"사이버공격 90%가 웹과 이메일을 통해 발생한다. 그간 기업들은 웹사이트 열람을 허용할지 차단할지 일일이 판정하는 식으로 대응해 왔다. 악성 여부가 확인되지 않은 나머지 수많은 웹사이트가 문제였다. 미확인 웹사이트를 무조건 허용하면 보안 문제가 커질 수 있고, 반대로 무조건 차단하면 개발 부서나 현업 업무에 지장을 줄 수 있다. 미확인 웹사이트까지 안전하게 쓸 수 있도록, 패러다임이 바뀌어야 한다."
이석호 시만텍코리아 대표는 30일 서울 삼성동 그랜드인터컨티넨탈호텔 기자간담회에서 이같이 말했다. 사이버위협 부담 없이 미확인 웹사이트를 이용케 해주는 시만텍 웹 위협 격리(Symantec Web Isolation) 솔루션을 소개하면서 풀어 놓은 설명이다. 격리 솔루션은 지난해 인수한 업체 '파이어글래스(Fireglass)'의 기술에 '한국어 문자 입출력'과 같은 한국 환경에 필요한 요소의 추가 개발을 거친 결과물이다.
시만텍은 사이버 공격 대다수가 웹 및 이메일에서 발생하는데, 잠재적 악성여부 판정을 이미 확인된 평판정보에만 의존할 수 없다고 지적한다. 평판정보를 활용하는 웹 필터링이나 위협인텔리전스로 악성요소를 피하는 데 한계가 있다는 얘기다. 시만텍 웹 위협 격리 솔루션은 모든 웹 콘텐츠가 잠재적으로 위험하다는 가정아래 모든 콘텐츠를 격리된 공간에 두고 이용자에겐 시각적인 결과만 전달한다.
시만텍코리아는 격리 솔루션을 회사의 웹프록시 솔루션을 도입한 대기업에 우선 제안 중이다. 주된 이점으로 기업 보안팀에서 우려하는 내부 악성코드 침입이나 피싱 피해 우려 없이 현업 부서에 필요한 미확인 웹사이트 이용을 지원할 수 있음을 강조하고 있다. 실무자들이 외부 웹사이트 이용 절차가 까다로운 조직내 보안 절차를 거치거나 망분리 환경에서의 불편을 감수하지 않아도 된다는 메시지다.
이석호 대표는 "시만텍 웹 위협 격리 솔루션은 원격으로 웹 세션을 실행하고 사용자의 브라우저에 안전한 렌더링 정보만 전송하는 방식으로 직원 웹 브라우저를 겨냥한 새로운 유형의 지능형 위협을 해결하도록 지원한다"며 "시만텍은 웹 위협 격리 기술을 웹 보안 서비스에 통합한 클라우드 기반 위협 예방 기능으로 고객과 데이터를 보호하고 클라우드 세대의 과제를 해결할 수 있다"고 말했다.
클라우드기반으로 제공되는 격리 솔루션은 시만텍 웹보안서비스(WSS)에 통합된 형태다. WSS는 격리솔루션 외에도 시만텍 보안웹게이트웨이(SWG), 악성코드검사엔진, 샌드박스, 데이터유출방지(DLP), 클라우드접근보안중개(CASB) 솔루션을 포함하며 다중요소인증 기능도 제공한다.
■ 이용자PC 대신 컨테이너 가상 브라우저가 '미확인 웹' 렌더링
격리 솔루션은 웹 기반 위협에 대응하는 서버 기반 보안 소프트웨어(SW)다. 기업 데이터센터 범용 서버 장비에 설치되거나, 시만텍의 클라우드를 통해 서비스형SW(SaaS)로 제공된다. 구동 환경이 기업내 서버든, 시만텍의 클라우드든, 동작 원리는 같다. 격리 솔루션이 컨테이너 형태로 가상 브라우저를 구동한다. 가상 브라우저가 이용자PC 대신 웹페이지를 렌더링하고, 그 결과를 비디오 스트림으로 보내 준다.
격리 솔루션은 이 가상 브라우저의 렌더링 과정으로 웹을 통해 발생하는 알려진 위협과 알려지지 않은 위협 요소 및 접근 경로를 차단한다. 미확인 웹사이트의 HTML 콘텐츠에 혹시라도 존재할 수 있는 피싱, 드라이브 바이 다운로드, 워터링홀, 랜섬웨어 등 악성코드 포함 경로와 악성스크립트 위협을 막아 준다. 이메일을 통해 전달되는 미확인 URL의 위협도 동일하게 차단할 수 있다.
