가상화·빅데이터 기술 보안 영역서 '활기'

[김국배기자] 사이버 범죄와 공격에 따른 국가·기업·개인의 피해가 날로 증가하는 가운데 이에 대응하기 위한 보안 솔루션에도 신기술이 활발히 적용되고 있어 주목된다.

지능형지속위협(APT) 공격 등 진화하는 사이버 위협을 막기 위해 가상화 기반 기술이 사용되고 최근 들어선 클라우드와 빅데이터까지 보안 영역에 쓰이기 시작한 것.

관련 업계에 따르면 상당수 보안 업체들이 알려지지 않은 악성코드를 탐지하기 위해 자사의 보안 솔루션에 가상화 기반 '샌드박스(sandbox)' 기술을 활용하고 있으며 빅데이터 기술 접목을 시도하는 회사들도 늘고 있다.

◆백신부터 APT 대응까지 가상화 기반 '샌드박스 기술' 적용 활발

가상화를 이용한 샌드박스 기술은 백신, 방화벽 등 다양한 보안 제품에 적용되고 있다. 특히 3·20 사이버 테러 이후 관심을 받는 APT 대응 솔루션에서도 핵심 기술로 떠오른 상태.

카스퍼스키랩, 시만텍, 파이어아이, 포티넷 등 글로벌 보안 업체들은 물론 안랩도 자사의 보안 솔루션에 이미 샌드박스 기술을 활용하고 있다. 가상의 운영체제(OS) 환경인 샌드박스에서 악성코드로 의심되는 파일이나 프로그램 등을 실행시켜 악성코드 여부를 가리는 것이다.

실제 환경이 아닌 가상의 공간을 이용하므로 악성코드로 인한 피해나 위험이 적다는 장점이 있다. 급증하는 악성코드를 일일이 분석해 데이터베이스(DB)에 추가하지 않아도 되고 제로데이 공격이나 APT 공격 등의 신종 악성코드를 방어하는 데도 효과적이라는 평가다.

이전까지는 주로 시그니처 기반의 탐지 방식으로 검사 대상 파일의 특정 코드가 데이터베이스(DB)에 등록된 코드와 일치하거나 유사할 경우 이를 탐지하는 방식에만 의존했다.

그럼에도 불구하고 공격자들은 더욱 다양한 공격 기법을 사용하며 이같은 보안 기술을 회피하기도 한다. 대부분 가상화 기반의 샌드박스가 사용자 컴퓨터와 유사한 환경을 구축하려 하지만 완벽히 똑같지는 않은 점을 파고 드는 것이다.

마우스나 키보드 등 사용자의 움직임이 없으면 실제 환경이 아니라고 인식하고 이를 감지할 때까지 악성코드가 휴면 상태로 존재해 탐지할 수 없도록 하는 '휴먼 인터랙션' 공격이 대표적이다.

한국카스퍼스키랩 관계자는 "샌드박스 기술 자체는 진행형"이라며 "샌드박스 기술을 활용해 가상의 환경에서 나타나는 현상을 얼마나 잘 분석하고 이를 활용해 악성코드로 탐지할 수 있는지가 중요하다"고 설명했다.

이 관계자는 또한 "가상의 환경을 만드는 것은 쉽지만 그 환경에서 벌어지는 복잡한 현상을 분석하는 것은 각 업체의 능력"이라고 덧붙였다.

◆ 클라우드·빅데이터, 보안 영역에서도

최근에는 샌드박스 기술 뿐 아니라 클라우드와 빅데이터 기술까지 보안 영역에 적용되고 있다. 글로벌 업체들을 중심으로 유사한 방식의 대응 체계로 보안 기술의 수준을 한층 발전시키는 모습이다.

카스퍼스키랩은 최근 백신에 클라우드 기술을 접목하면서 전세계에 퍼져 있는 자사 솔루션 사용자들이 보낸 (빅)데이터를 분석해 활용한다.

개별 프로그램에 대한 평점을 매기고 이를 기반으로 애플리케이션의 신뢰성을 판단해 운영체제(OS) 환경의 안전성을 높이고 있다. 클라우드의 특성을 이용해 신종 악성코드 출현에도 실시간으로 대응하고 있다.

파이어아이도 각 나라에서 벌어지는 해킹 공격을 모니터링한 동적위협정보(DTI)를 기업들에게 공유하고 있다.

빅데이터 분석을 활용한 동적위협정보 클라우드 서비스는 대규모의 공격 데이터를 실시간으로 취합하고 분석함으로써 글로벌 공격 패턴을 인식하고 가능한한 정확히 피해자를 파악해 고객에게 필요한 통찰을 제공한다는 게 회사 측 설명이다.

시만텍이 운영 중인 '글로벌 인텔리전스 네트워크(Global Intelligence Network)'의 경우 전세계 157 개국 6천 900만 개 공격 센서와 500만 개 이상의 유인 계정 등을 통해 방대한 양의 보안 빅데이터를 수집, 분석하고 있다.

EMC는 올초 트래픽, 로그 등 모든 보안 관련 데이터를 수집하고 저장, 탐지하는 동시에 빅데이터 관리·분석 기능을 접목한 통합 보안관리 솔루션인 'EMC RSA 시큐리티 애널리틱스'를 출시하기도 했다. 또한 국내 빅데이터 플랫폼 업체인 KT넥스알은 빅데이터 로그분석 기술을 보안 영역에 응용하는 시도를 하고 있다.

시만텍코리아 관계자는 "국경을 초월해 이뤄지는 각종 사이버 보안 위협에 효과적으로 대응하기 위해서는 전 세계에서 발생하는 보안 빅데이터를 활용해 위협에 대비하는 '보안 빅 인텔리전스'와 같은 혁신적인 접근법이 요구된다"고 말했다.

김국배 기자의 다른 기사 보기

• 올해 인터넷·정보보호 키워드 '클라우드·빅데이터'

• kt넥스알 빅데이터 플랫폼 'NDAP' GS인증 획득