[컴퓨터월드] 최근 가장 주목받는 보안 이슈는 랜섬웨어와 지능형 지속 위협(Advanced Persistent Threats, 이하 APT)이다. 랜섬웨어 공격으로 해커에게 약 13억 원 상당의 비트코인을 지불한 인터넷나야나 사건도 APT와 랜섬웨어가 결합된 공격이라는 과기정통부의 발표가 있었다. 최근에도 지속적으로 랜섬웨어의 변종이 발견되고 있으며, APT 공격도 점점 고도화 되고 있다.

APT 대응 솔루션은 기존의 보안 솔루션을 우회하는 공격에 대응하기 위한 솔루션이다. 하지만 어떤 하나의 기술로 100%의 보안은 장담할 수 없다는 게 보안업계의 정설이다. 이런 흐름 속에 APT 대응 솔루션도 엔드포인트 보안 솔루션과 통합되는 형태로 발전하고 있다. 보안 분야에서 이슈가 되고 있는 APT 공격과 APT 대응 솔루션에 대해 알아봤다.

잠재된 위협, APT

APT 대응 솔루션을 설명하기 앞서 APT 공격이 어떤 건지 알아보자. 지능형 지속 위협(Advanced Persistent Threat)으로 번역되는 APT는 말 그대로 지속적인 지능형 공격을 의미한다. APT 공격은 기관 및 기업 등 공격하려는 시스템에 침투하기 위해 지속적으로 취약점을 노리며, 침투하고 나서도 시스템에 잠복하면서 정보를 수집하고 정보 유출 또는 시스템을 파괴하는 공격의 유형이다. 과거 DDoS 공격 등이 단발성이었던 것에 반해 APT 공격은 짧게는 3개월에서 길게는 1년 이상 오랫동안 진행된다는 특징을 갖고 있다.

이진원 파이어아이코리아 기술총괄이사는 APT 공격을 개념적인 측면과 기술적인 측면에서 바라봤다. 이진원 이사는 “개념적인 측면은 일반적인 사이버공격을 지칭하는 것이 아닌 고도화된 공격을 의미하며, 기술적인 측면에서는 보안 솔루션에 탐지되지 않도록 우회기술 등을 탑재한 공격을 의미한다”고 설명했다.

APT 공격은 무작위로 대량 배포되는 일반 악성코드와는 달리 치밀하게 계획돼 소량 배포하면서 침투를 시도하고, 잠복하는 동안 여러 번의 공격을 지속적으로 시도한다. 이런 특징으로 인해 침투 시 보통 타깃이 되는 기업이나 단체, 기관, 사람에 대해 치밀하게 조사를 진행하는 사회공학적 기법을 사용하며, 침투 후에는 오랜 시간 동안 잠복을 통해 원하는 정보에 접근하거나 다량의 정보를 유출하기도 한다.

또, 공격 유형도 개인보다는 공격자들로 이뤄진 집단에서 타깃을 정하고 공격하는 경우가 많다는 특징이 있다. 집단의 공격이 진행되는 경우 조사조, 공격조, 협박조 등 과정을 세분화해 분업하기도 하며, 범죄집단이나 국가로부터 스폰서십을 받기도 한다.

APT 공격은 2010년 ‘스턱스넷(Stuxnet)’ 악성코드가 이란의 핵시설인 부셰르 원자력발전소를 공격한 사건을 통해 알려지기 시작했다. 이 사건은 해커가 악성코드로 원격 감시 제어(SCADA) 시스템을 임의로 제어할 수 있도록 공격을 진행했다. 여기서 주목해야할 부분은 해커가 공격을 통해 발전소 내부에서 사용하는 소프트웨어 구조를 파악한 후 관련 파일을 변조하는 등의 공격방법을 사용했다는 점이다.

대한민국은 APT 위험 국가다

우리나라도 APT 공격을 많이 받고 있는 나라 중 하나다. 파이어아이의 위협 동향 보고서인 ‘2016년 상반기 M-트렌드’에 따르면, 국내 파이어아이 고객 중 43.5%가 APT 공격을 받은 적이 있는 것으로 조사됐다. 이는 전세계 28.7%를 크게 뛰어넘는 수치이다.

작년에 발생했던 인터파크 개인정보 유출이 대표적인 국내 APT 피해 사례다. 당시 조사결과에 따르면, 공격자는 작년 5월 직원 A에게 친동생을 사칭한 메일을 보냈는데 이 이메일에 가족사진을 활용한 화면보호기가 첨부돼 있었다. 이 화면보호기에 악성코드가 있었고, 화면보호기를 실행했을 때 악성코드가 피해자 PC에 설치됐다.

