[컴퓨터월드] 현재 나타나는 지능형 악성코드는 잘 드러나지 않고 집요하며 기존 방어 체계를 우회할 수 있다. 반면 기존 보안 기술은 위협을 빠르게 탐지‧제거해 피해를 방지하는 데 필수적인 가시성과 제어 능력을 제공하지 못하고 있어 기업 보안 담당자들은 각종 공격으로부터 조직을 방어하는 데 어려움을 겪고 있다.

‘시스코 어드밴스드 멀웨어 프로텍션(Cisco Advanced Malware Protection, 이하 AMP)’은 지능형 악성코드가 문제를 일으키는 전체 라이프사이클을 다룰 수 있는 보안 솔루션이다. 이 제품은 보안 침해 방지 기능과 더불어 1차 방어선을 우회하는 위협도 탐지, 억제, 치료할 수 있도록 지원하는 가시성과 제어 기능을 제공, 업계의 주목을 받고 있다.

악성코드 분석 및 차단 솔루션 ‘시스코 AMP’

‘AMP’는 인텔리전스 기반의 통합 엔터프라이즈급 지능형 악성코드 분석 및 차단 솔루션으로, 공격 전‧중‧후 등 모든 공격 범위에서 조직을 포괄적으로 보호할 수 있다.

공격 전, ‘AMP’는 시스코의 콜렉티브 시큐리티 인텔리전스(Collective Security intelligence), 탈로스 보안 인텔리전스 연구 그룹(Talos Security Intelligence and Research Group), AMP 위협 그리드(AMP Threat Grid)의 위협 인텔리전스 피드 등의 글로벌 위협 인텔리전스를 활용해 방어를 강화하고 이미 알려져 있거나 새롭게 대두되는 위협에 대응한다.

공격 중에는 위협 인텔리전스와 함께 알려진 파일 시그니처 및 ‘시스코 AMP’ 위협 그리드의 동적 악성코드 분석 기술을 결합해 ▲정책 위반 파일 유형 ▲취약점 공격 시도 ▲네트워크에 침투하려는 악성 파일 등을 식별하고 차단한다.

공격 후 또는 파일이 최초로 검사된 후에는 특정 시점 탐지 기능 수준을 넘어 모든 파일 활동과 트래픽을 지속적으로 모니터링하고 분석한다. 이 과정중에는 파일의 성향에 관계없이 악의적인 동작의 가능성을 나타내는 모든 징후를 검색한다.

‘AMP’에서는 알 수 없는 상태의 파일 또는 ‘양호’한 상태였던 파일의 행동에 이상이 나타나기 시작하면 즉시 탐지해 보안 팀에 보안침해지표(Indications of Compromise, 이하 IoC)와 함께 알린다.

그런 다음 악성코드의 출처, 감염된 시스템, 악성코드의 행동을 확인할 수 있는 가시성과 침입이 발견되면 대응해 복원할 수 있는 제어 기능을 제공한다. 따라서 보안팀은 신속하게 공격을 탐지해 침해 범위를 파악하고, 시스템 손상 이전에 악성코드를 격리하는 데 필요한 가시성과 제어 기능을 확보할 수 있다.

글로벌 위협 인텔리전스 및 동적 악성코드 분석

‘AMP’는 보안 인텔리전스 및 동적 악성코드 분석에 기반하고 있다. 시스코 콜렉티브 시큐리티 인텔리전스 에코시스템, 탈로스 보안 인텔리전스 연구 그룹, AMP 위협 그리드 위협 인텔리전스 피드는 실시간 위협 인텔리전스 및 빅데이터 분석의 집합이다. 이 데이터는 클라우드에서 ‘AMP’ 클라이언트로 전달되므로 보안 팀에서는 최신 위협 인텔리전스를 확보해 각종 위협을 사전에 효과적으로 방어할 수 있다.

조직은 ▲매일 150만 개 악성코드 샘플 수신 ▲전 세계 160만 개의 센서 ▲일일 100테라바이트(TB)의 데이터 ▲130억 개의 웹 요청 ▲엔지니어, 기술자, 연구원으로 구성된 글로벌 팀 ▲24시간 운영 등의 이점을 얻을 수 있다.

‘AMP’는 상황별 정보에 대한 파일, 행동, 텔레메트리 데이터, 활동의 상관관계를 분석해 악성코드를 신속하게 탐지해낼 수 있다. 보안 팀은 ‘AMP’의 자동화된 분석을 사용해 침입을 검색할 때 시간을 절약할 수 있고 최신 위협 인텔리전스를 상시 확보해 공격을 신속히 파악, 우선순위를 지정하고 차단할 수 있다.

또한 시스코의 위협 그리드 기술이 ‘AMP’에 통합돼 ▲표준 형식으로 제공되는 상황 기반 인텔리전스 피드와 기존 보안 기술과의 원활한 통합 구현 ▲560개 이상의 행동 지표를 바탕으로 매월 수백만 개에 달하는 샘플을 분석해 수십억 개의 아티팩트 도출 ▲보안 팀에서 위협 우선순위를 쉽게 지정할 수 있도록 위협 점수 표시 등의 이점도 제공한다.

