사전 탐지와 사후 대응을 위한 다계층 보안 전략 필요
국내외 보안업체, 엔드포인트 기반 APT 방어 솔루션 선보여

[보안뉴스 김태형] 전 세계적으로 엔드포인트 보안 솔루션이 뜨고 있다. 모바일, BYOD, 스마트워크, 사물인터넷 시대를 맞아 엔드포인트의 복잡성이 증가했고 이를 악용한 침해사고도 크게 증가하고 있다.


국내 환경도 크게 다르지 않다. PC, 노트북, 태블릿, 스마트폰 등과 같은 업무용 단말기와 POS, 서버, IoT 센서, 산업용 기기 등을 포함한 모든 엔드포인트 단말 사용자들의 개별기기들의 보안이 이슈가 되고 있다.

기존의 엔드포인트 보안 솔루션은 보안위협 방지에 초점을 맞추었다. 하지만 최근 사전 탐지와 사후 대응(EDR:Endpoint Detection and Response)을 위한 솔루션들이 나오고 있다. 특히, APT 공격을 위한 첫 번째 시작점도 엔드포인트이기에 엔드포인트를 통해 들어오는 APT공격과 같은 보안 위협에 대응하기 위해서는 시그니처 기반의 기술뿐만 아니라 행위기반, 샌드박스, 빅데이터 분석, 네트워크 등을 기반으로 하는 기술들을 활용해 다계층적인 보안전략이 요구된다.

공격자들에게 엔드포인트는 정보의 창고와 같기 때문에 항상 타깃이 되고 있다. 그래서 엔드포인트 보안 솔루션은 공격자들이 어떤 정보에 접근하고 훔쳐갔는지를 파악해서 앞으로 다시 공격할 수 없도록 방어하는 기능을 제공한다. 그동안 엔드포인트 솔루션의 대명사는 백신이었다. 하지만 최근 엔드포인트 보안 솔루션은 백신으로 잡을 수 없는 것들을 잡아내고 사고 후 포렌식을 위한 정보수집 기능도 제공하는 방향으로 발전했다.

이러한 엔드포인트 보안 솔루션 업체는 시스코, 파이어아이(맨디언트), 카운터텍, 팔로알토 네트웍스, EMC RSA 등의 글로벌 기업과 국내 기업 안랩, 하우리, 이스트소프트, SGA 등에서 기존 보유하고 있던 기술을 바탕으로 한단계 앞선 엔드포인트 보안 솔루션 및 제품들을 내놓고 있다.

특히 최근 인텔 시큐리티(맥아피), 시만텍, 카스퍼스키랩, 트렌드마이크로 등과 같은 기존 백신업계의 글로벌 강자들도 자신들의 백신 플랫폼에 새로운 엔드포인트 기능을 추가해 이 시장에 뛰어들었다. 이와 함께 국내 업체인 안랩, 이스트소프트, SGA 등도 기존 백신 제품에 APT 대응을 위한 기술을 접목시켜 엔드포인트 보안 솔루션 시장에 진입한 상태다.

우선 맨디언트를 인수한 APT 대응 전문 기업 파이어아이 ‘HX 시리즈’는 기존 침입방지 시스템(IPS)에 파이어아이의 멀티 벡터 가상 실행(MVX) 엔진을 탑재했다. 파이어아이가 보유한 가상 실행(MVX) 엔진에 맨디언트의 침입방지 기술이 접목됐다. 또한, 탐지된 정보를 맨디언트에 보내고 맨디언트에서 이 정보를 통해 실시간으로 해당 단말을 스캔해 탐지·분석하기 때문에 어떤 데이터가 유출됐는지도 확인이 가능하다는 특징이 있다.

트렌드마이크로의 APT 대응 솔루션 ‘딥 디스커버리(Deep Discovery)’는 메일 기반의 스피어 피싱과 실시간으로 변경되는 명령제어(C&C)서버와 악성 URL에 대응할 수 있는 솔루션이다. 여기에 포렌식 기능을 추가해 이를 통해 확인된 의심파일을 샌드박스에서 분석해 대응한다. 이와 함께 트렌드마이크로는 최근 블루코트와 기술 협력을 맺고, APT 방어 솔루션 딥디스커버리와 블루코트의 SSL암복호화 솔루션인 ‘SSL Visibility Appliance(SSL 가시성 어플라이언스)’을 공동으로 공급하기로 했다, 이를 통해 지능적인 표적 공격에 대한 입체적이고 신뢰도 높은 방어 솔루션을 제공하게 됐다.

