실시간 뉴스



"악성코드 물렀거라" 네트워크 지킴이들


[악성코드,당할 것인가 이길 것인가] 네트워크 보안 솔루션

[김수연기자] 악성코드는 인터넷과 연결된 기업의 네트워크를 타고 침투해 공격자의 명령을 이행하고 동시에 내부 정보도 유출한다. 조직 구성원들의 PC에는 물론 인터넷망과 연결된 네트워크에도 악성코드 탐지 차단 솔루션을 설치해야 할 이유가 여기에 있다.

지능적 지속위협(APT) 공격이 기승을 부리는 상황에서는 특히 네트워크로 침투하는 악성코드를 막아낼 보다 강력한 보안 시스템을 설치해야 한다.

보안 전문가들은 다양한 네트워크 보안 솔루션을 비롯, '알려지지도 않은' 악성코드까지 잡아낼 수 있도록 전문 업체들의 보안 시스템을 설치하고 지속적으로 업그레이드할 것을 권하고 있다.

◆ 안랩, '트러스와처'로 악성코드 탐지…동적 콘텐츠 기반, 행위 기반 분석

안랩(대표 김홍선)은 신종, 변종 악성코드를 네트워크단에서 탐지하기 위해 '트러스와처'를 개발했다.

동적 콘텐츠 기반 분석은 문서 파일이나 플래시 파일 등 실행 파일이 아닌 워드, 한글, PDF 등 일반 파일(Non-PE파일)에 숨겨진 셀 코드(Malicious Shell Code)를 탐지하는 기술이다.

'트러스와처'에 탑재된 행위 기반 분석 엔진은 샘플 파일의 악성 여부, 평판 정보, 접속되는 도메인과 IP에 대한 위험도, 연관된 파일들의 전체적인 위험성 등을 종합적으로 판단하는 컨텍스트(context) 분석을 수행한다.

인터넷을 통해 내부로 유입되거나 외부로 전송되는 파일을 모니터링하고 알려지지 않은 악성 파일이 탐지되면 가상 머신으로 해당 파일을 직접 실행해 악성 여부를 진단한다는 게 이 제품의 특징이다.

또한 '트러스와처'는 네트워크 트래픽 기반으로 탐지되는 유해 URL 접근 정보와 공격명령(C&C) 서버 접근 정보, 디도스(DDoS) 공격 트래픽 정보 등을 모니터링한다.

◆ 윈스테크넷 '스나이퍼 BPS' 악성코드 차단 + 분석 + 격리 + 치료

윈스테크넷(대표 김대연)은 악성코드 대응 기능을 적용한 네트워크 보안 솔루션 '스나이퍼 BPS'를 공급하고 있다.

특히 '스나이퍼 BPS'는 양방향 트래픽을 분석해 네트워크에 접속하려는 내부 사용자의 좀비 PC를 탐지해 내고 사용자 PC 환경과 유사한 가상 머신(Virtual Machine)을 활용해 악성코드의 행위를 분석한다.

또한 '스나이퍼 BPS'는 탐지된 이벤트를 공격명과 유포지, 감염지로 분류해 감염된 PC가 공격하는 대상을 추적하며, 디도스(DDoS) 대응시스템, 침입방지시스템(IPS), 방화벽(Firewall) 등 공격 차단 장비와 연동돼 있어 악성코드의 유입을 사전에 원천 봉쇄한다고 윈스테크넷 측은 설명했다.

◆ 이글루시큐리티, 'IS-APT'로 악성코드 차단

'IS-APT'는 악성코드 탐지, 차단 기능과 악성링크 제거 기능, 첨부파일 확장자 변조 탐지 기능 등 세 가지 기능을 갖췄다. 이 제품은 가상 환경 안에서 이메일 첨부파일을 열고 해당 파일에 포함된 위협요소를 탐지, 차단한다.