‘AMP’는 이와 같은 모든 인텔리전스 및 분석을 사용해 보안 관련 의사 결정을 알리거나 사용자를 대신해 자동으로 적절한 조치를 취한다. 예를 들어, 지속적으로 업데이트되는 인텔리전스를 기반으로 알려진 악성코드와 정책 위반 파일 유형을 차단하고, 악의적인 것으로 알려진 연결을 동적으로 블랙리스트에 올리고, 악성으로 분류된 웹사이트 및 도메인에 대한 파일 다운로드 시도를 차단할 수 있다.

지속적 분석 및 회귀적 보안

대부분 네트워크 및 엔드포인트 기반 안티멀웨어 시스템에서는 파일이 제어 지점을 통과해 광범위한 네트워크로 들어오는 특정 시점에서만 해당 파일을 검사한다. 그러나 악성코드는 나날이 정교해져 초기 탐지를 교묘하게 우회하고 있다.

슬립(sleep) 기술, 다형성(polymorphism), 암호화, 알 수 없는 프로토콜의 사용 등은 악성코드가 정체를 숨길 수 있는 수많은 방법 중의 일부일 뿐이다. 눈에 안 보이므로 당연히 방어할 수 없으며 대부분의 주요 보안 침해는 바로 이런 식으로 발생한다.

보안 팀은 위협이 들어오는 시점에 이를 알아채지 못하고 그 이후에도 발견하지 못한다. 위협을 신속히 탐지하거나 격리할 수 있는 가시성도 없으므로 머지않아 악성코드는 목적을 달성하고 시스템을 손상시킨다.

그 특정 시점을 인식하고 선제적 탐지 및 차단 방식을 이용하더라도 100% 보호는 불가능하므로, ‘AMP’ 시스템에서는 초기 인스펙션 후에도 파일과 트래픽을 지속적으로 분석한다. ‘AMP’에서는 의심스럽거나 악의적인 행동을 보이는 숨은 위협을 신속하게 밝혀내기 위해 엔드포인트, 모바일 디바이스, 네트워크에서 이루어지는 모든 파일 활동과 통신을 모니터링하고, 분석하며 기록한다. 문제의 첫 징후가 나타나면 ‘AMP’는 보안 팀에게 알리고 위협의 행동에 대한 상세 정보를 제공한다.

따라서 ▲악성코드는 어디에서 시작됐나? ▲침입 시점과 방법은 무엇인가? ▲악성코드는 그동안 어디에 있었고 어떤 시스템에 영향을 줬나? ▲위협을 멈추고 근본 원인을 제거하려면 어떻게 해야 하나? 등의 주요 보안 문제에 답할 수 있다.

보안 팀에서는 이러한 정보를 바탕으로 상황을 파악할 수 있고 ‘AMP’의 억제 및 치료 기능을 통해 필요한 조치를 취할 수 있다. 관리자는 ‘AMP’의 간편한 브라우저 기반 관리 콘솔에서 파일이 다른 엔드포인트에서 실행되는 것을 영구 차단할 수 있어 악성코드를 억제할 수 있다.

‘AMP’에서는 파일이 상주했던 모든 곳을 파악하고 있으므로 해당 파일을 메모리에서 꺼내 다른 모든 사용자를 위해 격리할 수 있다. 악성코드가 침입해도 보안 팀에서는 악성코드를 제거할 목적으로 더 이상 전체 시스템을 다시 이미지화할 필요가 없다. 그렇게 할 경우 많은 시간, 비용, 리소스가 소모되고 비즈니스 기능이 중단된다. ‘AMP’를 사용할 경우 IT 시스템이나 비즈니스에 피해를 주지 않고 시스템을 복원할 수 있다.

이는 지속적인 분석, 지속적인 탐지, 회귀적 보안의 결과이다. 이러한 기능을 통해 시스템에 있는 모든 파일의 활동을 기록하고, ‘좋은’ 파일이 ‘나쁜’ 파일로 변한 것으로 추정되면 이를 탐지한 후, 저장된 기록 내역을 거슬러 올라가 위협이 시작된 지점과 관련 행동을 파악할 수 있다.

그리고 ‘AMP’에서 제공하는 내장형 대응 조치와 복원 기능으로 위협을 제거할 수 있다. 또한 ‘AMP’에서는 위협의 시그니처부터 파일 행동에 이르기까지 파악된 모든 사항을 기억한 후, 자체 위협 인텔리전스 데이터베이스에 해당 데이터를 기록해 최전선 방어를 강화한다. 따라서 해당 파일은 초기 탐지를 다시는 우회할 수 없다.

‘AMP’를 사용할 경우 보안 팀은 심층적인 가시성 및 제어 기능을 확보하게 된다. 따라서, 빠르게 효율적으로 공격을 탐지해 숨은 악성코드를 발견하고 침해의 특성과 범위를 파악하며, 시스템 손상이 발생하기 전에 악성코드(제로데이 공격 포함)를 신속히 억제‧치료하고 추후 유사 공격의 재발을 방지할 수 있다.

