[컴퓨터월드] 2016년 5월에 발생했던 인터파크의 개인정보 유출 사고는 지능형 지속위협(APT) 공격으로 인한 대표적인 피해사례로 기록되고 있다. 이 사고를 통해 유출된 정보는 회원 ID, 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일 주소 등 1,000만 여 건에 달한다. 이처럼 APT를 통한 기업 공격은 최근 수년간 고객들이 겪고 있는 대표적인 침해 원인이 되고 있다.

APT 공격은 대부분 경제적인 목적을 달성하기 위하여 진행되고 있다. 그렇다보니 최근에는 대기업 뿐만 아니라 중견 기업, 중소 기업으로까지 공격의 범위가 확대되고 있다. 하지만 중소기업들은 대기업처럼 APT 공격을 방어할 수 있는 충분한 예산과 운영 인력을 확보하지 못하고 있으며, 대부분의 APT 장비가 고가임을 고려해 중소기업들도 쉽게 구매하고 운영할 수 있는 수준의 APT 장비가 절실한 시점이다.

네트워크 보안전문 기업인 소닉월은 2016년에 SMB 고객을 위한 맞춤형 APT 방어 기술 캡처(Capture)를 선보였다. ‘소닉월 APT 캡처(SonicWALL APT Capture)’는 기존 소닉월 방화벽에 소프트웨어로 탑재되기 때문에 비교적 저렴한 비용으로 시스템 구축이 가능하다. 또한 기존 소닉월 사용 고객들은 ‘APT 캡처’ 라이센스만 추가 구매해 손쉽게 APT 공격을 방어할 수 있다.

이웅세 소닉월코리아 지사장은 ‘소닉월 APT 캡처’에 대해 “소닉월은 통합 보안장비(UTM)로 미국 SMB 시장에서 40% 이상의 시장 점유율을 기록할 만큼 안정성과 성능을 인정받고 있는 제품”이라며, “기존 UTM장비에 ‘APT 캡처’ 기능을 탑재함으로써 고객은 하나의 장비로 IPS부터 APT까지 방어할 수 있는 통합 보안 시스템을 구축할 수 있다”고 말했다.

‘소닉월 APT 캡처’의 가장 큰 장점은 풀 시스템 에뮬레이션(Full system emulation)과 가상화 기술을 탑재한 멀티 레이어 샌드박싱(Multi-layer sandboxing)을 기반으로 의심스러운 코드 행위를 분석할 수 있다는 것이다. 이 두 가지 기술을 조합해 단일 엔진 샌드박스를 사용하는 솔루션보다 다양한 위협을 감지할 수 있으며, 우회 공격에 취약한 컴퓨팅 환경에서 사용하기 적합하다는 설명이다.

또한 글로벌 스레드 인텔리전스(Global Threat Intelligence)를 통해 새롭게 확인된 시그니처를 모든 소닉월 장비에 신속하게 배포함으로써 높은 수준의 보안, 빠른 응답시간, TCO 감소 효과를 제공한다.

‘소닉월 APT 캡처’는 3개의 멀티엔진을 통한 다중 엔진 기반 위협 분석을 제공한다. 가상 샌드박싱(Virtual sandboxing)에는 소닉월이 자체 개발한 엔진을 사용하고, 하이퍼바이저 레벨 분석을 위해 VMRAY의 엔진을 장착했다.

또한 풀 시스템 에뮬레이션(Full system emulation)을 위해 신뢰도가 높은 라스트라인(Lastline)을 사용하고 있다. 이러한 3중의 멀티엔진은 미심쩍은 코드를 실행하려는 행위를 분석하고 악의적 활동에 대한 포괄적인 가시성을 제공하는 한편, 우회 전략을 무력화하고 제로데이 위협 감지를 극대화한다.

‘소닉월 APT 캡처’는 또한 OS와 파일 유형에 구애받지 않는 포괄적인 지원을 제공한다. 윈도우즈, 안드로이드를 비롯한 여러 OS 외에도 실행 프로그램(PE), DLL, PDF, MS오피스 문서, Archive, JAR, APK 등 다양한 유형의 파일을 분석할 수 있다.

관리자는 파일의 유형, 크기, 발신자, 수신자 또는 프로토콜 등을 클라우드에 전송해 분석할 파일을 선택 또는 제외함으로써 맞춤 설정을 할 수 있으며, 분석할 파일을 클라우드 서비스에 수동으로 전송할 수도 있다.

소닉월은 또한 잠재적 악성 파일의 네트워크 유입을 방지할 수 있는 차별화된 평가 대기 기능을 제공한다. 네트워크에 전송된 파일의 유해성 판정이 내려질 때까지 파일의 유입을 게이트웨이에서 보류할 수 있는 기능으로, 필요에 따라 고객이 옵션으로 설정을 변경할 수 있도록 구현됐다.

‘소닉월 APT 캡처’는 SMB 규모의 고객이 쉽게 운영하고 관리할 수 있도록 사용자 직관적인 UI와 보고서 기능을 제공한다. 검사한 파일, 분석 판정 결과, 악성코드의 활동 내역 외에도 전송지, 목적지 등에 대한 정보 및 전송된 파일의 세부적인 분석결과를 한눈에 확인 할 수 있는 위협 분석 대시보드와 보고서를 제공한다. 또한 로그 알람 기능을 통해 미심쩍인 파일과 파일 분석 결과에 대한 메시지를 전송하기도 한다.

소닉월은 전통적으로 중견기업 또는 중소기업에 적합한 보안장비이다. 대기업에 비해 상대적으로 예산과 인력이 부족한 기업의 현실을 고려, 단일 장비에서 최대의 효과를 제공하겠다는 전략을 추구해왔기 때문이다.

이웅세 지사장은 “‘소닉월 APT 캡처’는 예산과 운영의 곤란함으로 APT 공격에 대한 방어로 고민하는 고객들에게 충분히 매력적인 가격과 기능을 제공하고 있다”고 설명했다.