지능형보안위협(APT) 대응은 지난해에 이어 올해도 보안 업계에서 초대형 이슈다. 전 세계적으로 최근 APT 공격에 의한 사이버테러가 증가하고 있어 대응책 마련이 시급하다는 지적이다. 진화하는 APT 공격에 맞서 관련 업체들의 솔루션도 점점 고도화되는 양상이다.
APT 대응은 내부로 유입되는 웹 트래픽이나 메일에 첨부된 파일 형태의 악성코드를 수집 분석하여 그 패턴이나 시그니처를 식별하여 대응하는 방식이 일반적이다. 이같은 방식은 알려지지 않은 악성코드에 감염된 파일이 내부에 유입되었을 경우 이를 통제하고 관리하는데 어려움이 있다는 지적도 있다. 지난해 이슈가 된 한국수력원자력에 대한 사이버 공격도 메일을 통해 이뤄졌다.
이같은 점을 감안해 파일을 통한 APT 대응에 최적화된 솔루션이 나오기 시작해 주목된다. 소프트캠프 '실덱스'(SHIELDEX)도 파일을 통한 APT 공격 방어에 초점을 맞춘 제품이다. 이 회사 솔루션은 네트워크 패킷이 아니라 첨부파일로 들어오는 파일 자체를 분석하는 것이 특징이다.
지난해 공개된 실덱스는 '외부인 출입보안 체계' 개념을 네트워크 환경에 적용해 '외부유입 파일 보안관리 체계'로 구현한 APT 대응 솔루션이다. 외부에서 유입되는 파일을 통제 및 관리하는 것은 물론 이상행위를 차단하고 다양한 유입경로에 대한 추적, 관리도 가능한 외부유입파일 보안 관리 솔루션이다. 문서, 영상, 이미지 등의 파일을 지원한다.
소프트캠프가 기존 APT 대응 솔루션들의 분석 방식을 회피하는 악성코드들이 늘고 있는 것을 감안해 실덱스를 내놓게 됐다. 문서 등 각종 파일에도 여러 악성코드가 삽입돼 유입되고 있는 만큼, 파일에 집중하는 ATP 대응 솔루션이 필요하다는 것이 소프트캠프 설명이다. 실덱스는 파일로 들어오는 문서가 일반적인 것인지 확인하고 비정상적인 요소가 있을 경우 미리 제거한다. 소프트캠프는 문서 보안 솔루션을 개발해 오면서 확보한 노하우들을 실덱스에 녹였다.
소프트캠프는 기업 내 네트워크상에 가상의 접견실을 마련하고 외부에서 유입된 파일을 지속적으로 관리한다. 외부 손님을 기업 내부 사무실로 바로 통과시키지 않고 접견실에서 응대하고 내부에 들어 왔을 때 실시간으로 감시하는 기업의 물리적 출입통제 시스템을 통신망에 활용한 셈이다.
소프트캠프에 따르면 실덱스는 인터넷, 이메일, USB, 망간자료전송 등 다양한 외부 경로를 통해 유입되는 모든 문서나 실행파일을 격리, 방역, 감시, 추적, 차단하여 악성코드를 포함한 외부 유입파일이 시스템 중요영역으로 접근할 수 없도록 차단한다.
사용자는 실덱스를 통해 외부에서 들어온 파일이 악성코드인지 여부를 격리된 가상공간을 통해 미리 살펴보고 방역할 수 있다. 내부 반입 시 파일에 태깅을 하여 외부파일임을 쉽게 인지할 수 있도록 하고, 해당 파일의 이동과 행위를 지속적으로 모니터링한다. 마스터부트레코드(MBR) 영역과 같이 주요한 시스템을 파괴하려는 행위가 탐지되면 실행을 통제하여 내부 핵심 자산에 해당하는 시스템 중요영역에는 해당 파일이 아예 접근하지 못하도록 차단시킨다.
