솔루션

[NES 2012] “기다리다 당한다”…악성코드 공격 전 방어 전략에 주목

이대호 기자
- 블루코트, ‘네거티브 데이’ 방어…의심스러운 링크 사전감지·차단

[디지털데일리 이대호기자] 악성코드가 공격을 준비 중인 단계에서 이를 미리 감지해 사용자를 방어할 수 있는 기술이 나와 주목된다. 악성코드 공격이 발생하면 지체 없이 막는 ‘제로 데이’ 방어보다 한발 앞선 전략이다. 이른바 ‘네거티브 데이’ 방어다.

19일 신은수 블루코트코리아 차장<사진>은 <디지털데일리> 주최로 서울 J.W.메리어트호텔에서 열린 ‘NES 2012 차세대 기업보안 컨퍼런스’를 통해 이 같은 악성코드 방어 전략에 대해 소개했다.


신 차장은 “‘네거티브 데이’ 방어는 특정 공격자가 준비하는 단계에서 막아버린다”며 “예를 들어 악성코드 네트워크에 서버가 추가되면 ‘웹펄스’(블루코트의 방어 솔루션)는 해당 IP를 의심스러운 카테고리로 분류하고 그 순간부터 차단한다”고 설명했다.

그는 대부분의 방어 솔루션이 악성코드의 공격이 시작된 후 움직인다는 설명이다. 이에 반해 블루코트의 웹펄스는 악성코드나 의심스러운 링크 등을 사전에 감지하고 차단이 가능하다는 것이다.

신 차장은 웹펄스의 이 같은 기능에 대해 ▲전 세계 7500만명 사용자 데이터베이스가 만들어내는 10억개의 실시간 웹 요청 ▲55개 이상의 언어지원 ▲83개 카테고리에 대한 정확한 분류 등에 따른 노하우의 결과라고 강조했다.

이 가운데 신 차장은 웹펄스의 카테고리 분석에 대해 설명을 이어갔다.

예를 들어 여타 방어 솔루션은 코카콜라 홈페이지를 비즈니스&이코노미로, 코카콜라 페이스북 페이지는 소셜네트워킹 카테고리로 분류하지만 웹펄스의 경우 앞선 분류에 더해 식당, 식사, 음식 등으로 카테고리를 세분화해 정보를 분석, 악성코드를 차단한다는 것이다.

특히 신 차장은 웹펄스의 3D악성코드 분석 중 콘텐츠 분석에 대해 자신감을 표했다.

신 차장은 “콘텐츠 분석은 블루코트의 고객 이외에는 오픈하지 않고 있다. 경쟁사 대비 노하우를 가지고 있다”며 “PDF, EXE, 아이프레임(iFrame), 도메인네임, 의심스러운 링크 등을 분석한다”고 말했다.

그는 또 “수많은 리퀘스트를 꾸준하게 분석하면 서버와 사이트도 DNA와 같은 콘셉트로 분석이 된다”며 “사이트가 후이즈에 어떻게 등록됐는지 과거 악성코드가 사용됐는지 등을 확인하는데 많은 데이터를 오랫동안 분석해오다보니 신규 사이트가 생기면 어떤 전력이 있는지 실제 신규 사이트인지 아닌지 가려낼 수 있다”고 설명했다.

발표 중에 신 차장은 악성코드 공격에 미리 대비하고 조심할 것을 거듭 당부했다.

그는 이 같은 대비책으로 ▲무료안티바이러스엔진에서 제공하는 링크 클릭 금지 ▲후이즈를 통해 사이트 신뢰성 확인 ▲실시간 웹 공격차단 솔루션 사용 ▲보안 웹게이트웨이 사용 등을 꼽았다.

신 차장은 “악성코드 공격이 큰 사회적 화두 검색을 통할 것이라고 생각하는데 그런 굵직한 거 보다 사람들이 동시에 많이 찾지는 않아도 자주 찾는 이미지 파일을 이용하는 경우가 많다”고 조언했다.

또 그는 “보안 웹게이트웨이도 반드시 필요하다”며 “사용자가 안티바이러스나 방화벽을 구축하고 있어도 게이트웨이에서 다시 한 번 악성코드를 크로스체크할 수 있는 환경이 구축돼야 한다”고 말했다.

<이대호 기자>ldhdd@ddaily.co.kr
이대호 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널