[컴퓨터월드] 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하는 가상 실행 엔진이다. 파이어아이는 가상환경에서 파일들을 실행하고 분석하는 멀티-벡터 가상 실행(Multi-Vector Virtual eXecution, 이하 MVX) 엔진을 통해 위협에 사전 대응하고 있다. 일반적으로 샌드박스(Sandbox)로 불리는 이 기술은 운영 체제, 응용 프로그램, 브라우저, 플러그인 등 다단계 탐지 엔진을 이용해 사이버 위협을 실시간으로 탐지하고 차단한다.

대부분의 안티 바이러스나 IPS 관련 보안업체들의 기존 APT 상용 솔루션은 제로데이 공격을 탐지하고 차단하기 위해 샌드박스 기반에서 악성코드 분석가가 수동으로 패턴을 분석하게 되지만, 파이어아이는 샌드박스 기술을 멀티-벡터 가상 실행(MVX) 엔진을 통해 장비 내에서 구현함으로써 보다 빠른 시간 내에 제로데이 공격에 대처할 수 있다.

즉, 알려지지 않은 패턴에 대해 가상 머신에서의 실시간 분석을 통한 결과 값을 기반으로 하기 때문에 정확한 분석과 정보 반영이 가능하며, APT와 같이 장시간에 걸쳐 시행되는 공격에 대해서도 공격의 시작부터 종료까지의 라이프 사이클에 대한 전체적인 가시성을 제공하기 때문에 효율적인 탐지와 차단이 가능하다.

파이어아이 헬릭스 플랫폼

오늘날 보안을 운영하면서 나타나는 문제점은 수십 개의 제품으로부터 생성되는 잘못된 보안 경보들, 빠른 보안 대응에 필요한 인텔리전스의 부족, 보안 시스템들과 별도로 운영되는 관리 콘솔(management console) 등으로 인해 일관되게 보안 시스템을 운영하기 어렵다는 것이다. 이로 인해 IT 및 보안 담당자들은 수동적인 프로세스와 인프라 관리에 더 많은 시간을 할애하게 돼 결국에는 비즈니스의 병목현상을 유발하고, 조직은 위협으로부터 안전하게 보호받지 못하게 된다.

파이어아이는 보안 절차를 자동화하고 보안 운영 과정에서 인텔리전스를 적용함으로써 고객들의 리소스 부족 문제를 해결할 수 있도록 지원하고 있다. 지난해 초 보안 자동화 및 통합 기술 전문 제공 업체 인보타스(Invotas)를 인수하면서 보안 자동화를 가속화했으며, 최근 보안 운영 통합 및 자동화 플랫폼 ‘파이어아이 헬릭스(FireEye Helix)’를 발표했다.

파이어아이 헬릭스는 인텔리전스 기반 플랫폼으로서, 파이어아이 아이사이트 인텔리전스와 맨디언트의 전문성을 바탕으로 네트워크 보안 및 엔드포인트 보안, 타사 제품에 대한 가시성을 통합 제공한다. 이 제품은 차세대 방화벽, 엔드포인트, 침입방지시스템(Intrusion Prevention Systems, IPS) 등 기존 사이버 보안 제품들이 제공하는 저품질 혹은 잘못된 보안 경보를 관리하는 데에 소요되는 시간, 비용, 노력들을 대폭 줄여줄 수 있을 것으로 기대된다.

파이어아이 헬릭스는 고객들의 세 가지 핵심 요구 사항들을 만족시키며, 보안 운영에 소요되는 시간, 노력, 비용을 획기적으로 감소시킬 수 있도록 설계됐다.

