[디지털데일리 이민형기자] 스턱스넷(Stuxnet), 소니픽처스와 한국수력원자력의 해킹사고 등으로 ‘지능형지속가능위협(APT) 공격’이란 단어는 이제 대중들도 인지할 수 있는 상황이 됐다.

이와 동시에 공격자들의 수법도 강력해졌다. 샌드박스에서는 동작하지 않는 악성코드를 유포한다거나, 자기가 남긴 흔적(로그)들을 모두 지우기도 한다. 암호화(SSL)된 패킷으로 공격이나 도감청을 시도하는 비율이 높아지면서 전통적인 장비로는 대응에 더 큰 어려움을 겪기도 한다.

하지만 창과 방패의 싸움처럼 보안업계에서도 이러한 추이 변화에 대응책을 내놓고 있다. 악성코드가 침투한 시스템이 샌드박스임을 인지하지 못하도록 속이거나, 딥패킷인스펙션(DPI) 기능을 통해 암호화된 패킷이나 애플리케이션 레이어도 하나하나 살펴보는 것이 그것이다.

◆트렌드마이크로, 샌드박스로 ‘타임밤(time bomb)’도 잡는다=트렌드마이크로의 APT 대응 솔루션인 딥 디스커버리는 APT 공격, 지능적인 악성코드, C&C 통신 및 기존의 보안 솔루션으로는 파악하기 어려운 의심스러운 활동 등을 탐지할 수 있도록 포괄적이고 전방위적인 모니터링 기능을 제공한다.

눈여겨 볼 것은 커스텀 스마트 샌드박스(Custom Smart Sandbox)다. 이 기능은 샌드박스를 사용자 환경과 동일한 운영체제와 애플리케이션으로 구성하는 것이다. 이는 특정 조직을 목표로 하는 공격에 대한 정확한 탐지가 가능해진다는 장점이 있다.

앞서 설명했듯이 최근 APT 공격용 악성코드들은 가상환경을 탐지하는 등 특정환경에서는 동작하지 않는 특성을 갖고 있다. 시스템에 침투한지 며칠 뒤에야 동작하는 악성코드 ‘타임밤’이 대표적이다.

커스텀 스마트 샌드박스는 가상환경이나 정적분석을 회피하는 악성코드를 탐지할 수 있는 기능을 갖췄다. 이를 통해 웹브라우저, 시스템 뒷단에서 동작하는 악성코드, 익스플로잇킷을 탐지할 수 있는 것이 회사측의 설명이다.

◆블루코트, 완벽한 네트워크 가시성 꿈꾼다=지난 2013년 노먼샤크와 솔레라네트웍스를 인수한 블루코트는 네트워크 가시성 확보에 주력하고 있다. 이 회사는 알려진 보안위협에서 알려지지 않은 보안위협까지 차단하기 위한 플랫폼을 만들고 APT 공격에 대응하고 있다.

최근 웹사이트를 통한 정보유출사고가 끊이지 않으면서 주소창에 ‘HTTPS’로 표시되는 SSL 암호화 방식을 적용한 기업들이 늘어났다.

문제는 공격자들이 암호화된 패킷 속에 악성코드를 삽입해 정상적인 트래픽으로 위장시키면서도 기존 보안장비로 탐지가 어렵게 하고 있다는 점이다. 블루코트 보고서에 따르면 기존에 보안성을 높이기 위해 활용하고 있는 암호화 기술이 해킹에 악용될 가능성이 점점 더 높아지고 있는 상황이다.

블루코트는 이러한 암호화된 공격을 솔레라네트웍스의 솔루션으로 풀어나갈 계획이다. 솔레라네트웍스의 ‘딥씨(DeepSee)’ 솔루션은 네트워크 상에 있는 모든 데이터를 분석해 가시성(Visibility)을 확보하고, 알려지지 않은 위협을 탐지한다.

딥씨는 네트워크를 통과하는 모든 패킷을 캡쳐한다. 캡쳐된 패킷은 포렌식 기능에 의해 즉시 분석되고, 메타데이터 추출, 인덱스 저장 등을 통해 향후 재연이 가능하도록 한다. 솔레라네트웍스에서 가장 자랑하는 기능이다. 또 OSI L3부터 L7를 모두 모니터링할 수 있고, 실시간으로 인덱싱을 할 수 있다.

블루코트는 최근 솔레라네트웍스의 딥씨를 자사의 인텔리전스 플랫폼에 통합시켜 웹에서부터 진입하는 모든 패킷에 대한 모니터링을 지원하고 있다.

<이민형 기자>kiku@ddaily.co.kr