솔루션

[NES2015] 인텔시큐리티,“진화하는 해킹기술, 시그니처 기반 탐지로는 못 막아”

백지영

[디지털데일리 백지영기자] “그동안 시그니처 기반 보안은 알려진 공격 대부분을 확실하게 대응했지만, 이를 회피하기 위한 해킹 기술 역시 함께 발전해 온 것이 사실입니다. 이러한 기존 방식으로는 지능형 멀웨어(악성코드)를 막기 힘듭니다.”

인텔시큐리티 조현석 차장<사진>는 16일 <디지털데일리> 주최로 반포동 JW메리어트호텔에서 열린 ‘차세대 기업보안 세미나 NES2015’에서 “엔드포인트 정보와 연계해 보다 능동적이고 입체적인 대응체계 구축이 필요하다”고 강조했다.

실제 블랙햇 조사에 따르면, 멀웨어는 최근 들어 더욱 급격한 성장세를 보이고 있으며, 76%의 네트워크 보안 전문가들은 지능형 멀웨어가 오늘날 보안의 가장 주요한 관심사라고 응답한 바 있다. 맥아피 연구소(랩)에서 확보한 멀웨어 샘플 역시 지난해 3분기 기준 전년 같은 기간 대비 76% 증가했으며, 이 숫자는 3억개를 돌파했다.

이처럼 멀웨어의 숫자는 계속 늘어나고 점차 발전하는 한편, 기존 시그니처 기반 칩임방지시스템(IPS)의 경우 심각한 공격을 탐지하지 못하는 사례가 늘고 있다.

악성코드(자바스크립트)가 내장된 PDF 파일 때문에 지불 카드 정보 4000만개, 7000만 고객의 개인정보가 유출된 미국 대형마트인 블랙포스 사건이 대표적이다.

PDF와 같이 범용화된 툴은 콘텐츠 배포를 위해선 필수불가결한 도구이며, PDF 뷰어의 경우는 라이언스 필요 없이 쉽게 다운을 받을 수 있기 때문에 하루에도 수천건에 달하는 파일이 이동하고 있다.

조 차장은 “기업들이 이러한 지능형 멀웨어를 막기 위해서는 코드 및 트래픽 행위 분석과 글로벌 평판 정보 등을 통해 다각적으로 접근하는 것이 필요하다”고 설명했다.

그는 “우선 액티브 스크립트 형태 분석을 위하 동적, 정적인 코드 분석이 중요하다”며 “‘수신제가치국평천하’라는 교훈처럼 실시간 에뮬레이션 엔진과 실시간 심층파일검사 등의 분석을 통해 내부를 먼저 다스린 후 외부를 탐지해야 한다”고 말했다. 이를 통해 약 80%의 멀웨어 탐지 및 차단이 가능하다는 설명이다.

또한 탐지된 경고 등 고위험군을 추적하는 방식보다는 이벤트를 이해(분석)하는 방식으로 멀웨어 대응 정책이 진화해 나갈 것이라고 덧붙였다.

그는 “인텔시큐리티(맥아피)의 네트워크 보안 플랫폼(NSP)는 시그니처 기반의 탐지한계를 극복하는 다중분석엔진과 온박스 SSL 성능, 보안정책개선을 위한 상황 정보 제공 등을 통해 보다 지능적인 접근방식을 제안하고 있다”고 강조했다.

<백지영 기자>jyp@ddaily.co.kr

백지영
jyp@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널