또한, 시만텍은 시만텍 엔드포인트 프로텍션(SEP)은 다양한 엔드포인트 보안 기술을 하나로 통합해 제공한다. 특히 네트워크 접근 제어, 애플리케이션 제어, 안티바이러스, 안티스파이웨어, 데스크톱 방화벽, 호스트 및 네트워크 침입 방지, 디바이스 제어와 같은 다양한 보안기술들을 하나로 통합해 다수의 엔드포인트 보안 제품들을 관리할 때 발생할 수 있는 시간, 비용, 인력 자원 낭비를 방지하고 다양한 이기종 플랫폼 지원을 통해 운영 효율성을 극대화하고 있다.

특히, 물리·가상환경에서도 지능적으로 공격을 차단하며, 네트워크 위협 보호, 시만텍 인사이트, 소나(SONAR) 등 강력한 기술을 활용해 표적공격으로부터 사용자의 PC와 노트북을 보호한다. 네트워크 위협 보호는 사용자의 기기에서 처리되기 이전에 네트워크로 들어오는 데이터를 미리 분석해 네트워크 내의 취약한 소프트웨어 혹은 사용자들에게 영향을 미치기 전에 표적공격을 예방한다.

이와 함께 최근 시만텍은 통합대응형 ATP(Advanced Threat Protection) 솔루션을 출시했다. 새로운 ATP 솔루션은 기존 엔드포인트, 네트워크, 이메일 게이트웨이 등 각각의 컨트롤 포인트에서 개별 포인트 보안 제품으로 대응하던 방식에서 진일보한 통합대응형 솔루션이다. 기존 단일 콘솔에서 전 영역에 걸쳐 지능형 보안 위협(APT)을 탐지하고 위협의 중요도에 따라 해결 우선순위를 결정해 보다 신속하고 효과적인 보안 위협 대응을 제공한다.

러시아 백신 전문 기업 카스퍼스키랩은 기업용 엔드포인트 제품 ‘Kaspersky Endpoint for Business’을 출시해 기업의 다계층 보안을 제공한다. 이는 우수한 인공지능 엔진과 방대한 시그니처를 바탕으로 악성코드 차단뿐만 아니라 방화벽, 네트워크 공격 차단, 매체 제어, 웹 접근제어, 애플리케이션 제어, 암호화 기능 등을 제공한다. 또한, 제로데이, 랜섬웨어 등의 공격을 막기 위해 차세대 클라우드 기술을 기반으로 하는 Kaspersky Security Network(KSN)와 전문 익스플로잇 차단 기능 등의 사전 방역 모듈을 통해 신종 보안위협에도 보다 빠르게 대응한다는 점이 특징이다.

EMC RSA의 엔드포인트 보안솔루션인 ‘이캣(ECAT)’은 비시그니처 방식의 악성코드 탐지 기술을 적용했다. 이캣은 에이전트를 통해 디스크와 메모리, 네트워크 트래픽을 검사하고 서버를 통해 의심파일을 분석한다. 악성코드가 발견됐을 때 그 위치와 매커니즘을 빠르게 파악하고 가시화시켜 보다 신속한 조치가 가능하도록 한다. 또한, 이캣은 SIEM솔루션 RSA SA(Security Analytics) 및 보안관제 시스템과 연동되어 있으며 하둡 기반의 빅데이터 분석 기술이 적용되어 있어 전 영역에 걸친 방어체계를 구축할 수 있다는 점이 특징이다.

이 외에도 IBM, 시스코, 팔로알토네트웍스, 포티넷 등 기존 네트워크 보안업체들도 네트워크단부터 엔드포인트까지 커버하는 APT 대응 솔루션으로 기능을 확장시키고 있는 추세다.

