15일 서울 프라자호텔 그랜드볼룸에서 <디지털데일리> 주최 ‘2017년 전망, 금융IT 혁신 컨퍼런스’가 개최됐다. 이 자리에서 최재우 시만텍코리아 부장은 보안위협 확대 상황을 우려하며, 이에 대응할 수 있는 통합 엔드포인트 보안 솔루션 ‘SEP 14’를 소개했다.

시만텍에 따르면 지난해에만 4억3000만건의 신종 악성코드가 발생하고, 랜섬웨어는 35% 증가했으며 표적공격은 55% 늘었다. 엔드포인트 보안에 대한 어려움을 호소하는 경우도 많아졌다. 80% 보안 담당자는 엔드포인트 보안관리에 대해 2년 전보다 더욱 어려워졌다고 답했다.

최 부장은 “올해 사이버 첩보사고의 90%가 악성코드를 통해 진행됐다”며 “이메일, 웹, 직·간접적 설치 등 배포수단이 무엇이든 엔드포인트 보안이 가장 필수적이다”고 말했다.

악성코드는 다양한 침투경로를 보이고 있다. 침입한 엔드포인트에서 또 다른 엔드포인트, 서버로 이동한다. 전염병과 악성코드는 ‘감염’이라는 특징에서 유사하다. 이에 악성코드도 전염병 환자처럼 격리해야 한다는 것.

최 부장은 “전염병의 경우, 감염된 사용자를 격리하고 치료될 때까지 어울리지 못하도록 하고 그 사람이 만진 것을 다른 이가 만지지 못하도록 한다”며 “이는 엔드포인트 보안에서도 적용되며, 감염된 사용자를 빠르게 알아내고 침해지표를 통해 감염 시스템을 격리시키고 다른 사용자가 접하지 못하도록 하는 것이 중요하다”고 설명했다.

이와 관련 시만텍은 SEP 14 솔루션이 이러한 보안위협 상황에 효과적으로 대응하고 엔드포인트를 보호할 수 있다고 했다. 시만텍은 이 솔루션에 행위 기반 속성은 물론 IP주소·웹주소 등 네트워크 기반 데이터와 위협 연관관계 등까지 고려한 다차원 머신러닝 기술을 사용했다.

최 부장은 “시만텍의 SEP 14는 시그니처 기반 안티바이러스뿐 아니라 메모리 익스플로잇 공격 차단, 머신러닝 기능, 커스텀 패커를 사용한 탐지우회 기능들을 포함하고 있다”며 “SEP 14는 안티 악성코드, 차세대 엔드포인트, 엔드포인트 탐지 및 대응, 익스플로잇 공격 차단을 모두 지원한다”고 제언했다.

특히, SEP 14는 머신러닝이 적용돼 있다. 머신러닝에서 가장 중요한 것은 데이터다. SEP 14는 시만텍의 글로벌 인텔리전스 데이터를 활용, 방대한 악성코드를 찾아내고 오탐율을 낮췄다. 시그니처 기반이 아니기 때문에 날마다 업데이트되지 않고 비정기적 업데이트로 높은 탐지 효율성을 보인다.

최 부장은 “시만텍은 오래전부터 머신러닝을 사용해 왔으나, 이번에 클라이언트까지 적용하게 된 버전을 발표하게 됐다”며 “글로벌 인텔리전스를 통해 지난해 발견한 새로운 고유 악성코드는 4억3000만건에 달하며 10건에 달하는 웹 요청이 매일 접수되는 등 방대한 데이터를 보유하고 있다”고 부연했다.

아울러, 최 부장은 “지금까지는 차세대 방화벽·APT 솔루션 등을 도입하며 관문을 지키기 위한 보안영역에 집중하고 있지만, 악성코드가 침투하게 되면 방어할 기력이 없어진다”며 “이제 수평 공격 차단 방어로의 변화가 필요한 때다”고 말을 보탰다.

<최민지 기자>cmj@ddaily.co.kr