[김수연기자] 보안업계가 APT 공격에 대응하는 차별화된 기술력을 선보이며 'APT = 불가항력'이라는 공식을 바꿔 나가고 있다.
'지능적 지속위협(Advanced Persistent Threat, APT)'은 특정 기업이나 조직 네트워크에 침투해 활동 거점을 마련한 후, 기밀정보를 수집해 지속적으로 빼돌리는 보안 위협.
악성코드, 사회공학적 기법 등 존재하는 모든 공격 방법을 동원해 끈질기고 복합적인 방법으로 타깃을 공격하기 때문에, 기존 보안 위협보다 사전에 탐지하기가 어려운 게 사실이다.
하지만 최근 보안업체들은 평판 기반 보안 기술, 가상화 환경을 통한 행위 기반 분석 등 APT 공격 방어 기술 개발에 속도를 내며, 'APT'라는 창에 맞설 방패를 고도화해 나가고 있다.
공격 수법이 진화하는 만큼, 방어책도 진화해 나가고 있다는 게 이들이 시장에 던지는 공통된 메시지다.
◆ 시만텍 "평판기반 보안기술로 APT 대응력↑"
시만텍은 최근 공격자들이 기존 위협과 형태를 조금씩 다르게 바꿔가며 탐지를 피하고 있다는 점, 변종 위협을 인터넷 환경을 통해 광범위하게 확산시킨다는 점에 주목, 이에 맞설 평판기반 보안 기술을 개발해 APT 공격 대응 제품에 적용했다.
시만텍의 평판기반(reputation-based) 보안 기술 '인사이트(Insight)'는 파일의 존재 유무, 코드 서명(code signing)의 존재 유무 등을 포함한 다양한 정보를 바탕으로 특정 파일이 언제 출시됐는지, 현재 몇 대의 컴퓨터에 설치돼 실행되고 있는지 등의 평판 정보를 확보, 이를 사용자에게 제공한다.
특히 '인사이트'는 1억7천500만 개의 시만텍 고객 엔드포인트로부터 정보를 수집해 소프트웨어 사용 패턴을 파악하고, 이에 따라 파일에 안전 등급을 부여한다.
이 기술은 데이터 수집, 평판 평가, 평판 정보 제공 등의 프로세스로 운영된다. 고객 엔드포인트에서 데이터를 수집한 후, 평판 통계 알고리즘을 통해 ▲파일 생성시간 ▲파일 다운로드 소스 ▲디지털 시그니처 ▲파일 확산 등 수집된 데이터의 속성을 분석하고, 파일의 안전성·신뢰성에 대한 평판 정보를 고객에게 제공하는 방식이다.
악성 파일만을 추적·분석하는 것이 아니라 모든 실행 파일에 대한 안전 등급을 실시간으로 부여한다는 것이 특징이며, 사용자들은 이러한 평판 정보를 참고해 파일 실행이나 프로그램 설치 여부를 결정할 수 있다.
시만텍에 따르면, 현재 '인사이트'는 30억 개 이상의 실행 파일에 대한 보안등급(rating) 데이터베이스를 보유하고 있으며, 매달 평균 750억 건의 '인사이트' 보안등급이 고객들에게 제공되고 있다. 또한 '인사이트'를 통해 차단되는 악성 파일 다운로드 건수는 하루 4만5천 건에 달한다는 설명이다.
해당 기술은 클라우드 기반의 엔드포인트 통합보안 솔루션 '시만텍 엔드포인트 프로텍션'과 웹 보안 솔루션 '시만텍 웹 게이트웨이(Symantec Web Gateway)'에 적용됐다.
시만텍코리아 윤광택 이사는 "100% 막을 수 있다고 장담할 수는 없지만, 그렇다고 100% 당하고만 있으란 법도 없는 게 APT 공격이다"며 "해커들이 진화하듯 대응 기술도 진화하기에, 새로운 기능, 기술력이 적용된 솔루션들을 도입한다면 APT 공격에 속수무책으로 당하는 상황만은 막을 수 있다"고 말했다.
◆ 안랩 "알려지지 않은 악성파일, 가상머신으로 잡는다"
안랩은 악성코드가 숨겨진 문서파일에서 시작되는 APT 공격이 늘고 있는 만큼, 알려지지 않은 악성 파일을 탐지·차단하는 기술을 고도화해 나감으로써 APT 공격에 대응할 수 있다고 보고 있다.
