

이상준 포티넷코리아 부사장은 “역설적으로 포티넷이 지향하는 악성코드 차단 방식은 가급적 포티샌드박스를 적게 활용한다는 점에 있다”며 “샌드박스를 통해 악성코드를 감지하는 것은 결국 네트워크 속성상 파일의 송수신에 지연을 초래하는데, 이러한 탐지를 최소화함으로써 샌드박스 의존도를 줄이고 지연을 최소화하는 방식을 택했다”고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널