네트워크 보안 업계, 백신SW도 위협하나

일반입력 :2014/10/23 07:30

손경호 기자

'통합'를 기치로 내건 글로벌 보안 업체들의 행보에 가속도가 붙었다. 기업 및 기관에게 막대한 피해를 입히는 최신 지능형 공격을 막으려면 네트워크에서부터 PC, 스마트폰 등 사용자들이 직접 접하는 엔드포인트(개인 단말기)단까지 한꺼번에 보고 감시할 수 있어야 한다는 판단에서다.

가장 최근 변화는 네트워크 보안회사로 분류되는 팔로알토 네트웍스, 파이어아이가 엔드포인트 보안 기능을 추가하기 시작했다는 점이다. 이들 회사는 악성코드가 발견되면 이를 분석해 사후에 대응하는 백신을 대체 혹은 보완하기 위한 솔루션들을 추가하고 있다.

팔로알토는 이스라엘 보안회사 사이베라를 인수한 뒤 '트랩스'라는 솔루션을 출시했다. 최근 방한한 리 클라리치 팔로알토 네트웍스 부사장은 특정 취약점을 발견하고 막아내는 것이 아니라 모든 공격자들이 활용할 수밖에 없는 공통적인 익스플로잇을 파악한 뒤 이를 기반으로 공격을 방지한다고 말했다.

익스플로잇은 어도비 플래시, 자바 스크립트, 웹브라우저, 운영체제(OS) 단에서 발견되는 여러가지 보안취약점을 악용해 공격을 수행하는 일련의 방법을 말한다. 공격자들은 익스플로잇을 통해 공격 대상 시스템에 관리자 모드로 접근하거나 원래 의도와 다른 영역에 접근해 정보를 탈취하거나 시스템을 마비시킬 수 있다.

파이어아이는 이달 초 미국 워싱턴D.C에서 개최한 보안컨퍼런스 'MIRcon2014'에서 '파이어아이 어댑티브 디펜스'라는 보안 서비스 모델을 선보였다. 이 회사는 네트워크에서 'MVX'로 불리는 가상머신 엔진을 활용해 이상행위가 의심되는 파일을 미리 실행해 보고 악성여부를 판단하는 방식을 취해왔다.

그러다 지난해 침해사고대응을 전문으로 하는 맨디언트를 인수하면서 엔드포인트에 대한 방어기능을 추가했다. 모바일 부문에서는 모바일위협방어플랫폼(MTP)을 윈도, 안드로이드와 함께 애플 맥 OS X, iOS 환경도 지원토록해 실시간 보안 위협에 대응한다는 계획이다.

현재 모바일아이언, VM웨어 에어워치 등 엔터프라이즈모빌리티관리(EMM), 모바일기기관리(MDM) 업체 제품과 기술 연동을 마쳤고, 삼성전자 녹스 플랫폼, 시트릭스 젠모바일을 지원하는 방안도 검토 중이다.

트렌드마이크로는 엔터프라이즈 시큐리티 스위트(ESS)를 통해 인터넷 게이트웨이, 메일 및 파일서버, PC, 노트북, 모바일 기기에 대한 통합보안솔루션을 공급 중이다. 여기에는 파일서버보안을 위한 서버프로텍트, 스팸과 악성코드 유입을 차단하는 스캔메일, PC, 가상 데스크톱, 노트북, 모바일기기를 보호하는 오피스스캔 등이 통합 제공된다.

지난달 방한한 블레이크 슈더랜드 트렌드마이크로 부사장은 어떤 것을 사용하고, 무엇을 보호하려고 하는가에 따라 서로 다른 위협을 분석하고 통제할 수 있어야 한다고 말했다. 앞단의 엔드포인트에서부터 뒷단 백엔드 시스템까지 보안에 대한 통합적인 접근이 필요하다는 설명이다.

최근 데이터 소프트웨어와 보안 사업을 분리하기로한 시만텍은 국내에서 '시만텍 ATP 보안관제 서비스(MSS-ATP)'를 시작했다. 이 서비스는 원격관제의 일종으로 네트워크, 엔드포인트 보안과 함께 그동안 시만텍이 구축한 157개국 4천150만대 공격탐지센서(GIN), 전 세계 5개 대형 보안운영센터(SOC), 11개 보안사고대응센터에 상주하는 1천명 이상 보안전문가들이 분석한 내용을 기반으로 각종 침해사고에 대응할 수 있게 했다.

시만텍코리아 SSET 총괄 윤광택 이사는 통합보안은 거스를 수 없는 대세라며 이전까지는 표적공격을 네트워크에서 탐지하는 것에 집중했다면 이제는 탐지한 문제들에 대해 PC, 스마트폰 등 엔드포인트단에서 이러한 문제를 어떻게 격리하고, 처리해야하는지가 중요해지고 있다고 밝혔다.

이러한 추세에 대해 이글루시큐리티 정일옥 보안분석팀장은 예전에는 네트워크, 백신 등 전문회사들로 나눠져 있어서 네트워크 패킷만 분석하거나 이벤트를 처리하는 데 그쳤으나 지금은 PC, 스마트폰 영역에서까지 전체적으로 보고 대응할 수 있어야 한다고 말했다.

가트너 임진식 이사는 통합보안에 대한 논의가 활발한 이유에 대해 기업, 기관들 입장에서 모바일 기기를 업무에 활용하는 BYOD가 본격화 되고 있고, 클라우드 등이 도입되면서 관리해야할 애플리케이션이 늘어났기 때문이라고 밝혔다. 가트너식 표현으로 말하면 '콘텍스트-어웨어 시큐리티(context-aware security)'가 중요해지고 있다는 것이다. 우리말로는 맥락을 통한 보안으로 해석된다.

관련기사

핵심은 단순히 외부에서 위협을 막아낸다는 개념이 아니라 보안위협이 언제든 발생할 수 있다는 점을 고려해 IP, 시스템에 접속한 기기, URL, 애플리케이션 평판 등 정보를 토대로 이상행위 여부를 판별하고 대응할 수 있어야 한다는 것이다.

네트워크 단에서 행위기반 분석이 중요해지는 것은 물론 APT공격의 시발점이 되는 엔드포인트 영역에서 공격을 탐지, 분석, 대응할 수 있는 시스템이 중요해지고 있다는 설명이다.