차세대 보안위협 대응 위한 '안랩 트러스와처'

[김국배기자] 지능형지속위협(APT) 공격이 극성을 부리기 시작하면서 APT 대응 솔루션에 대한 관심도 덩달아 높아지고 있다.

APT 공격은 해커가 기업 정보, 국가 기밀 등을 탈취하기 위해 특정 목표 대상을 정하고 보안 취약점을 찾아 지속적으로 공격하는 방식이다. APT 공격을 받은 기업은 IT 인프라 장애 뿐 아니라 기업 비즈니스 신뢰도나 이미지 하락에 따른 매출 감소까지 이어질 수 있다.

현재 이 시장에는 외국계 보안기업인 파이어아이를 비롯해 트렌드마이크로, 팔로알토 등 많은 기업들이 뛰어들고 있고 국내 기업 중에는 유일하게 안랩(대표 권치중)이 두각을 나타내고 있다.

안랩의 APT 대응 솔루션인 '안랩 트러스와처(해외출시명 안랩 MDS)는 APT(Advanced Persistent Threat)과 같은 최신 지능형 공격 탐지와 대응에 특화된 차세대 보안위협 대응솔루션이다.

안랩 트러스와처는 APT 공격을 탐지하고 대응하기 위해서 다차원 악성코드 분석·탐지 기능을 제공한다. 기업 네트워크로 유입되는 알려진 파일에 대해서는 파일 DNA 기반의 안랩 스마트 디펜스(ASD) 엔진을 통해 악성코드를 찾고 신종·변종 악성코드는 가상 머신 기반 엔진인 행위 기반 및 동적 콘텐츠 분석 기술로 탐지한다.

특히 행위 기반 분석기술은 단순히 해당 파일의 행위만을 분석하는 게 아니다. 클라우드, 시그니처, 평판, 파일간 연관관계 분석을 통해 악성 여부를 판정한다. 또 연관된 파일들이 접속하는 URL·IP의 위험도, 평판 정보 등을 종합해 다차원적으로 보안위협을 분석한다.

APT 공격과 같은 최근 지능형 보안위협에는 문서 파일 등 비실행형 파일에 알려지지 않은 악성코드를 포함시키는 형태가 많다. 거기다 국가별로 많이 사용되는 소프트웨어(타사가 탐지 못하는 국내에서만 사용되는 특정 압축 포맷 및 문서편집 프로그램 등)를 노리면서 국지전 양상을 띠기도 한다.

안랩 트러스와처는 MS 오피스(엑셀, 워드, 파워포인트), 어도비 PDF, 한글(hwp) 등과 같은 문서형 악성코드를 행위 발생 여부와 무관하게 분석할 수 있는 동적 콘텐츠 분석(DICA)' 기능을 지원한다.

악성 행위의 발생 여부와 상관없이 취약점 공격의 발현(exploitation) 단계에서 악성 쉘코드(shellcode)를 진단하며 탐지된 악성 쉘코드의 내부 구조까지 제품 사용자 인터페이스(UI)로 직접 확인할 수 있다. 악성 쉘코드는 취약점을 이용해 시스템 내에서 특정 명령을 실행하도록 하는 기계어 코드다.

실시간으로 탐지된 신종 악성코드를 전용 에이전트를 통해서 삭제할 수 있다. USB 또는 암호화 트래픽을 통해서 유입된 악성코드의 실행을 차단하고 분석하는 '실행 보류(execution holding)' 기능도 제공해 잠재적인 위협까지 사전에 대응할 수 있도록 한다.

이 제품은 지난 2013년 정보보안 제품 및 기술 전문지인 '인포 시큐리티 프로덕트 가이드(Info Security Products Guide)'가 주최하는 '인포 시큐리티 글로벌 엑설런스 어워드'의 신제품 출시(New product launch) 부문에서 동상을 수상한 바 있다. 안랩은 금융권, 공공, 일반 기업 등 다양한 산업군에 걸쳐 트러스와처를 제공 중이다.

김국배기자 vermeer@inews24.com