• 정확한 탐지 및 경보
  헬릭스는 파이어아이 엔드포인트 보안 제품 HX와 네트워크 보안 제품 NX의 MVX 탐지 역량을 통합했다. 파이어아이 헬릭스는 파이어아이 아이사이트 인텔리전스를 통해 고객의 환경에 도입된 모든 제품으로부터 나오는 보안 경보를 통합 및 분석해 가시성을 더욱 강화한다.
  이로써 정확하지 않거나, 오탐지로 인한 보안 경보는 줄어들고, 위협에 대한 대응을 가속화할 수 있는 업무에 적용 가능한 정보만을 제공하게 돼 궁극적으로 모든 보안 솔루션의 효용 가치를 증진시킨다.
   
• 직관적이고 단일한 사용자 인터페이스
  보안 분석가들에 의해, 보안 분석가들을 위해 재설계된 UX(사용자경험)는 위협에 대한 적절한 대응을 위해 위협의 우선순위 및 상관관계를 정확히 파악할 수 있도록 구성됐다. 커스터마이징이 가능한 대시보드(Dashboard), 서치 및 리포트 역량은 효과적인 침해 조사를 가능케 하고 컴플라이언스 규제를 충족시킬 수 있도록 지원한다.

• 자동화 및 오케스트레이션을 통해 가속화된 대응
  헬릭스 플랫폼에는 맨디언트의 10년 동안의 경험을 바탕으로 개발된 플레이북(playbook)이 내장돼 조직들의 위협 대응을 통합 및 자동화하고, 위협을 실시간으로 차단할 수 있도록 해준다. 파이어아이 헬릭스는 불과 수 분 안에 필요한 보안 조치를 취하며, 보다 적극적이고 지능적인 보안 운영을 위해 보안에 소요되는 시간을 줄이고 리소스를 확보한다.
  파이어아이 헬릭스는 고객들이 네트워크 보안 제품, 엔드포인트 보안 제품, 위협 분석 플랫폼, 지능형 위협 인텔리전스 그리고 파이어아이 시큐리티 오케스트레이터의 통합을 통해 다양한 혜택을 제공한다.

파이어아이 엔드포인트 보안

파이어아이 고객을 대상으로 조사한 결과, 2016년 상반기에 최소 한 차례 이상 APT공격을 받은 국내 기관은 43.5%로 나타났다. 이는 아태지역에서 가장 높은 수치다. 이처럼 APT공격의 위협에 노출돼 있는 상황에서 기관들이 가장 주의해야 할 것은 엔드포인트 보안이다.

실제로 올해 국내에서 일어난 대형 보안 사고 사례에서 알 수 있듯이 해커는 개별 사용자를 타깃으로 APT 공격을 실시, 네트워크 내부로 침투하는 형태를 보여줬다. 해커 입장에서 엔드포인트는 상대적으로 가장 보안 관련 지식이 적은 사용자가 있을 뿐 아니라 넓은 공격 범위를 제공한다는 점에서 매우 중요한 접근 포인트이다.

하지만 기존 엔드포인트 보호 솔루션들은 고도화된 공격 또는 APT 공격에 대응하도록 설계되지 않았다. 이들 기존 엔드포인트 보호 솔루션은 주로 업데이트가 자주 필요한 정적 패턴 또는 시그니처 파일에 기반을 두고 있는데, 이러한 기술은 알려진 패턴의 위협 시나리오에 대해서만 효과를 발휘한다.

그러나 이제는 더 이상 모든 시그니처 파일들이 최신 업데이트 되어 있기만을 바랄 수 없다. 심지어 업데이트되어 있는 상태일지라도 유능한 해커들은 발전된 기술을 통해 정적인 방어 기술을 우회할 수 있다. 따라서 지금과 같은 지능화된 공격을 효과적으로 대응하기 위해서는 알려진 위협은 물론 알려지지 않은 위협에 대한 탐지, 차단, 조사, 분석이 가능한 엔드포인트 보안 솔루션을 도입해야 한다.

엔드포인트 보안을 위해 파이어아이는 네트워크 인텔리전스를 적용한 엔드포인트 보안을 제안하고 있다. 파이어아이의 엔드포인트 가시성은 보안 담당자들이 애플리케이션 익스플로잇, 악성코드 다운로드 및 실행 및 CnC 서버와의 통신을 식별하고 조사하는 것을 지원한다.

