알려지지 않은 악성코드에 대해 효과적인 행위기반 탐지로 방어해야

[보안뉴스 김태형] “APT 공격은 기존 시그니처 기반의 백신 프로그램으로는 탐지가 쉽지 않고 오랜 시간 동안 발견되지 않아 방어에 어렵다. 특히, 신규·변종 봇넷 및 악성코드에는 기존 백신만으로 대응이 불가능하기 때문에 알려지지 않은 악성코드에 대해 효과적으로 탐지해야 한다.”

라온시큐어가 20일 서울 삼성동 코엑스 컨퍼런스 룸에서 개최한 ‘라온 솔루션 데이 2012(Raon Solution-Day 2012)’에서 ‘기업 보안을 위한 능동형 APT 공격 대응방안’에 대한 주제 발표에서 박현우 라온시큐어 개발팀장은 이같이 설명했다.

그는 “특정 기업이나 조직의 네트워크에 침투해 활동 거점을 마련하고 장기간 지속적인 공격을 통해 정보를 유출하는 공격인 APT는 특정 타깃에 잘 알려지지 않은 악성코드를 배포하는 것이 특징”이라고 설명했다.

박현우 팀장은 “이에 적절한 APT 대응방법은 기업 내의 모든 PC에 설치되어 있는 구성요소가 정상인지 악성인지 확인이 가능해야 하는 한편, APT 공격은 명령 수신, 정보유출 경로가 일반적으로 네트워크로부터 유출되기 때문에 외부로 나가는 모든 트래픽이 정상인지 악성인지 확인할 수 있어야 한다”고 강조했다.

즉 알려지지 않은 악성코드를 탐지해야 한다는 것. 그는 “라온시큐어의 APT 대응 솔루션 ‘TouchEn Safe’는 알려지지 않은 악성코드 뿐만 아니라 문서까지 분석이 가능한 행위기반 탐지 시스템을 통해 구현한다”고 설명했다.

그의 설명에 따르면 ‘TouchEn Safe’ 솔루션은 각 PC마다 수백, 수천 개의 파일을 모두 행위 분석 서버로 올려서 분석하는 것이 가능하다. 즉 위험도 평가 및 행위 분석을 통한 방어가 가능한 것이 특징이라는 것.

그러나 그는 “행위기반 탐지는 100% 안전하지 않기 때문에 TouchEn Safe는 클라우드 시스템을 통해서 행위기반의 불확실한 부분을 최소화 한다. 즉, PC내 위험도 분류 시스템을 통해 PC내 모든 이상행위를 탐지하고 가상화 기반의 행위탐지 시스템으로 알려지지 않은 악성코드를 탐지가 가능하다”고 설명했다.

추가적으로 ‘TouchEn Safe’ 는 위험도 평가를 하기 위해 특정 프로그램이 발생시키는 트래픽 정보도 위험도 평가에 포함시켜 각각의 프로세스가 발생시키는 트래픽 정보를 한눈에 확인할 수 있는 것도 특징이다.

이를 통해 알려지지 않은 악성코드 대응은 물론 잠재적으로 위험한 프로그램 트래픽의 사용을 확인해 기업 내부망과 시스템의 클린을 유지시켜 준다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>