[디지털데일리 이유지기자] 국내 보안기업인 윈스는 알려지지 않은 공격을 탐지·차단하기 위한 전용 장비인 ‘스나이퍼 APTX’를 선보이면서 지능형지속위협(APT) 대응 솔루션 시장에 본격 뛰어들었다.

윈스는 침입방지시스템(IPS)과 분산서비스거부(DDoS, 디도스) 방어 시스템 등 네트워크 보안 업체로 유명하다. 위협관리시스템(TMS)과 차세대 통합보안(UTM) 제품도 보유하고 있으며, 보안관제서비스 사업 등도 수행하고 있다.

오랜기간 다양한 보안 제품과 서비스를 제공하며 쌓은 기술력과 노하우를 활용해 APT 대응 솔루션을 출시했다. 이를 바탕으로 지능형 위협 탐지와 행위기반 분석, 감염 PC 치료, 암호화 통신, 모니터링·관리·통계 등 아키텍처 중심 접근으로 지능형위협 대응 모델을 구축했다.

윈스는 기존 고객군을 바탕으로 ‘스나이퍼 APTX’를 적극 소개하면서 지난해까지 40여곳의 공공기관과 금융사 등에 이 제품 공급사례를 확보했다. 올해에는 관련사업에 더욱 주력할 방침이다.

네트워크 행위 분석으로 APT공격에 의한 비정상 사용자의 행위를 판별해 차단함으로써 IPS, 안티바이러스(백신) 기반 좀비PC 대응시스템 등 기존의 보안 시스템을 우회하는 공격을 사전에 예방할 수 있도록 구현했다.

샌드박스 기반으로 MS 오피스, 아래아한글(HWP), 압축 파일 등의 다양한 파일 형태의 악성코드 분석 기능을 제공한다. 이는 악성코드 자동분석시스템인 ‘스나이퍼 CVM’을 통해 가상머신을 활용해 실제 악성코드를 재현하며 악성 행위를 관찰하고 종합 분석한다.

‘스나이퍼 CVM’은 실행 가능한 모든 파일을 분석해 악성여부를 판단한다. 특히 HWP 분석, 공인인증서 유출 확인 등 국내 기업·기관 표적공격 대응에 강점을 갖고 있다. HWP 분석의 경우, 단순 시그니처 기반 탐지가 아니라 실제 문서파일을 구동시켜 발생하는 행위를 관찰하고 문서 포맷을 분해·분석해 악성 스크립트 삽입이나 취약점 여부를 판단하는 기능을 제공한다.

아울러 악성코드 배포지와 명령제어(C&C) 서버 차단 등으로 악성코드 감염을 예방하고, 포트 기반이 아닌 DCI(Deep Contents Inspection)기술의 시그니처 기반으로 애플리케이션 식별이 가능하다. 패킷을 세션별로 분류하고 패킷의 페이로드(Payload)를 분석해 해당 세션의 애플리케이션 식별이 가능하다.

윈스는 자사 대표 제품인 ‘스나이퍼 IPS’에 적용돼 있는 핵심 기술인 고성능 패킷 처리기술을 ‘스나이퍼 APTX’에 적용했다. 특허 받은 세션기반 멀티 쓰레딩(Multi-Threading) 패킷 처리 엔진을 탑재해 트래픽 지연 없이 실시간 패킷 분석이 가능하다.

윈스는 100여명에 이르는 침해사고대응센터(WSEC) 분석인력이 참여하고 있는 평판 정보보안시스템도 운영하고 있다. 이는 최신 트렌드의 악성코드와 유포지에 대한 정보를 실시간으로 공유하고, 분석한 내용을 토대로 이슈 악성코드 판별 여부를 저장해둔 클라우드 정보 시스템이다.

이 시스템을 통해 특화된 환경에 동작하는 미동작 악성코드의 판별이 가능하며, 실시간 이슈화되는 악성코드 대응도 수행한다.

악성코드뿐만 아니라 내부의 클라이언트가 접속하는 URL을 실시간으로 분석해 악성스크립트 삽입 탐지시 근원지까지 역추적함으로써 해당 근원지를 찾아내고, 유포하고 있는 악성코드를 수집해 분석 결과를 사용자에게 알려준다.

<이유지 기자>yjlee@ddaily.co.kr