안랩, APT공격에 대응위한 광범위한 솔루션 제공

[이데일리 e뉴스 정시내 기자] 최근 국내 방송사와 금융사에 사이버 테러 사건이 발생하면서 보안 기술에 대해 관심이 쏠리고 있다.

국내외에서 발생하는 대형 보안 관련 사고의 공통점은 하나. APT(Advanced Persistent Threat) 공격 방식이란 데 있다.

APT는 해커(공격자)가 기업 정보, 국가 기밀 탈취 등을 위해 특정 대상을 목표로 정하고 보안 취약점을 찾아내 지속적이고 지능적으로 공격하는 방식이다. 따라서 개인이나 기업은 APT에 대한 정보를 습득하고 보안 인식을 강화하는 것이 반드시 필요하다.

안랩 트러스와처

APT 공격에서 가장 중요한 초기 침입에 대응하기 위해서는 ‘알려지지 않은 악성코드(Unknown Malware)’에 대한 대응이 무엇보다 중요하다.

안랩의 APT 대응 솔루션 ‘안랩 트러스와처 (글로벌 제품명: 안랩 MDS)’는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다.

트러스와처는 기업 네트워크로 유입되는 파일 중 90% 이상을 차지하는 알려진 파일에 대해서는 클라우드 기반의 ASD(AhnLab Smart Defense)로 탐지하고, 나머지 10% 이하의 알려지지 않은 신·변종 파일은 가상 머신 상에서 행위 기반 및 동적 콘텐츠 분석 기술로 탐지한다.

또한 행위 기반 분석 시 해당 파일의 행위만 분석하는 것이 아니라, 연관 파일에 대한 시그니처 기반 분석을 통해 악성 여부 판정부터 연관된 파일들이 접속하는 URL/IP의 위험도, 그리고 평판 정보 및 종합적인 행위를 다차원적으로 분석한다.

특히 문서 파일과 같은 비실행형 파일을 사용하는 공격을 탐지하기 위해 트러스와처는 ‘동적 콘텐츠 분석 기술 DICA(Dynamic Intelligent Content Analysis)’를 탑재했다.

또 DICA는 안랩의 악성코드 분석 노하우가 반영된 특허 기술로 가상 환경 내에서 문서 등 비실행형 파일을 직접 검증할 뿐만 아니라, 점차 국가별로 많이 사용되는 소프트웨어(특정 압축 포맷 및 문서편집 프로그램 등)를 노리면서 국지전 양상을 띠는 비실행형 악성코드 탐지에 탁월한 성과를 보이고 있다.

이러한 기술의 우수성을 인정받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다.

안랩 망분리 솔루션 ‘트러스존’

APT 공격의 또 다른 특징은 외부에서 최초 침입해, 내부망을 타고 돌아다니며 악성행위를 한다는 것이다.

안랩의 망 분리 솔루션 ‘트러스존(AhnLab TrusZone)’은 소프트웨어와 하드웨어를 융합한 방식의 솔루션으로서 PC 가상화 기술과, 가상화 전용 장비(VTN; Virtual Tunneling Network)를 활용한 것이 특징이다.

‘트러스존’은 적은 비용으로 망 분리의 목표를 충족하는 최적의 논리적 망 분리 솔루션이다. ‘트러스존’은 물리적 망 분리, 서버기반컴퓨팅(SBC)을 통한 서버 가상화 방식에 비해 업무 편의성, 자원 활용은 물론 비용이나 구축, 관리, 보안성 면에서 효과적이다. 특히 향후 증설 시에도 확장이 용이하며, 유지보수 비용 등 추가비용이 적게 든다.

‘트러스존’은 기존 소프트웨어 방식의 제품에서 나타날 수 있는 성능 및 보안성 문제도 하드웨어를 활용해, 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹등을 자유롭게 사용할 수 있다.

또한, 안랩이 2009년부터 출원한 가상화 및 망 분리 신기술 등 총 4가지의 특허 기술이 탑재돼 해킹및 침입을 차단하여 철저한 보안성을 제공한다. 이 가상공간에서 사용/저장되는 모든 데이터는 암호화하고 외부 접근이 통제되므로 정보 유출을 차단할 수 있다.

안랩 융합관제

안랩의 차세대 원격관제 서비스는 기존 탐지/대응의 기술적 한계를 극복함으로써 APT 공격, 탐지 우회, 알려지지 않은 공격 등 지능적 공격을 원격에서 모니터링해 신속히 대응한다. 기존 원격관제와 비교해 모니터링 하는 범위가 더 확대됐으며 탐지/분석 기술도 진일보했다.

기존 원격관제는 네트워크 보안에 초점을 맞춰 주로 방화벽, IDS(Intrusion Detection System, 침입탐지시스템), IPS(Intrusion Protection System, 침입방지시스템) 등을 모니터링 한다.

차세대 원격관제는 이에 더해 주요 서버와 엔드포인트 PC의 패킷, 트래픽, 악성코드까지 모니터링 한다. 안랩은 이를 위해 자체 기술로 서비스 전용 장비인 ‘세피니티 블랙박스(AhnLab Sefinity Black Box)’를 별도 개발했다.

‘세피니티 블랙박스’는 악성코드 다운로드 모니터링, 시스템 정보 수집, 패킷 모니터링, 플로우(flow) 분석 등의 기능을 제공한다. 외진 골목마다 CCTV를 설치한 것과 같아서 네트워크 보안 장비를 우회하는 APT 공격에 입체적이고 완벽하게 대처할 수 있다.

이에 따라 안랩 차세대 원격관제 서비스는APT 공격의 시도, 내부 침투 성공, 악성코드확산, 정보 유출 등 각 단계에서 정교하게 모니터링해 정보 유출을 막아낸다.