‘AMP’의 주요 기능

■보안침해지표(IoC)
파일 및 텔레메트리 이벤트의 상관관계를 분석하고 잠재적인 활성 침해로 우선순위를 지정한다. ‘AMP’에서는 여러 소스의 보안 이벤트 데이터(예: 침입, 악성코드 이벤트)를 대상으로 그 상관관계를 자동으로 파악해, 보안 팀이 해당 이벤트를 더 큰 규모의 연계 공격에 연결하고 고위험 이벤트의 우선순위를 지정하는 데 도움이 된다.

■파일 평판
고급 분석 및 종합 인텔리전스를 수집해 파일이 정상 파일인지 또는 악성 파일인지 여부를 판단함으로써 보다 정확한 탐지를 지원한다.

■정적 및 동적 악성코드 분석
보안성을 갖춘 환경에서 악성코드를 실행, 분석 및 테스트하는 방법으로 이전에 알려지지 않았던 제로데이 위협을 검색할 수 있다. ‘AMP’ 위협 그리드 샌드박싱 기능과 정적 및 동적 악성코드 분석 기술을 ‘AMP’ 솔루션 내에 통합해 대규모 행동 분석 지표를 기준으로 검사하는 더욱 포괄적인 분석을 제공할 수 있다.

■회귀적 탐지
장기간 분석 후에 파일 성향이 변경되면 이를 관리자에게 알려줌으로써 초기 방어를 우회하는 악성코드를 인지하고 가시화할 수 있다.

■파일 전파 흔적 분석
가시성을 확보하는 한편 악성코드 침입 범위를 파악하는 시간을 줄이기 위해 전체 환경에서 오랜 시간 동안 파일 전파 경로를 지속적으로 추적한다.

■디바이스 전파 흔적 분석
보안 침해 전후의 이벤트에 대한 근본 원인과 내역을 신속하게 파악하기 위해 디바이스 및 시스템 레벨에서 여러 활동과 통신을 지속적으로 추적한다.

■엘라스틱 검색(Elastic Search)
파일, 텔레메트리, 종합적 보안 인텔리전스 데이터의 전 범위를 대상으로 간단하면서도 무제한적인 검색을 수행해 위험 노출의 범위와 상황을 IoC 또는 악성 애플리케이션과 연계해 빠르게 파악할 수 있다.

■파일 보급도
조직에서 실행된 모든 파일을 보급도(prevalence)별로 오름차순으로 정렬해 표시하면, 이전에 소수의 사용자 외에는 탐지하지 못했던 위협을 드러낼 수 있다. 소수의 사용자만 실행했던 파일은 확장 네트워크에 있어서는 안 될 악성 파일(예: 표적화된 지능형 지속 위협)이거나 의심스러운 애플리케이션일 수 있다.

■엔드포인트 IoC
사용자는 자신만의 IoC를 제출해 표적 공격을 포착할 수 있다. 보안 팀은 환경에서 특정 애플리케이션을 공격하는 잘 알려지지 않은 지능형 위협을 심층적으로 조사할 수 있다.

■취약점
시스템에서 실행되는 취약한 소프트웨어, 이러한 소프트웨어가 포함된 호스트, 그리고 손상 가능성이 가장 높은 호스트의 목록을 표시한다. 시스코의 위협 인텔리전스 및 보안 분석에 기반한 ‘AMP’에서는 악성코드의 표적이 되고 있는 취약한 소프트웨어와 잠재적 공격 유형을 식별해 패치가 필요한 호스트의 우선순위 목록을 제공한다.

■아웃브레이크 제어(Outbreak control)
의심스러운 파일 또는 공격 발생을 효과적으로 통제해 콘텐츠 업데이트로 시간을 지체하지 않고도 감염을 치료할 수 있다. 아웃브레이크 제어 기능은 ▲단순한 맞춤형 탐지 기능 ▲고급 맞춤형 시그니처 ▲애플리케이션 차단 목록 ▲맞춤형 화이트리스트 ▲디바이스 흐름 상관관계 등으로 구성돼 있다.

요약

이제 문제는 보안 공격의 가능성이 아니라 언제 공격을 받느냐다. 특정 시점 탐지만으로는 모든 공격에 대한 선제적 탐지 및 차단을 완벽히 보장할 수 없다. 위협이 침투할 수도 있다. 따라서 보안 침해에 대비하려면 조직에서는 침입을 신속히 탐지해 이에 대응하고 치료할 수 있는 적절한 툴을 갖추고 있어야 한다.

시스코 ‘AMP’는 인텔리전스 기반의 통합 엔터프라이즈급 지능형 악성코드 분석 및 차단 솔루션이다. 이 솔루션은 네트워크 방어를 강화하기 위한 글로벌 위협 인텔리전스, 실시간으로 악성 파일을 차단하기 위한 분석 엔진, 모든 파일 행동과 트래픽을 초기 검사가 완료된 후에도 지속적으로 모니터링하고 분석하기 위한 기능 등을 제공한다. 이러한 기능은 모두 잠재적 위협 활동을 파악할 수 있는 가시성과 악성코드를 탐지‧억제‧제거할 수 있는 제어 능력을 제공한다.