이러한 행위 기반 악성코드 탐지 기법을 통해 알려지지 않은 악성코드에 대해서도 실시간 대응할 수 있다는 게 이글루시큐리티 측 설명이다.

또한 'IS-APT'는 메일 본문에 포함된 악성 링크를 찾아 제거한 뒤, 해당 링크로의 연결을 차단한다.이 제품은 워드나 한글 파일로 변조한 악성코드 실행 파일을 탐지하는 기능을 제공한다.

◆ 트렌드마이크로 'TMS', 40개 프로토콜 + 16억 개 악성 URL 패턴 활용

TMS는 알려지지 않은 악성코드를 행위 기반으로 탐지하고, 이 악성코드에 감염된 내부 PC를 자동으로 치료한다.현재 트렌드마이크로는 16억 개 이상의 악성 URL 패턴을 활용해 악성코드를 실시간 탐지·치료하고 있다.

특히 TMS는 HTTP, SMTP, P2P, FTP 등을 포함한 총 40여 개의 프로토콜을 통해 내부망으로 유입되는 악성코드를 탐지해 낸다.

이와 함께 내부 PC에서 인터넷망으로 나가는 아웃바운드 트래픽에 대한 모니터링 기능을 제공한다. 이를 통해 기업은 임직원이 악성 URL에 접속하는지 여부를 파악할 수 있다는 설명이다.

◆ 라온시큐어 '터치엔세이프 엔터프라이즈', 악성코드 탐지, 삭제

라온시큐어(대표 박형근)는 행위기반 탐지 기법으로 악성코드를 찾아내고 이를 삭제하는 '터치앤세이프 엔터프라이즈'를 추천한다.

이 제품은 PC에 설치되는 에이전트, 운영 서버에 설치되는 가상실행 엔진을 통해 2단계로 악성코드를 탐지한다.

악성 행위를 하는 것으로 의심되는 프로그램을 에이전트가 1차로 찾아내고 이를 서버에 올린다. 서버로 보내진 의심 프로그램들은 가상화 공간에서 실행되며 기업 IT 담당자들은 이 프로그램들의 행위를 모니터링할 수 있다.

또한 '터치앤세이프 엔터프라이즈'는 의심 프로그램의 보안 위협 정도를 5단계로 나눠 알려주고 이미 알려진 악성코드는 가장 위험한 단계인 5단계 위협으로 분류돼 자동 삭제된다.

이 솔루션은 정상 프로그램들을 0단계 위협으로 분류하며, 5단계와 0단계 사이의 위협으로 분류한 프로그램들에 대해서는 자세한 행위 내역을 분석해 이를 IT 담당자들에게 전달한다.

IT 담당자들은 기업내 보안 정책에 따라 0단계와 5단계 사이의 보안 위협으로 판명된 프로그램에 대한 필요한 조치를 취하게 된다.

◆ 파이오링크, "'티프론트'로 네트워크에서 악성코드 처리"

이 제품은 비인가된 단말의 네트워크 접속을 제어하고 악성코드, 유해 트래픽이 내부 망으로 유입되는 것을 차단하는 '티프론트-보안 스위치'와 봇넷을 자동으로 탐지, 분석하는 '티프론트-안티봇'으로 구성됐다.

특히 '티프론트-안티봇'의 경우, 다수의 가상 머신을 활용해 악성코드 행위를 분석한다. 이를 통해 신종 악성코드에 대응할 수 있다.

'티프론트-안티봇'은 행위 기반 탐지 기법으로 유입된 악성코드가 어떤 레지스트리 값을 변경했는지, 어떤 파일을 생성, 변조, 삭제했는지 등을 분석한다.

또한 악성코드로 인해 생성되거나 변경, 종료된 프로세스가 무엇인지, 어떤 네트워크 연결이 새롭게 생성됐는지를 확인한다.

