딜라이트닷넷

[NES 2012] 팔로알토 “최초의 악성코드도 탐지”

심재석 기자
[디지털데일리 심재석기자] 지난 해 SK커뮤니케이션 등 국내 기업들이 APT(지능형 표적공격)로 인해 막대한 피해를 입은 가운데, 팔로알토네트웍스(이하 팔로알토)가 알려지지 않은 공격까지 막아내는 차세대 방화벽 기술을 소개했다.

팔로알토 코리아 이창빈 차장은 19일 <디지털데일리>주최로 서울 J.W.메리어트호텔에서 열린 ‘NES 2012 차세대 기업보안 컨퍼런스’에서 자사의 차세대 방화벽 ‘와일드파이어’가 알려지지 않은 공격을 막아낼 수 있다고 강조했다.

지금까지 시그니쳐 기반의 보안 솔루션은 이미 알려진 공격만을 차단할 수 있었다. 그러나 최근에 등장하는 악성코드는 보다 지능화, 조직화되고 지속적으로 출현하는 특징을 가지고 있어 얼마나 빠른 시간 내에 탐지하고 제어할 수 있느냐가 솔루션의 핵심이다. 처음 등장한 악성코드까지도 판별할 수 있어야 하는 것이다.

이 차장에 따르면, 팔로알토의 와일드파이어는 애플리케이션과 콘텐츠까지 감시하면서 처음 등장한 악성코드까지 판별하는 것이 특징이다. IP와 함께 80포트나 443포트까지 살펴보면서 오가는 모든 애플리케이션과 콘텐츠 중에 알려지지 않은 것을 식별해낸다. 식별된 파일은 실험을 위한 샌드박스로 보낸 후 어떤 행동을 하는지 관찰한다. 만약 이 파일이 운영체제의 보안기능을 끈다든지, 시스템 파일을 복제한다든지, 레지스트리를 변경하는 등의 행동을 하면 악성코드로 정의하게 된다. 팔로알토 측은 이 같은 이상 행위 70여 개를 미리 정의해 두고 있다.

이 차장은 “이미 알려진 멀웨어는 보안 솔루션에 의해 막힌다는 사실을 공격자들도 알고 있기 때문에 새로운 멀웨어를 이용해 공격하는 사례가 늘고 있다”면서 “이런 알려지지 않은 멀웨어를 차단하는 것이 차세대 방화벽의 핵심 기능이다”라고 강조했다.

<심재석 기자>sjs@ddaily.co.kr
심재석 기자
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널