실제 안랩은 의심이 가는 파일을 가상 머신에서 직접 실행해 악성 여부를 진단하는 '파일 행위 기반 분석' 기술, 'DICA(Dynamic Intelligent Contents Analysis)'를 개발, 이를 적용한 제품 '트러스와처'로 APT 대응 솔루션 시장을 공략하고 있다.
DICA는 실행파일뿐 아니라 워드, 한글, PDF 등 일반 파일(Non-PE파일)에 숨겨진 셀 코드(Malicious Shell Code)를 탐지해 알려지지 않은 악성 파일을 진단한다.
이와 함께 안랩은 해커가 공격 명령을 내리는 데 사용하는 C&C(Command & Control) 서버, APT 공격에 동원되는 파일, URL 등을 실시간 수집·분석하는 기능을 '트러스와처'에 적용했다.
이를 통해 악성 파일이 유입된 모든 로그를 모니터링할 수 있고, APT공격에 활용될 가능성이 높은 클라이언트 PC를 도출해 낼 수 있다는 설명이다.
안랩 시큐리티대응센터(ASEC) 이호웅 센터장은 "APT는 단순히 또 하나의 어떤 공격 방법이 아니라, 악성코드 해킹, 사회공학적 기법 등 존재하는 모든 공격 방법을 동원해 특정 타깃을 대상으로 끈질기고 복합적인 방법으로 공격을 시도하는 보안 위협 트렌드"라고 설명했다.
그는 이어 "따라서 APT는 예전의 보안위협보다 방어가 어려운 것은 사실이지만 기업과 기관이 최신 솔루션이나 시스템을 도입하고, 조직 내에서 지속적으로 보안 교육, 모의 훈련을 실시하는 등 전체적인 관점에서 보안을 강화한다면 효과적으로 대응할 수 있다"고 밝혔다.
◆ 파이어아이 "'가상실행엔진'으로 악성코드 위험도 파악"
파이어아이는 APT 공격 대응 기술로, 웹·메일·파일 멀웨어 프로텍션 시스템(MPS) 상에 실제와 같은 '가상 PC·애플리케이션 환경'을 구현하는 '가상실행엔진(Virtual eXecution Engine, VXE)' 기술을 내놨다.
'VXE'가 구현하는 가상 환경에서 파일을 실행해, 실제 악성코드가 어떻게 유입되는지, 유입된 악성코드가 어떤 악의적인 동작을 하는지 분석함으로써, PC로 전달되는 악성코드의 위험도를 정확히 파악할 수 있다는 게 파이어아이 측 설명이다.
또한 'VXE'는 해커의 C&C 서버를 추적해 악성코드에 감염된 PC와 C&C 서버의 접속을 차단하는 기능을 제공한다.
김반옥 파이어아이 코리아 이사는 "APT 공격은 패턴, 시그니처가 아직 생성되지 않은, 즉 알려지지 않은 악성코드를 이용하기 때문에 완벽히 차단하는 것은 어렵지만 의심이 되는 악성코드 환경에서 행위 기반으로 분석할 수 있는 기술이 계속해서 개발되는 만큼, APT 공격 탐지·차단 가능성은 높아지고 있다"고 설명했다.
◆ 포티넷 "가상화 환경 활용해 신속한 파일분석·패치생성 가능"
포티넷 역시 가상화 시뮬레이션 환경에서 의심 파일을 분석하는 기술을 개발, APT 공격 대응 기술을 진화시켜 나가고 있다.
포티넷은 사내 보안전략연구소인 '포티가드'의 180여 명 연구원들이 가상의 샌드박스(Sandbox) 상에서 행위기반 분석·패턴 분석을 진행해, 제로데이 취약점 등에 대한 정보를 확보하고, 이를 포티넷 보안 어플라이언스에 지속적으로 업데이트하는 방식으로 APT 공격을 차단하고 있다.
포티게이트, 포티메일 등 기존 보안 어플라이언스로 구성된 'APD(Advanced Persistent Defense)'가 악성으로 의심되는 파일을 포티가드 연구센터로 전송하면, 포티가드는 전송 받은 파일을 가상화 환경에서 직접 실행한다.
실행 결과, 해당 파일이 악성으로 판명되면, 이에 대한 패치를 생성해 고객사에 설치된 보안 어플라이언스에 적용한다.
최원식 포티넷 코리아 대표는 "APT 공격을 당하고 나서, 최신 공격이기에 어쩔 수 없이 당했다고 체념하기 보다는, 다각도의 솔루션을 도입해, 보안 위협을 최대한 완화해 나가야 한다"고 강조했다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기