4일 인섹시큐리티(www.insec.co.kr, 대표 김종광)는 서울 가산동 본사에서 기자간담회를 열고 카본블랙(회장 패트릭 몰리)의 실시간 악성코드 탐지 및 침해 사고 대응 솔루션인 ‘카본블랙 엔터프라이즈 제품군’을 소개했다.

김종광 인섹시큐리티 대표는 “랜섬웨어를 제대로 차단하려면 엔드포인트에서 막아야 하며, 기존 안티바이러스 솔루션의 패턴매칭만으로는 부족하다”며 “전세계 악성코드 누적양은 5억개며, 매달 새로운 악성코드는 약 1000만개씩 만들어지고 있는데, 안티바이러스의 패턴 업데이트만으로 이를 따라잡기 어렵다”고 말했다.

이어 “이를 해결할 수 있는 솔루션이 머신러닝 또는 화이트리스트 기반 엔드포인트 보안 솔루션”이라며 “미국은 3~4년전부터 엔드포인트 솔루션이 도입되기 시작했는데 한국은 이제야 금융권부터 서서히 도입되고 있으며, 카본블랙은 엔드포인트 위협 탐지 및 대응(EDR) 부문의 글로벌 1위 제품”이라고 강조했다.

화이트리스트는 제3자에 의한 IP주소 또는 사이트 입증 목록, 스팸 메일, 악성 코드를 유포하는 IP주소, 피싱을 조장하는 허위 사이트 등을 데이터베이스(DB)로 만드는 블랙리스트와 반대되는 개념이다. 카본블랙은 등록된 프로세스들만 동작하도록 하고 리스트에 없는 프로그램은 실행을 거부하는 방식의 화이트리스트 기술을 채택했다.

이날 인섹시큐리티가 선보인 카본블랙 제품은 실시간 악성코드탐지 솔루션인 ‘카본블랙 엔터프라이즈 프로텍션’과 엔드포인트 단에서 일어나는 모든 프로세스의 행위를 모니터링, 기록 및 추적해 실시간으로 사이버위협 또는 악성코드를 탐지 대응할 수 있는 ‘카본블랙 엔터프라이즈 리스폰스’다.

카본블랙 엔터프라이즈 프로텍션은 화이트리스트 목록에 없는 파일 실행 자체를 차단해 랜섬웨어·악성코드 유입을 원천 차단한다.

이 솔루션은 사용자 PC나 서버를 신뢰할 수 있는 상태로 만든 후 에이전트를 생성하고, 보안 환경 초기화 과정을 통해 설치된 프로그램 항목들은 물론 기존에 적용시킨 정책에 포함된 항목들에 대한 목록들을 화이트리스트로 작성한다.

이를 기반으로 사용자 PC, 서버 등에서 실행되는 응용프로그램 및 운영체제, 파일의 해시(Hash) 값을 화이트리스트 목록으로 만든다. 미승인된 소프트웨어 설치, 악성코드실행, 휴대 저장매체의 접근 등을 화이트리스트 목록과 비교해 접근제어, 실행차단, 감사추적에 사용하는 것이다.

김 대표는 “실행 차단된 내역을 볼 수 있고 파일 정보를 확인할 수 있다”며 “실행 허용을 요청하려면 해당 파일이 악성코드인지 판별하는 과정을 거쳐야 하는데, 자체적인 평판 기술을 이 솔루션에 도입했다”고 설명했다.

또 “승인을 받은 후에만 사용할 수 있기 때문에 관리자의 역할이 커질 수밖에 없어 번거로운 부분이 있다”며 “3년 전만 해도 이런 부분 때문에 도입을 꺼려했으나, 이제 보안 사고가 발생하면 최고정보관리책임자(CIO)와 정보보호최고책임자(CISO) 등의 구속까지 가능한 상황이라 이제 다시 관심을 보이고 있다”고 덧붙였다.

카본블랙 엔터프라이즈 리스폰스의 경우, 엔드포인트 단에서 일어나는 모든 프로세스의 행위를 모니터링, 기록 및 추적해 실시간으로 사이버위협 또는 악성코드를 탐지하고 신속하게 대응할 수 있도록 지원하는 솔루션이다.

프로세스 트리(Process Tree)로 부모 프로세스와 자식 프로세스를 확인할 수 있으며, 해당프로세스 위험 여부를 인텔리전스 정보를 기반으로 확인할 수 있다. 활동로그를 분류해 세세한 프로세스 활동 기록을 분석할 수 있다.

예를 들어, 랜섬웨어가 유입됐을 경우 엔터프라이즈 리스폰스 내 프로세스 분석 기능을 통해 파일을 상세하게 확인 가능하다. 이날 시연을 통해 인섹시큐리티는 랜섬웨어로 추정되는 파일의 상세 행위를 클릭만으로 재분류할 수 있었고, ECC 파일로 암호화하는 특징과 비정상적 행위가 두드러지게 많은 것을 알아낼 수 있었다.

김 대표는 “정상파일에 악성코드를 첨부하는 경우가 많은데 한국에서도 pdf, 한글, doc 문서 등을 위장해 악성코드를 넣을 수 있다”며 “악성코드 파일명은 바뀌어도 바이너리값은 동일한데, 카본블랙은 바이너리 코드에 대한 해시값으로 분류해 정확하게 악성코드를 추적한다”고 제언했다.

아울러, 카본블랙 엔터프라이즈 제품군은 글로벌 보안 업체들과 최신 악성코드 및 위협들을 탐지하고 차단하는데 필요한 위협 인텔리전스 정보를 공유한다. 인터넷이 연결되지 않은 상태에서도 보안 정책이 실행된다.

김 대표는 “시만텍, 맥아피 등도 화이트리스트 기반 기업들을 인수하며 관련 시장을 적극 공략하고 있다”며 “국내 엔드포인트 보안 솔루션 시장은 내년부터 본격적으로 커질 것”이라고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr