딜라이트닷넷

[NES 2012] “기존 보안솔루션으로는 APT 못막는다”

이민형 기자
- 인섹시큐리티(HB개리), 물리적 메모리 분석해 악성코드 침입막는 기술 소개

[디지털데일리 이민형기자] “기존 시그니처 기반의 보안솔루션으로는 APT를 막을 수 없습니다. 제로데이 공격은 시그니처에 등록되지 않았기 때문입니다. 알려지지 않은 공격을 막기 위해서는 새로운 개념의 솔루션이 필요합니다.”

조형연 인섹시큐리티 원장은<사진> 19일 <디지털데일리>주최로 서울 J.W.메리어트호텔에서 열린 ‘NES 2012 차세대 기업보안 컨퍼런스’에서 연설자로 나와 최근 이슈가 되고 있는 APT(지능형지속가능위협) 공격 대응 전략에 대해 소개했다.

조 원장은 “시그니처 기반 보안솔루션으로 위협을 막기에는 한계가 있다. 최근에 이뤄지는 공격들은 침투단계에서부터 보안시스템을 우회할 수 있기 때문”이라며 “또한 메모리해킹, 키보드 보안솔루션 우회, 루트킷과 같은 새로운 공격기법이 등장하면서 보안담당자들의 고충은 점점 더 커져가고 있다”고 설명했다.

실제 최근 등장하는 스피어피싱, 페이크AV 같은 악성코드는 침입방지시스템(IPS), 방화벽 등을 무시한다. 또한 악성코드가 디스크에 쓰여지는 것이 아니라 메모리에 직접로드돼 악영향을 끼치는 사례도 발견되고 있다.

조 원장은 “이러한 상황은 네트워크, 엔드포인트 어느 한쪽만 막는다고 해결되는 것이 아니다. 네트워크와 엔드포인트 보안 솔루션이 공조, 협력할 수 있는 시스템을 만들어야 한다”고 강조했다.

네트워크단에서는 웹 애플리케이션, 이메일 첨부파일을 감시할 수 있는 시스템을 구축해야한다. 의심이 되는 파일이나 외부접속 URL이 발견됐을 경우 가상머신에서 실행하고 문제여부를 파악할 수 있는 솔루션도 필요하다.

조 원장은 “행위기반 솔루션으로 외부 침입을 즉각적으로 탐지할 수 있어야 하며 비인가 접근 네트워크 탐지와 차단을 통해 공격루트를 방지할 수 있도록 시스템을 구축해야한다” 고 강조했다.

APT 공격은 최종적으로 엔드포인트에 있는 정보를 탈취하는 것이 가장 큰 목적이기 때문에 엔드포인트 보안이 가장 중요하다. 네트워크 보안솔루션이 1차적으로 걸러낸 파일들을 재차 모니터링 할 수 있는 방안이 필요하다는 의미다.

조 원장은 “앞서 설명했듯이 시스템이나 보안솔루션을 기만하는 악성코드가 등장하고 있는 가운데 이를 막을 수 있는 가장 좋은 방법은 물리메모리를 분석하는 것”이라며 “엔드포인트에는 신종, 변종 멀웨어, 루트킷이 메모리상에 로드시 언팩, 복호화돼 실행된다. 즉 물리적 메모리에서 일어나는 행위를 분석할 수 있어야 제대로 된 보안솔루션이라고 말할 수 있다”고 강조했다.

이어 “또한 엔드포인트시스템의 원격 디스크이미징을 통해 파일 해시값 비교하는 리모트 디스크 이미징 기술, 스냅샷을 이용해 멀웨어 감염 전후의 레지스트리 분석 기술 등이 합해지면 안전한 시스템을 유지할 수 있을 것”이라고 설명했다.

<이민형 기자>kiku@ddaily.co.kr

이민형 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널