[김수연기자]지능형 지속위험(APT) 공격이 전세계적 보안 위협 트렌드로 주목받는 가운데, 국내외 보안 업체들이 APT 대응 솔루션을 앞다퉈 공개하며 주도권 잡기에 나섰다.
보안업체들은 기존의 보안 솔루션만으로는 APT 공격에 대응할 수 없다는 인식이 확대 추세라고 보고 '진정한 APT 대응 솔루션'을 주장하며 각사의 차별화된 기술을 소개하고 있다.
특히 안랩과 파이어아이 코리아, 한국 트렌드마이크로는 최근 개최한 사업전략 기자간담회에서 APT 대응 제품을 전면에 내세우며 시장 공략을 서두르고 있다. 알려지지 않은 악성코드를 이용한 APT 공격에 신속 정확하게 대응할 수 있다는 것이 이들의 공통된 목소리다.
◆ 안랩 "'Non-PE파일' 악성코드 탐지 기능으로 차별화"
안랩(대표 김홍선)은 실행파일 뿐 아니라 일반 파일의 악성 여부까지 탐지해 주는 APT 공격 대응 솔루션 '트러스와처(TrusWatcher)'로 차별화를 꾀하고 나섰다.
트러스와처의 핵심은 'DICA(Dynamic Intelligent Content Analysis)'라는 파일 탐지 기술. 문서 파일이나 플래시 파일 등 실행 파일이 아닌 워드, 한글, PDF 등 일반 파일(Non-PE파일)에 숨겨진 셀 코드(Malicious Shell Code)를 탐지하는 기술이다.
안랩은 대다수의 APT 공격이 악성코드가 포함된 문서파일로부터 시작된다는 점에 주목, DICA 기술을 개발해 APT 대응 솔루션에 적용했다.
김홍선 안랩 대표는 "가트너가 차세대 침입방지솔루션(IPS)의 요건 사항으로 '콘텐츠 인식(Content Awareness)' 기술을 언급했는데, 'DICA'는 이와 맥을 같이 하는 기술이다. 현재 이러한 기술을 구현하는 솔루션은 트러스와처가 전세계에서 유일하다"고 말했다.
트러스와처는 인터넷을 이용해 내부로 유입되거나 외부로 전송되는 파일을 항시 모니터링해 악성 여부도 판별한다. 알려지지 않은 새로운 악성 파일이 존재할 경우, 트러스와처에 탑재된 가상 머신으로 파일을 직접 실행, 악성 여부를 진단하는 '파일 행위 기반 분석'을 수행한다.
또한 네트워크 트래픽 기반으로 탐지되는 유해 URL접근 정보, 명령·제어(C&C) 서버 접근 정보, 디도스(DDoS) 공격 트래픽 정보 등을 모니터링한다.
◆ 파이어아이 코리아 "VXE로 새로운 악성코드에 선제 대응"
파이어아이 한국 법인인 파이어아이 코리아(대표 전수홍)는 웹과 이메일,파일 멀웨어 프로텍션 시스템(MPS), '멀웨어 분석 시스템', 웹·메일·파일 MPS 등에 기록된 로그들을 통합 분석하는 '중앙 관리 시스템', 최신 공격에 대한 정보를 제공하는 '멀웨어 프로텍션 클라우드' 등으로 APT 공격 방어 제품 포트폴리오를 구성했다.
파이어아이의 APT 공격 방어 솔루션의 핵심 기술은 가상환경에서 파일들을 실행하고 분석하는 '가상실행엔진(Virtual eXecution Engine, VXE)'이다.
'VXE'는 'MPS' 상에 실제와 같은 '가상 PC·애플리케이션 환경'을 구현하고, 이 가상 환경을 통해 실제 악성코드가 어떻게 유입되는지, 유입된 악성코드가 어떤 악의적인 동작을 하는지를 모니터링한다. 또한 해커의 C&C 서버를 추적해 악성코드에 감염된 PC가 C&C 서버로 접속하는 것을 차단한다.
파이어아이 코리아 양경윤 이사는 "'VXE'는 파이어아이가 특허를 보유하고 있는 독보적인 기술"이라고 소개하고 "이 기술에 기반한 APT 제품으로 지난해 본사에서는 2010년 대비 400% 매출 성장을 기록할 수 있었다"고 소개했다.
APT 공격에 대응할 때 중요한 것은 ▲PC로 전달되는 악성코드의 실제 위험도를 얼마나 정확히 짚어내는가 ▲감염된 PC가 해커의 C&C 서버에 접속해 데이터가 유출되는 결정적 순간을 얼마나 작은 오탐률로 실시간 차단해 내는가이며, 'VXE'가 적용된 파이어아이 APT 대응 솔루션이 이러한 기능을 수행할 수 있다는 설명이다.
◆ 한국 트렌드마이크로 "경쟁사보다 넓은 '악성코드 탐지 영역'이 강점"
한국 트렌드마이크로(대표 박상현)는 APT 공격 대응 방안으로 좀비PC 탐지 및 치료 솔루션 'TMS'와 물리·가상·클라우드 서버 보안 솔루션 '딥 시큐리티(Deep Security)', 악성코드 관제 솔루션 'TIM'으로 포트폴리오를 제시했다.
트렌드마이크로의 솔루션으로 알려지지 않은 악성코드에 대한 수집·분석부터 악성코드에 감염된 사내 서버·PC에 대한 치료까지 해결할 수 있다는 설명이다.
특히 한국 트렌드마이크로는 경쟁사 제품보다 악성코드 탐지 영역이 넓다는 점을 자사 솔루션의 강점으로 꼽고 있다.
트렌드마이크로의 악성코드 탐지 솔루션은 ▲ HTTP, SMTP, P2P, FTP 등을 포함한 총 40여 개의 프로토콜을 통해 내부망으로 유입되는 악성코드를 탐지해낼 수 있으며 ▲16억 개 이상의 악성 URL 패턴을 통해 악성코드를 실시간 탐지·치료한다.
김수연기자 [email protected]
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기