- APT 공격 대응 솔루션 ‘트러스와처 2.0’, RSA 2012에서 첫선
- 워드·아래아한글·PDF 등 악성문서파일 정밀 검사해 APT 공격 원천 차단

[디지털데일리 이민형기자] 안랩(대표 김홍선, www.ahnlab.com)은 27일 미국 샌프란시스코에서 열리는 정보보호 컨퍼런스 ‘RSA 2012’에서 APT(지능형지속가능위협) 공격 대응 기술을 탑재한 ‘트러스와처 2.0(AhnLab TrusWatcher 2.0)’을 처음으로 선보였다.

트러스와처 2.0은 안랩의 악성코드 분석 기술과 네트워크 보안 기술이 융합된 보안 솔루션이다.

이번에 공개한 신제품은 안랩이 세계 최초로 개발한 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’이 탑재됐다.

클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술을 보유한 트러스와처 2.0은 DICA 신기술 탑재로 APT를 비롯한 지능적 보안 위협에 더욱 강력한 대응력을 확보하게 됐다.

안랩의 DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다.

APT의 주요 도구로 사용되는 악성문서파일(Unknown Document Malware)을 정밀하게 검사하기 때문에 APT 공격을 원천적으로 막을 수 있게 된다는 것이 안랩의 설명이다.

실제 안랩의 분석에 따르면 최근 APT 공격은 주로 악성 문서 파일을 이용해 이루어지고 있는 것으로 나타났다.

이는는 각종 문서 관련 애플리케이션(앱)들의 기능이 확장되고 복잡해짐에 따라 운영체제(OS)만큼 많은 취약성이 발견되기 때문이다.

또한 문서 파일 내 플래시 같은 다른 애플리케이션의 객체를 포함할 수 있게 됨에 따라 공격 코드를 은닉하기가 더욱 쉬워진 것도 한 몫 하고 있다.

악성코드가 문서 파일에 포함되어 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다. 또한 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 이유 중 하나로 꼽힌다.

이 회사 김홍선 대표는 “APT 공격은 네트워크 트래픽과 그 안에 숨겨진 콘텐츠를 정확히 분석해야 효과적으로 방어할 수 있다”며 “IT 본고장인 미국에서 첫 발표를 한 자신감을 바탕으로 글로벌 시장에서 의미 있는 성과를 낼 것”이라고 강조했다.

한편 안랩은 28일(현지시각) RSA 2012 참관객과 기자들을 대상으로 제품설명회를 갖을 계획이다.