국내외를 포함한 보안업계에서 최근 몇 년 새 가장 많이 등장한 키워드는 '지능형 위협(APT)'이다.
금융정보나 개인정보 탈취, 분산서비스거부(DDoS) 공격은 워낙 오래 전부터 등장한 것들이라 대응법도 많이 나왔다. 하지만 APT 공격은 공격자들이 대상이 눈치채지 못하게 오랫동안 집요하게 공격을 수행하는데다가 이전에는 알려지지 않았던 새로운 취약점을 악용한다는 점에서 골칫거리다.
미국서 대표적인 보안회사로 꼽히는 시만텍은 고민 끝에 지난해 말에서야 완성도를 높인 종합대응솔루션을 내놨다. 물론 이전에도 엔드포인트 보안, 이메일 보안, 네트워크 보안솔루션을 제공해 왔지만 최근에는 이런 솔루션들을 연동해서 공격에 대한 종합적인 정보를 확인하고 필요한 대응을 할 수 있도록 했다.
25일 시만텍코리아가 개최한 미디어데이에서 시만텍이 그리는 APT 공격대응방향을 확인할 수 있었다. 핵심은 어디서 어떻게 들어올지 모르는 공격을 기업 내 보안관리자들이 더 쉽고 빠르게 탐지, 차단 조치를 할 수 있게 하겠다는 것이다.
박희범 시만텍코리아 지사장은 "이미 알고 있는 공격은 기존 보안 솔루션으로 충분히 막을 수 있지만 그동안 알려지지 않은 공격을 어떻게 탐지하고 대응할 수 있는가가 관건"이라고 밝혔다.
이 회사는 그동안 노턴안티바이러스, 엔드포인트 프로텍션, 데이터유출방지(DLP) 솔루션, 이메일시큐리티닷클라우드와 함께 클라우드를 기반으로 실시간 보안위협정보를 수집, 분석, 공유하는 딥사이트 인텔리전스 등에 주력해 왔다.
문제는 APT 공격이 알려지지 않았던 취약점을 악용해 은밀하게 공격이 이뤄지는 탓에 대응이 어렵거나 늦어진다는 점이다. 심지어 주요 기업들이 APT 공격이 발생한 시점으로부터 295일 동안이나 공격을 알아차리지 못한다는 통계까지 등장하고 있는 실정이다.
이 과정에서 시만텍은 지난해 12월 '어드밴스드쓰렛프로텍션(ATP)'라는 솔루션을 내놓았다. 기업 보안담당자가 기존 엔드포인트, 네트워크, 이메일을 통한 위협정보를 한 눈에 보고, 클릭 몇 번만으로 쉽게 필요한 조치들을 취할 수 있게 한 것이다. 상관관계 분석을 통해 가장 위협이 높은 이벤트를 우선적으로 처리할 수 있게 했다.
기존에 PC, 노트북 등에 설치되는 시만텍 엔드포인트 프로텍션이나 이메일시큐리티닷클라우드를 활용하기 때문에 별도로 또 다른 보안프로그램을 설치하지 않아도 쓸 수 있도록 한 점도 특징이다.
이날 ATP 솔루션 시연을 맡은 시만텍코리아 윤광택 상무는 "결국 알려지지 않은 공격에 대응하기 위해서는 기업 보안담당자가 알아서 잘 판단해야하는 경우가 생긴다"며 "ATP가 시만텍이 확보하고 있는 인텔리전스를 기반으로 우선적으로 조치해야하는 위협 정보를 알려주고 클릭 몇 번 만으로 조치를 취할 수 있게 한다"고 설명했다.
예를들어 'winctrcon.exe'라는 악성파일이 기업 내 유입됐다는 정보가 확인됐다고 가정하면 해당 파일명에 대해 해시값이 3개가 있다는 점을 근거로 탐지를 우회하기 위해 최소 3개 이상 변종을 사용하고 있다는 점을 확인할 수 있다. 또한 글로벌 환경에서 해당 악성코드가 수주전에 다른 곳에서 발견된 적이 있다거나 가상환경에서 직접 실행해보니 16개 비정상적인 이벤트가 발생한다는 등 정보를 확인할 수 있게 했다.
이밖에도 유입된 악성파일이 어떤 웹사이트 경로를 타고 왔는지, 유사한 악성파일에 감염된 사내 PC, 노트북이 얼마나 되는지, 위협 수준이 어느 정도인지를 한 눈에 확인할 수 있도록 했다.
모든 기업 보안담당자들이 보안분석가나 침해사고대응전문가 수준의 분석능력을 갖고 있는 것은 아니다. 이들도 한 눈에 알려지지 않은 위협에 대한 정보를 확인하고 필요한 조치를 쉽게 적용할 수 있도록 한 것이 ATP가 가진 핵심기능이다.
관련기사
- 안드로이드폰 악성코드, ARS 인증까지 노려2016.02.26
- 시만텍, 싱가포르 보안운영센터 개소2016.02.26
- "2016년 애플기기 노린 해킹 시도 확산"2016.02.26
- 시만텍 "원클릭으로 보안 관리 지원"2016.02.26
ATP는 기업 내 사용자들이 쓰고 있는 PC, 노트북 등 엔드포인트 단에서 위협을 탐지하고, 대응한다. 최근 글로벌 보안 업계에서 'EDR(Endpoint Detection & Response)'라고 불리는 트렌드가 등장하기 시작한 것이다.
박 지사장은 "네트워크 복잡성이 커지고, 사용되는 애플리케이션이 다양해지는 탓에 공격자가 다양한 경로와 방법을 동원하지만 완벽한 방어는 불가능하다"며 "결국 공격자의 목적지가 엔드포인트라는 점을 고려하면 이곳에서만 위협에 대한 대응조치를 할 수 있다"고 설명했다.