3.20, 6.25 사이버 테러 등 알려지지 않은 해킹 기법을 동원한 공격에 대한 위험성이 높아지면서 국내외 보안회사들이 이 문제를 해결하기 위한 해법을 마련하기 위해 고심중이다.
올초까지만 해도 일부 보안회사들만 거론하던 가상화 기술(샌드박싱)은 최근 들어 지능형지속가능위협(APT) 공격을 막기 위한 핵심기술로 급부상했다.
25일 국내 보안업계에 따르면 샌드박싱은 기존에 없던 새로운 기술은 아니다. 가상머신(VM)을 활용해 보안위협에 대응한다는 아이디어는 이미 몇년 전부터 논의돼왔다. 최근들어 주목 받는건 네트워크 단에서 방화벽, 침입방지시스템(IPS)은 물론 클라이언트 단에서 백신, 정보유출방지솔루션(DLP)까지 우회하는 지능형 공격기법 등장했기 때문이다.
지난 3.20 사이버 테러에서는 KBS, MBC, YTN, 농협, 신한은행 등 주요 기업 전산망이 마비돼 사회적으로 혼란이 벌어졌다. 6.25 공격 당시에도 대전정부통합전산센터와 연결되는 웹서버가 해킹돼 분산서비스거부(DDoS) 공격을 받았고, 청와대 홈페이지 메인 화면이 위변조 되는 사건도 발생했다.
공격자들은 공통적으로 웹하드, 이메일 첨부 파일 등을 악용해 해당 방송사나 주요 기관들이 사용하는 PC를 악성코드에 감염시킨 뒤 정상 프로그램 업데이트 모듈을 통해 공격용 악성코드를 유포해 피해를 확산시키는 등 방법을 썼다.
문제는 기존 보안체계에서는 이러한 공격유형을 파악하기 어렵다는 점이다. 샌드박싱은 가상화 기술을 활용해 해당 PC와 같은 시스템을 구현, 의심되는 파일을 미리 실행시켜 이상징후를 파악하는 방법이다.
이같은 공격에 대비해 다수 업체들이 관련 솔루션을 내놨다.
파이어아이는 'NX900', 트렌드마이크로는 '딥 시큐리티8.0', 웹센스는 '트리톤7.8' 등 솔루션을 공급 중이며, 국내의 경우 안랩이 '트러스와처'라는 제품에 가상화 기술을 도입했다.
이들 업체중 파이어아이, 웹센스는 각각 멀티 벡터 가상 실행(MVX) 아키텍처, 쓰렛스코프 샌드박싱이라는 독자적인 가상화 기술을 채용했다. 트렌드마이크로, 안랩 등은 VM웨어 기술을 자사 솔루션에 통합시켰다.
물론 가상환경에서 미리 의심되는 파일을 실행시켜보는 것만으로 모든 APT공격을 막을 수 있다고 장담하기는 힘들다. 최근에는 가상화 기술을 우회하는 공격기법까지 등장하고 있기 때문이다.
국내 보안업계 관계자들에 따르면 그동안에는 가상화 기술이 많은 기업/기관 내 많은 컴퓨팅 자원을 소모하고, 오탐지율이 높다는 점 때문에 도입을 꺼리는 경우가 있었다.
그럼에도 보안 위협에 가상화 기술을 활용하는건 확산되는 양상이다.
전수홍 파이어아이 코리아 지사장은 최근 국내외 보안회사들이 그동안에는 이론적으로 도입을 검토했던 가상화 기술을 활용한 보안솔루션들을 내놓고 있다며 APT 공격을 방어하기 위한 트렌드가 바뀌고 있다는 점을 보여준다고 말했다.
이런 가운데 지디넷코리아는 12월 3일 서울 잠실 롯데호텔에서 APT 최신 공격 추세와 대응 방안을 제시하는 '시큐리티넥스트컨퍼런스2014'를 개최한다.
관련기사
- 포티넷, APT 대응 '포티샌드박스' 출시2013.11.25
- 스마트TV, 시청정보 전송시 보안위협 경고2013.11.25
- 미리보는 2014년 보안 위협 시나리오2013.11.25
- 시스코도 APT 공격 대응 시장 본격 참여2013.11.25
이 자리에서 브라이스 볼랜드 파이어아이 아태지역 담당 최고기술책임자(CTO)는 2014년 발생할 수 있는 APT 공격 트렌드를 공개할 예정이다.
이밖에도 컨퍼런스는 망분리, 제로데이 취약점, 온라인 사기 행위 대응, 금융권 및 공공기관 네트워크 보안 구축법, 모바일 해킹 위협 트렌드 및 이에 대응하기 위한 전략을 제시하는데 초점이 맞춰진다. 행사 참가는 해당 웹사이트에서 하면 된다.
