체크포인트가 외부에서 유입되는 파일들을 가상환경에서 미리 실행해보고 차단하는 샌드박스 기능을 업그레이드해 CPU 수준에서까지 악성여부를 확인할 수 있게 하는 솔루션인 '샌드블래스트'를 출시했다고 18일 밝혔다.
이 솔루션은 기존 샌드박스 기능에 더해 실제 운영체제(OS)나 애플리케이션에서 악성파일이 실행되기 전 단계인 CPU 수준에서 위협을 탐지하는 것이다.
18일 체크포인트 코리아가 개최한 기자간담회에서 기술 설명을 맡은 남인우 전무에 따르면 최근 발생하는 지능형 공격을 탐지하기 위해서 이전까지 사용했던 샌드박스는 공격자가 취약점을 찾아내 이를 활용한 공격수법을 만들고 직접 공격을 수행하는 일련의 과정 중 가장 아랫단에서 이상행위를 수행하는지 여부를 확인한다.
문제는 이러한 방법만으로는 지능형 공격에 높은 대응수준을 유지하지 못한다는 것이다. 샌드블래스트는 이를 보완하기 위해 지난 3월 인수한 하이퍼와이즈가 보유한 CPU 수준의 위협방지솔루션을 도입했다.
이 기술은 샌드박스 환경에서 외부로부터 유입되는 파일들이 실행될 때 CPU가 정상적인 프로세스에 따라 작동하는지를 검증한다.
보안회사 RSA가 발표한 자료에 따르면 최근 2년 간 발생한 지능형 공격 중 'ROP(Return Oriented Programing)'를 활용한 수법이 99% 가량 발견됐다. 이 공격수법은 정상파일이나 시스템 메모리 상에 별도 악성코드를 삽입하는 방식이 아니라 기존에 시스템 메모리에서 사용되는 코드들을 조합해 악성코드를 만들어내는 것이다. 때문에 OS나 애플리케이션에서 제공하는 기본적인 보안장치로는 이를 탐지해 낼 수가 없다.
샌드블래스트는 외부에서 유입된 파일이 CPU 상 정상적인 흐름에 따라 작동하는지를 확인하는 방법으로 일반적인 샌드박스를 보완했다.
또한 이 솔루션에는 '쓰렛 익스트랙션'이라는 기능이 추가됐다. 지능형 공격에서 가장 많은 악성코드가 유입되는 경로인 문서파일에서 텍스트, 도표, 그래프 등만 뽑아내서 기업, 기관 내부 임직원들이 볼 수 있게 하는 것이다. 이 기능은 현재 마이크로소프트 오피스, PDF파일에 대해 지원되며, 한글문서(HWP)에 대해서도 지원한다는 방침이다.
관련기사
- 파이어아이, 보안용 가상실행엔진 성능 3배 높여2015.11.18
- "악성코드 차단, 샌드박스만 믿으면 낭패 볼 것"2015.11.18
- 구글 앱 엔진서 보안 취약점 발견2015.11.18
- 포티넷, 가상화 기반 보안솔루션 출시2015.11.18
남 전무는 "일종의 문서 재조합 기술로 눈에 보이는 텍스트, 도표, 그래프 외에 매크로나 스크립트와 같이 눈에 보이지는 않지만 문서파일 실행시 백그라운드에서 실행되는 액티브코드들을 제거하는 것"이라고 설명했다.
체크포인트 코리아 오세호 지사장은 "일반 샌드박스가 검사 대상 파일의 비정상적인 행동이나 네트워크 통신 또는 접속상황, 의심스런 시스템 호출 등을 감시하는 반면, CPU 수준의 샌드박스는 기계어 단계에서 실제 명령의 흐름(execution flow)을 관찰한다는 점에서 차별화 된다"고 밝혔다.