◆ 시큐아이닷컴 "방화벽에서도 악성코드 방어"

시큐아이닷컴(대표 배호경)은 애플리케이션 제어 기능을 탑재한 차세대 방화벽 제품 '시큐아이 엠에프 2(SECUI MF2)'에 악성코드 유입을 방지하는 기능을 적용했다.

이 제품은 또한 스트림 기반과 파일 기반 방식의 안티 바이러스 지원 기능으로 악성코드가 내부망으로 유입되는 것을 방지하고 내부 네트워크에 연결된 좀비PC를 탐지하는 기능을 갖췄다.

이밖에 이 제품에는 '안티-디도스' 엔진과 침입방지시스템(IPS) 전용 엔진이 탑재돼 있으며 이를 통해 유해 트래픽으로부터 네트워크를 보호한다.

◆ 파이어아이 "'MPS'로 악성코드 선제 대응"

MPS에는 가상 환경을 구현해 이 공간에서 파일들을 실행하고 분석하는 '가상실행 엔진(Virtual eXecution Engine, VXE)'이 탑재돼 있다.

MPS 상에 구현된 가상 환경을 통해 실제 악성코드가 어떻게 유입되는지, 유입된 악성코드가 어떤 악의적인 동작을 하는지를 모니터링할 수 있다.

또한 MPS는 해커의 C&C 서버를 추적해 악성코드에 감염된 PC와 C&C 서버간 통신을 차단한다.

◆ 체크포인트, SW 블레이드로 악성코드 방어체계 구축

체크포인트코리아(대표 우청하)는 네트워크단에서 악성코드를 탐지, 차단하는 '체크포인트 안티봇 소프트웨어 블레이드'와 '체크포인트 안티바이러스 소프트웨어 블레이드'를 제공해 고객들이 악성코드 방어체계를 구축할 수 있도록 지원한다.

'체크포인트 안티봇 소프트웨어 블레이드'는 공격자의 명령 유형을 식별해 이를 차단하고 악성코드에 의한 신호와 패턴을 감지한다.

'체크포인트 안티바이러스 소프트웨어 블레이드'는 인터넷망을 통해 내부 네트워크로 유입된 바이러스를 식별해 이를 고객에게 알려준다.

특히 '체크포인트 안티봇 소프트웨어 블레이드'와 '체크포인트 안티 바이러스 소프트웨어 블레이드'는 클라우드 기반으로 악성코드 정보를 실시간 수집하는 '쓰렛클라우드' 서비스와 연동된다.

'쓰렛클라우드'에는 전세계에 설치된 체크포인트 네트워크 위협 센서들이 분석한 악성코드 관련 정보가 저장돼 있으며, 해당 악성코드 정보는 두 소프트웨어 블레이드에 자동 업데이트 된다.

현재 '쓰렛클라우드'에는 2억5천만 개 이상의 악성 URL과 450만 개의 악성코드 시그니처, 30만 개의 감염 사이트 정보가 저장돼 있다.

◆ 포티넷 "'포티게이트'로 의심 패킷 행위 분석"

'포티게이트'는 가상화 환경(샌드박스)에서 악성코드로 의심되는 패킷의 행위를 분석 하고 네트워크 상에서 일어나는 악성코드의 비정형 활동을 탐지한다.

또한 '포티게이트'에는 스팸, 바이러스, 봇넷, 악성링크, APT, 모바일 악성 코드, 제로데이 취약점 등에 대한 연구를 진행하는 '포티가드'의 연구진들이 분석한 정보가 실시간 업데이트된다.

포티넷은 '포티게이트'와 각종 메일 공격을 차단하는 '포티메일', 솔루션 관리와 리포팅 기능을 각각 담당하는 '포티매니저', '포티어낼라이저' 등을 함께 구축함으로써 APT 공격에 효과적으로 방어할 수 있다고 강조하고 있다.

김수연기자 newsyouth@inews24.com






alert

댓글 쓰기 제목 "악성코드 물렀거라" 네트워크 지킴이들

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스