국내 백신 솔루션들도 기존 백신 기능에 APT 방어를 위한 분석 기술을 적용해 엔드포인트를 통한 APT 방어 전략을 강화했다. 우선 안랩은 APT(Advanced Persistent Threat)와 같은 지능형 위협에 대응하는 솔루션 ‘안랩 MDS’를 출시했다. 이는 ‘탐지-분석-모니터링-대응’의 프로세스로 네트워크로 유입되는 위협의 처음 단계부터 대응하고 커맨드&컨트롤(C&C) 서버 통신을 통한 2차 감염, 내부 전파와 정보유출 등 최종 단계까지 방어할 수 있다. 지능형 위협 라이프 사이클을 중심으로 위협 가시성과 실질적인 대응 체계를 제공하는 점이 특징이다. 또한, 애플리케이션 취약점 공격 단계에서 악성코드 여부를 탐지할 수 있으며 제로데이 공격은 물론, 샌드박스 분석을 우회하려는 악성코드도 자세하게 분석할 수 있다.

또 ‘알약’을 개발·공급하고 있는 이스트소프트는 ‘알약 익스플로잇 쉴드’를 출시하고 사용자들의 엔드포인트 보안 강화를 제공한다. 이는 별도 데이타베이스(DB) 업데이트 없이 사용자PC 프로세스의 행위를 실시간으로 감시하고 보안 취약점을 악용한 악성코드 공격을 탐지·차단하는 악성코드 사전 방역 기능을 제공한다. DB기반으로 이미 알려진 악성코드를 탐지하는 백신과 달라서 기존 백신과 함께 사용하면 더욱 강력한 보안 환경을 갖출 수 있다.


하우리는 ‘바이로봇 7.0’에 APT 방어 솔루션 ‘바이로봇 APT 쉴드 2.0’을 탑재했다. 바이로봇 APT 쉴드는 새롭게 공개되는 애플리케이션·시스템 취약점으로 공격이 진행되지 못하도록 하는 것이 특징이다. 즉 취약점이 발견되고 패치가 이뤄질 때까지 제로데이 공격이 발생하는데, 바이로봇 APT 쉴드가 이를 방어해 준다는 것이다. 특히, 취약점으로 악성코드가 유입되는 것을 차단하는 기술로 패턴 없이 APT 차단 기능을 제공한다.

그리고 바이러스체이서를 공급하고 있는 SGA는 파이어아이코리아와 ‘사이버 침해사고에 대한 공동 대응 및 기술협력’을 통해 지능형 사이버 표적 공격에 대응한다. SGA가 개발한 ‘APT 체이서(APT Chaser)’는 파이어아이의 ‘MPS(Malware Protection System)’ 제품과 연동돼 정밀화된 악성코드 수집 정보를 토대로 APT 공격의 신속한 탐지 및 치료가 가능하다.

이 외에도 소프트캠프의 ‘실덱스(SHIELDEX)’는 망분리·망연계 환경에서 외부유입 파일에 대한 보안 강화가 필요한 기업이나 기관에 적합한 솔루션이며, 인포섹이 미국 카운터텍과 협력해 제공하는 ‘센티넬(Sentinel)’은 메모리 분석과 운영체제 상에서 발생하는 모든 행위를 수집하는 기능을 제공하고 PC에 영향을 거의 주지 않는다는 점이 특징이다.

또한, 엔피코어의 ‘좀비제로(Zombie ZERO)’는 에이전트를 이용한 사용자단의 행위기반 탐지·차단 제품과 가상 시스템을 이용한 네트워크 패킷 분석·탐지 제품으로 구성되어 있는 신종 APT 공격 및 악성코드 탐지 및 방어 솔루션이다. 이 외에도 엔드포인트 보안 솔루션을 개발, 제공하고 있는 국내 업체는 큐브피아, 닉스테크 등이 있다.

최근의 APT 공격은 오랜 기간에 걸쳐 여러 단계를 거치기 때문에 단일 솔루션만으로는 방어에 한계가 있다. 이에 엔드포인트 단의 APT 대응을 위해서는 사전 탐지와 사후 대응이 가능한 다계층적인 보안 솔루션이 필요하다. 네트워크 레벨의 분석 솔루션과 엔드포인트 단에서의 탐지·차단 및 가시성 확보를 통한 대응이 요구된다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>