이상여부만 확인하는데 그쳤던 지능형지속가능위협(APT) 대응 솔루션들이 최근 들어 사용자 PC, 혹은 네트워크 단에서 악성행위를 차단하고, 악성코드를 삭제하는 치료 기능을 갖추기 시작했다.
APT 공격에 대응하기 위해 최근 수 년 간 가장 널리 알려진 대응법은 여러 운영체제(OS) 환경을 구현한 가상환경(VM)에서 의심되는 행위를 실행해 보고 이상유무를 판단하는 샌드박스 기반 방식이었다.
24일 서울 삼성동 팔로알토 네트웍스 코리아 사무실에서 열린 기자간담회에서 팔로알토 네트웍스 코리아 이창빈 이사는 이 같은 APT 대응 트렌드 변화추세를 설명했다.
이 이사에 따르면 알려지지 않은 APT 공격을 막기 위해 보안회사들이 접근하는 방식은 크게 세 가지 유형으로 나뉜다.
먼저 네트워크 트래픽이 이동하는 경로인 게이트웨이 단에 샌드박스 기능을 가진 보안 솔루션을 설치해 이상유무를 확인한 뒤 위험도가 높은 패턴들에 대한 보고서를 만들어 배포하는 형태다. 이 경우 장비를 도입한 고객들은 직접 해당 시스템 관리자가 보고서를 토대로 대응을 해야 한다.
두번째는 샌드박스를 통해 행위기반 분석을 수행한 결과, 악성코드라고 판단되는 문제가 있는 시스템에 대해 직접 악성코드를 삭제하는 백신을 공급하는 형태다. 클라이언트단에서 문제를 해결하는 방식으로 트렌드마이크로 등이 자사 백신을 통해 이러한 방식을 도입하고 있다.
세번째는 네트워크 단에서 위험성이 의심되는 악성파일 등을 직접 차단하는 방식이다. 두번째 방식이 사용자 PC단에서 문제를 해결했다면 이 방식은 네트워크 장비를 통해 악성행위를 막겠다는 것이다. 팔로알토, 체크포인트 등이 이 같은 방식을 사용 중이다.
이 이사는 초기 이상 징후를 탐지하는데 그쳤던 APT 대응 솔루션들이 악성 행위 기능이 있다고 판단되는 트래픽 정보를 바탕으로 치료 기능을 구현하는 형태로 가고 있다며 머지 않아 클라이언트, 네트워크 단에서 치료할 수 있는 기능이 통합된 형태로 APT 대응 시장이 재편될 것으로 본다고 밝혔다.
앞서 두번째, 세번째 방식이 하나로 통합될 가능성이 높다는 것이다. 실제로 차세대 방화벽 등 네트워크 기반 보안솔루션으로 유명한 팔로알토는 오는 하반기에 기존 네트워크단 뿐만 아니라 클라이언트 PC 단에서 치료기능을 구현하는 솔루션을 개발한다는 계획이다.
작년까지만 하더라도 파이어아이는 앞서 말한 샌드박스를 통해 이상 유무를 탐지하고, 보고서를 고객사에게 전달해 주는 식으로 APT 공격에 대응해 왔다. 그러나 올해 초 클라이언트 보안 전문업체 맨디언트를 인수하고, 네트워크 단에서 악성행위를 치료하기 위한 침입방지시스템(IPS)을 출시하면서 '치료'에 보다 방점을 맞추는 모습이다.
관련기사
- 파이어아이, IPS 시장도 넘본다2014.06.24
- 팔로알토, 국내 네트워크 보안 시장 공략 포문2014.06.24
- "오탐지 줄였다"...파이어아이, 가상화 기반 IPS 출시2014.06.24
- 파이어아이, 10억불에 맨디언트 삼켰다2014.06.24
팔로알토는 샌드박스 기반 APT 대응 솔루션을 '와일드파이어'라는 이름으로 공급 중이다. 이 이사에 따르면 기존 자사 차세대 방화벽 도입 고객들의 경우 추가적인 장비 구매 없이 라이선스를 통해서만 와일드파이어를 도입할 수 있게 했다고 설명했다.
이 이사는 APT 공격에 대응하기 위해 중요한 것은 샌드박스 기능 자체는 아니라고 말했다. 이보다는 아직 보안 패치가 이뤄지지 않은 채 방치되고 있는 제로데이 취약점에 신속하게 대응한 것이 관건이라는 주장이다.