국내에서 지능형지속가능위협(APT) 공격으로 인한 피해가 잇달아 발생하면서 대응 솔루션을 찾는 기관, 기업들이 증가하고 있습니다.
이러한 수요에 맞춰 국내 APT 솔루션 시장에 진출하는 국내외 업체들이 상당히 증가했는데요, 올해만 하더라도 솔레라네트웍스(2013년 3월, 현재 블루코트에 피인수), 닉선(2013년 4월), 웹센스(2013년 6월), 담발라(2013년 7월) 등 4개의 해외업체들이 국내시장에 진출했고, 지난 24일 SGA도 파이어아이와 제휴를 통해 APT 솔루션을 출시한 바 있습니다.
좀 더 거슬러 올라가면 안랩, 파이어아이는 2011년에 관련 솔루션을 출시해 영업을 시작했고, EMC(RSA), 시만텍, 하우리, 트렌드마이크로, 포티넷 역시 지난해에 알려지지 않은 위협에 대응할 수 있는 제품을 선보인 바 있습니다.
APT 솔루션에 대한 이야기에 앞서 APT 공격에 대한 정의를 먼저 내리고 가야할 것 같습니다. APT 공격은 ‘①공격할 대상이 정확히 정해졌고 ②알려지지 않은 취약점을 악용하고 ③다양한 채널(이메일, 웹, 물리저장매체 등)을 통해 전염된 일련의 행위’라고 이해하시면 될 것 같습니다.
◆네트워크단에서 분석하느냐, 엔드포인트단에서 분석하느냐.
APT 솔루션은 크게 두가지 종류로 나눠 생각할 수 있습니다. 악성코드 분석을 네트워크단(Network Level)에서 하는지, 아니면 엔드포인트단(Endpoint Level)에서 하는지.
네트워크단에서 악성코드를 분석한다는 것은 어플라이언스의 형태로 사내 인프라에 유입되는 파일들을 샌드박스, 즉 가상머신(VM)에서 분석한 뒤 이상유무를 점검하는 것을 의미합니다.
이 형태의 솔루션들은 악성파일로 의심되는 파일을 가상의 공간에서 실행시켜, 실제 악성행위를 하는지 관찰합니다. 파이어아이, 포티넷 등이 이와 같은 체계로 솔루션을 설계했습니다.
엔드포인트단의 악성코드 분석은 백신(AV)과 동작방식이 비슷합니다. 사용자PC에 설치돼 악성행위를 하기 전에 직접 탐지, 차단, 치료를 합니다. 하우리, 시만텍이 여기에 해당됩니다.
이 둘을 결합한 형태도 있습니다. 네트워크단에서 우선적으로 차단하고 사용자PC에 설치된 에이전트로 추가 탐지, 치료를 하는 형태입니다. 안랩, 트렌드마이크로, SGA가 여기에 해당됩니다.
◆네트워크 제품의 장단점은?
네트워크단에서 알려지지 않은 악성코드를 탐지하는 APT 솔루션은 구축이 간편하고 관리가 수월하다는 장점이 있습니다. 네트워크 인프라 앞단에 어플라이언스가 설치되는 방식이기 때문입니다. 또 의심되는 파일을 가상환경에서 돌려봄으로써 본래 시스템에 대한 피해를 최소화할 수 있습니다.
하지만 단점도 존재합니다. 물리저장매체 등을 통해 전염된 악성코드에 대해 탐지가 불가능하며, 이에 대한 치료도 할 수 없습니다.
아울러 최근 등장한 ‘가상머신 상황을 인지해 악성행위를 하지 않는 악성코드’에 대한 탐지를 할 수 없으며, 일부 솔루션의 경우 실행파일(Execution File)만 차단할 수 있는 한계점도 있습니다.
◆엔드포인트 제품의 장단점은?
엔드포인트 제품의 가장 큰 장점은 실제 사용자PC에 감염된 악성파일의 행위를 기반으로 차단, 치료하기 때문에 제대로 구축될 경우 가장 안전한 방식이 될 수 있다는 점입니다.
가상머신에서 탐지되지 않는 악성코드, 가상사설망이나 시큐어소켓레이어(SSL)로 암호화돼 유입된 파일 등도 결국 악성행위를 위해 사용자PC에서 복호화되는데, 이때 일망타진하는 방식이죠. 네트워크 제품보다 저렴하고 다른 솔루션과 연동이 수월하다는 장점이 있으나 관리에는 다소 어려움이 있을 수 있습니다.
반대로 악성행위에 대한 정의가 완벽하지 않을 경우 악성코드를 제대로 잡아내지 못할 수 있다는 점이 가장 큰 단점입니다. 이는 오탐으로도 이어지거나 악성코드가 시스템 전체로 확산될 수 있으니까요. ◆일반적인 형태와는 다른 네트워크 포렌식 제품도 있다?
앞서 소개한 두 종류의 솔루션은 악성코드를 어디서 탐지하는지에 초점이 잡혀있습니다만, 지금 소개하는 것은 네트워크 포렌식, 즉 네트워크 패킷 전수조사 제품입니다. 최근 국내시장에 진입한 닉선, 솔레라네트웍스(블루코트), 담발라 등이 여기에 해당됩니다.
이 제품들은 네트워크 패킷 전부를 캡쳐, 분석합니다. 정상적인 패킷이 아닐 경우 이를 차단해 보안위협을 방지합니다. 최근에는 애플리케이션 레이어의(L7) 패킷까지 모두 분석해 악성파일이나 이상 애플리케이션을 탐지하는 기능도 추가된 상황입니다.
EMC RSA의 넷위트니스(+스펙트럼), 팔로알토네트웍스의 와일드파이어 등도 역시 광의의 네트워크 포렌식 제품이라 볼 수 있습니다.
내부로 유입되거나 외부로 유출되는 네트워크 패킷을 전수 조사하기 때문에 APT를 비롯한 다양한 보안위협에 대응할 수 있다는 장점은 있으나, 반대로 어마어마한 데이터로 인해 성능과 비용적인 이슈가 있는 것도 사실입니다.
이러한 이유로 관련 업체들은 빅데이터 분석 등 실시간 처리가 가능한 알고리즘 개발에 총력을 다하고 있습니다.
◆앞으로 APT솔루션의 진화방향은?
사실 부제에 대한 답은 이미 나와있습니다. 앞으로 APT 솔루션은 네트워크 제품과 엔드포인드 제품의 장점을 서로 결합하고 단점을 보완하는 형태로 진화할 것입니다.
이미 안랩이나 트렌드마이크로는 네트워크단, 엔드포인트단 모두를 활용하고 있으며 파이어아이, 담발라, 닉선 등은 백신업체, 방화벽업체와 손잡고 영업에 나서고 있습니다.
실제 파이어아이는 국내에서는 잉카인터넷(출시 예정), SGA(지난 24일 출시) 등과 손잡았으며, 담발라, 닉선의 경우에도 협력에 적극 나선다는 계획입니다.
지난 5월 블루코트에 인수된 솔레라네트웍스의 경우 블루코트의 보안솔루션과 결합해 시너지를 내는데 주력하고 있습니다.