위협을 차단하는 원리는 단순하다. 가상 브라우저와 컨테이너가 모든 웹 요청을 처리하기 때문에, 악성요소의 설치와 구동 역시 거기서 이뤄진다. 즉 악성 웹사이트가 열리든, 랜섬웨어가 깔리든, 모두 격리 솔루션이 띄운 컨테이너와 가상 브라우저 안에서 벌어지는 일이다. 컨테이너에 악성코드가 자리잡더라도 실제 이용자PC의 피해로 이어지지 않는다. 그리고 이 컨테이너는 계속 초기화돼 악성요소를 안 남긴다.
격리 솔루션의 쓸모는 3가지다. 첫째, 개발 및 현업 부서가 일괄 차단 정책의 불편 없이 업무상 필요시 미분류 웹사이트에 수시로 접근한다. 둘째, 보안정책상 '예외 이용자'가 잠재위협 부담 없이 미분류 및 차단 대상을 포함한 모든 웹사이트 접근 권한을 활용한다. 셋째, 이메일 수신자가 시만텍 메일보안솔루션을 통해 미확인 첨부링크 악성여부를 확인하고 악성사이트가 유도하는 계정정보 노출 등 피싱을 방어한다.
■ "에이전트 설치 없이 구축 간편"…플러그인 의존 환경엔 불가
시만텍코리아는 격리 솔루션의 이점으로 간편한 배포를 꼽는다. 이용자PC라는 엔드포인트 환경을 보호하는 역할이지만 에이전트 설치를 하지 않아도 된다는 이유에서다. 실제 솔루션 구축 방식은 시만텍클라우드를 통한 서비스 형태 또는 데이터센터내 서버에 SW 설치 후 시만텍이나 타사의 웹프록시 또는 차세대방화벽 장비와 연동하는 걸로 가능하다는 설명이다.
회사측 설명만 듣고 보면 격리 솔루션을 도입한 기업은 마치 앞으로 전직원에게 모든 웹사이트 열람을 허용해도 될 듯한 기대를 품을 수 있다. 하지만 격리 솔루션이 만능은 아니다. 일단 이용자PC 대신 컨테이너 기반 가상 브라우저로 렌더링을 대신하는 방식 때문에 웹서핑시 제한된 속도, 지연시간, 끊김을 감수해야 한다. 안전하다고 확인된 모든 웹사이트까지 격리 솔루션을 통하는 건 비효율적일 수 있다.
관련기사
- 시만텍, ATP에 머신러닝 표적공격 탐지 추가2018.08.30
- 암호화폐 도둑채굴 공격 1년새 85배 늘어나2018.08.30
- 시만텍, 단일 에이전트로 쓰는 엔드포인트 보안 플랫폼 공개2018.08.30
- 시만텍코리아 "기업 보안정책, 클라우드까지 적용해야"2018.08.30
그리고 격리 솔루션이 한국의 모든 웹보안 수요에 딱 맞아떨어진다고 보기는 어렵다. 격리 솔루션의 가상 브라우저는 웹용 플러그인이나 EXE 파일과 같은 부가프로그램을 설치해야 쓸 수 있는 웹사이트 이용을 지원하지 않는다. 즉 플러그인 또는 EXE 파일 설치 방식으로 공인인증서 처리프로그램이나 키보드보안 및 방화벽 프로그램을 써야 하는 국내 공공기관과 기업 환경에선 격리 솔루션의 효용이 떨어진다.
시만텍코리아도 당장 격리 솔루션을 통해 국내서 큰 수요 확대를 기대하진 않는 분위기다. 이석호 대표는 격리 솔루션을 활용한 사업전략에 "수많은 분류되지 않은 웹사이트를 내부 이용자에게 전면 허용하거나 차단할 수 없는 딜레마를 겪고 있는 기업 고객에 유용한 솔루션을 도입을 제안하고 있다"며 "웹보안 패러다임이 미분류 웹사이트 위협 대응쪽으로 바뀌는 향후 크게 각광받을 것으로 기대한다"고 언급했다.
