알려지지 않은 보안위협 APT에 대해서도 사전방지 가능

[보안뉴스 김정완] 최근 게임 회사나 특정 포털 사이트에서 APT(지능형 지속 위협) 악성코드로 인한 개인정보 및 내부 자료 유출이 발생하면서 APT 방어 솔루션에 대한 관심이 높아지고 있다. APT 악성코드는 기존에 알려지지 않은 신·변종 악성코드로 이루어져 있어 종래의 시그니처 기반 탐지 솔루션인 안티 바이러스나 웹방화벽 등으로는 대응에 한계가 있다는 지적이 많았다.

이에 보안 전문 기업 세인트시큐리티는 이러한 한계를 보완하기 위한 APT 악성코드 분석 및 방어 솔루션인 ‘심바-HV(SIMBA-HV)’를 최근 출시했다고 20일 밝혔다.

이번에 출시한 심바-HV는 내부 네트워크로 유입되는 신·변종 악성코드를 탐지하고, 악성코드에 감염된 좀비 PC를 차단하기 위한 솔루션이다.

심바-HV는 수집·탐지·분석·대응의 4단계로 나눌 수 있는 악성코드 대응 프로세스를 자체적으로 모두 지원할 뿐만 아니라 운영 정책에 따라 자동화 할 수도 있다는 점이 가장 큰 강점이다.

또한, 심바-HV는 관리 네트워크의 백본에 미러링 방식으로 설치돼 내부 네트워크로 유입되는 악성코드 의심 파일을 파일 재조합 방식을 통해 수집한다. 고속의 패킷 캡쳐 전용 네트워크 카드를 사용해 패킷 손실률이 없고, 폐쇄망에서도 수집이 가능하다는 장점을 가지고 있다.

특히, APT공격 악성코드의 대부분을 이루고 있는 PDF, MS-Office, 한글 등에 대한 문서형 악성코드나, 이메일에 첨부되어 유입되는 악성코드도 수집이 가능하기 때문에 APT공격 악성코드의 위협에도 안심할 수 있다.

 

▲‘심바-HV(SIMBA-HV)’의 운영환경.

 

수집된 파일은 정적, 동적 분석 기법을 사용해 악성 여부를 판별하는데, 특히 커널 레벨에서 이루어지는 행위 모니터링은 악성코드를 정확하고 정교하게 분석해 위험도를 산정하며 날로 증가하는 Anti-VM 악성코드 분석을 위해 가상환경 탐지 무력화 기능을 탑재한 것이 특징이다.

향후에는 세인트시큐리티 클라우드 센터에서 제공하는 안티바이러스 크로스 체크(Antivirus Cross-check) 서비스와 연동해 다양한 안티바이러스 제품에서의 탐지 가능 여부를 제공할 예정이다.

한편, 심바-HV는 지난 1월에 이미 공통평가기준인 CC인증(EAL2)을 획득해 현재 국가 주요 기관, 연구소, 대형 통신사, 민간 기업 등에 도입되어 운영 중이며, 알려지지 않은 악성코드를 찾는데 활용되고 있다.

이와 관련 박희수 세인트시큐리티 대표는 “최근 보안 이슈가 많이 발생했음에도 불구하고 여전히 대부분의 기업들은 특정 대상을 공격하는 APT 악성코드에 취약하다”면서, “심바-HV는 알려지지 않은 보안위협을 사전에 방지하는 솔루션이 될 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>