배환국 소프트캠프 대표는 악성파일을 이용한 지능형 공격이 성행하고 있지만, 현재 보안 기술 중 파일에 대한 철저한 관리가 가능한 것이 없다면서 지난 15년간 축적해 온 가상화와 암호화 기술을 접목해 외부 유입파일을 안전하게 관리하는 솔루션을 만든다면 패턴 매치나 시그니처 방식으로 막지 못하는 알려지지 않은 새로운 공격도 차단할 수 있다고 판단해 실덱스를 개발했다고 설명했다.
소프트캠프는 망분리나 APT 솔루션을 도입한 기업이더라도 이메일, USB,망연계 서버로부터 유입되는 외부 파일들의 위협에 노출될 수 있다고 지적한다. 기존 APT 대응 제품과 실덱스는 상호 대립적이라기 보다는 보완적이라는 메시지로 읽힌다.
소프트캠프는 최근 APT 대응 솔루션 전략으로 문서 방화벽을 화두로 던져 주목된다.
회사측에 따르면 문서 방화벽은 소프트캠프가 확보한 문서 관련 보안 기술을 상징하는 키워드로 문서형태의 악성코드를 차단한다는 의미다. 네트워크 방화벽이 네트워크 침입차단을 위한 것이었다면, 문서 방화벽은 이메일 첨부된 문서 파일로 위장해 악성코드가 침입하는 것을 사전에 예방, 차단하는 것이 핵심이다. 회사측은 실제로, 메일 서버 앞 단에 구축돼 선제적으로 방어하고 그동안의 메일보안 솔루션이 하지 못했던 선제적인 APT 공격 대응이 가능하다는 점에서 의미가 크다고 설명했다.
소프트캠프는 최근 실덱스를 이메일 첨부파일 관리 전용으로 특화해 문서 방화벽을 표방하는 솔루션 '실덱스 포 메일(SHIELDEX for Mail)'을 출시했다. 실덱스 포 메일은 외부파일 중에서도 가장 위험도가 높은 메일첨부파일에 대한 문제를 해결하는데 초점이 맞춰졌다. 마이크로소프트 오피스, 한컴 오피스, 어도비 아크로뱃 등 문서프로그램 등에서 발견된 보안취약점을 악용한 공격이 들어오지 못하도록 하겠다는 것이다.
관련기사
- APT 대응 솔루션, 넓고 깊게 진화한다2015.03.05
- 거대 보안 업계, 인텔리전스 놓고 격돌2015.03.05
- 차세대 네트워크 보안, 숨가쁜 대권 레이스2015.03.05
- 소프트캠프, APT 대응용 메일보안솔루션 출시2015.03.05
소프트캠프는 '실덱스 포 메일'에 대해 스팸메일 차단, 백신, 가상환경에서 악성코드를 탐지하는 기존 이메일 보안 방식과 달리 기업/기관이 사용 중인 메일 서버 앞 단에서 이메일 첨부파일 문서만 추출해 보여준다고 강조했다. '실덱스 포 메일'은 문서가 제대로 된 문서구조를 갖고 있는지 파악하고, 내용 중 안전한 콘텐츠(텍스트, 이미지 등)만 추출해 새로운 파일로 문서를 재구성한다. 이를 통해 첨부파일에 포함됐을지 모르는 악성코드가 아예 실행되지 않도록 한다. 사용자는 소프트캠프에 자체 개발한 '마이크로브이엠(Micro VM)'이라는 가상화된 영역에서만 재구성된 문서파일 내용을 열람할 수 있다. 메일로 수신한 첨부파일은 '실덱스 트레이스 서버(SHIELDEX Trace Server)'에서 실시간으로 감시 및 모니터링이 가능하다.
배환국 대표는 최근 보안 담당자들의 최대 고민이 이메일을 통한 APT 공격 대응이라고 할만큼 지능화 된 APT를 방어하기 위해 사전에 탐지하고 예방하는 고도화된 메일보안 솔루션에 대한 수요가 늘고 있다며 문서보안 기술 경쟁력을 바탕으로 네트워크 침입차단을 위한 방화벽이 필수였던 것처럼 이메일 악성문서 차단을 위해 문서 방화벽을 필수 기능으로 자리매김시킬 것이라고 말했다.