이는 파이어아이 MVX 엔진이 제공하는 역동적 실시간 악성코드 분석 역량과 인텔리전스를 모두 포함하는 통합적 보안 방식으로 이용될 수 있다. 네트워크, 엔드포인트, 클라우드 시스템 사이의 통합식 인텔리전스 공유는 그 어떤 단일 시스템보다 더 광범위한 보안 역량을 제공하며, 위협 탐지에서 대응까지 소요되는 시간을 극적으로 단축할 수 있다.

또한, 보다 강력한 엔드포인트 보안을 위해 파이어아이는 2017년 상반기 엔드포인트 단에서 실시간 APT 공격 예방 및 대응 기능까지 제공하는 차세대 엔드포인트 솔루션을 출시할 예정이다. 출시 예정인 솔루션은 위협 탐지 및 차단 기능뿐 아니라 공격 치료(Attack Remediation) 기능도 추가해 사이버 공격의 전 과정으로부터 조직을 보호할 수 있는 보안 역량을 제공하게 된다.

<파이어아이 고객 사례: 용인시청>

탐지되지 않던 1천여 이벤트 및 300여 개 악성코드 발견

용인시청은 랜섬웨어 및 APT공격에 대한 선제적인 방어를 위해 파이어아이 NX 에센셜을 도입했다. 용인시청은 기존의 사이버 보안 솔루션으로 고도화되는 사이버 공격을 선제적으로 방어하는데 한계를 경험하고 있었다. 또한, 최근 랜섬웨어 피해가 정부 기관 및 지방 기관으로 확산됨에 따라 시민들에게 안정적인 서비스를 제공하기 위해서 보다 능동적인 사이버 보안 대응 체계를 구축할 필요가 있다고 판단했다.

다양한 국내외 보안 솔루션을 검토한 결과, 용인시청은 기존의 솔루션과 달리 가상 머신 기반으로 알려지지 않은 악성코드 및 랜섬웨어 탐지가 가능하다는 점에 주목, 파이어아이 NX 에센셜을 최종 솔루션으로 선정했다. 실시간 위협 차단 기능을 제공해 따로 관리 인력이 필요치 않다는 점 역시 솔루션 선정에 영향을 미쳤다.

도입 결과, 용인시청은 기존에 탐지되지 않던 1천여 건이 넘는 이벤트 및 300여 개의 악성코드를 발견하며 탐지 역량을 크게 강화할 수 있었다. 또한, NX 에센셜이 제공하는 실시간 위협 차단 정책을 통해 도입 초기 단계에서 월 600여 건 가량 탐지되던 알려지지 않은 위협이 두 달 후 200 건으로 65% 이상 감소되는 등 단기간에 사이버 위협 감소 효과를 경험했다. 별도의 보안 인력을 투입할 필요가 없어 총 소유 비용(TCO, Total Cost of Ownership)을 절감할 수 있었다는 것도 주요 성과다.

파이어아이 NX 에센셜은 IT 보안 예산이 적은 조직을 위해 단일 솔루션으로 포괄적인 통합 보안 기능을 제공하고 있다. 실제로 NX 에센셜은 IPS(Intrusion Prevention System, 침입방지시스템), PUP/애드웨어 탐지, 악성 모바일앱 탐지 기능 등을 포괄해 통합적인 보안 기능을 제공하고 있다.

또한, 파이어아이의 가상머신 기술을 통해 IPS에서 탐지되는 다양한 위협 정보들 사이에서 실제 위협 여부를 판별해줌으로써 보안 인력이 많지 않은 정부 기관 및 중소 기업에서도 직관적으로 주요 사건에 대한 우선순위 파악이 가능하도록 지원한다. <제품 문의 : 02-3704-6553>