악성코드는 피해자 PC에 연결된 파일 공유서버를 통해 다른 단말을 감염시켰고, 내부정보를 수집했다. 공격자는 공유단말에 패스워드 대입 공격을 시도해 개인정보 관리자 PC의 관리자(Administrator) 권한을 획득하고, DB서버에 접근했으며, DB서버에서 수집한 개인정보는 웹서버와 개인정보 취급자 PC, 직원B의 PC를 거쳐 외부로 유출됐다.

이 사건은 패스워드 관리와 서버 접근통제 관리 등의 취약점을 악용해 공격이 진행된 사례로 인터파크 회원 ID, PW, 이름, 성별, 생년월일, 전화번호, 이메일 주소 등 1,000만여 건을 포함, 탈퇴회원정보 4,100여 건, 휴면회원의 ID/PW 1,150만여 건 등 총 2,665만 8,753건의 정보가 유출됐다.

APT, 랜섬웨어와 시너지

또한 최근 랜섬웨어 피해를 입은 인터넷나야나 사건은 초기에는 단순 랜섬웨어의 피해사례로 알려졌으나 지금은 APT 침해 사고라는 주장이 설득력을 얻고 있다. 과학기술정보통신부(전 미래창조과학부)는 인터넷나야나 피해가 중소 인터넷 기업을 노린 APT와 랜섬웨어가 결합한 사고라고 발표한 바 있다.

과기정통부의 조사결과에 따르면, 공격자들은 사전에 탈취한 계정정보를 활용해 인터넷나야나의 통신용 게이트웨이 서버(고객 서버 우회접속 경유지)와 호스팅 사업부의 웹서버를 해킹해 공격 거점을 마련한 뒤 고객 서버 153대에 랜섬웨어를 설치하고, 파일을 암호화했다. 인터넷나야나는 이를 해결하기 위해 해커에게 약 13억 원 상당의 비트코인을 지불했다.

그렇다면 APT 공격의 최신 트렌드에 대해 살펴보자. 앞서 말했듯이 인터넷나야나 사건은 APT와 랜섬웨어가 결합된 공격이었다. 업계 분석에 의하면 APT 공격의 최근 트렌드는 금전적인 목적을 띠고 있으며, APT 공격 자체가 서비스화되고 있다.

과거에는 국가 간의 사이버전이라는 경향이 있었다면, 요즘 해커집단은 정치적 이슈뿐만 아니라 금전적인 이슈로 움직이고 있다. 해커들에게 공격으로 인한 금전적인 보상을 얻을 수 있는 가상화폐라는 좋은 수단이 생겼기 때문이다.

APT 공격의 최근 기술적 트렌드는 실행파일이 없는 악성코드나 악성코드 실행시간을 지연시키는 등 보안 솔루션을 우회하는 다양한 기술들이 접목되고 있다는 점이다. 웹과 이메일이 APT 공격의 주요 침투경로라는 점은 여전하지만 네트워크를 이용해 직접 PC에 침투하거나 취약한 내부 서버를 해킹해 악성코드를 유포하는 경향이 강하다. 이메일의 경우 주로 악성코드가 삽입된 첨부파일을 열어보게 하는 방법인데, 타깃에 대해 사전조사 후 사람의 취약점을 이용하는 사회공학적 기법을 활용하고 있다.

과거에는 공격에 주로 실행파일(.exe)이 활용됐지만, 실행파일에 대한 경각심이 높아지면서 PDF, HWP, DOC 등 문서파일에 악성코드가 포함되고 있다. 문서파일에 스크립트 매크로 등을 포함, 이를 실행하면 매크로가 실행돼 PC에 악성코드가 설치된다.

또한 웹브라우저의 취약점을 이용하거나 액티브X(Active-X)를 설치하도록 유도해 공격을 진행하기도 하며, 사용자가 특별한 행동을 하지 않더라도 PC자체의 취약점을 이용해 직접 공격을 시도하기도 한다. 즉, 현재의 APT 공격을 한마디로 요약하면 언제 어디서든 무엇을 통해 유입될지 모르는 공격이라고 볼 수 있다.

APT 대응 솔루션은 만능솔루션이 아니다

APT 공격은 보안솔루션에 탐지되지 않는 고도화된 공격이다. 현재 사용되고 있는 백신, 네트워크 보안 솔루션들은 패턴과 시그니처를 기반으로 하고 있는 경우가 많다. 패턴, 시그니처 기반이라는 말은 이제까지 진행됐던 공격의 기록을 가지고 비슷한 패턴의 공격을 차단하는 방식으로 알려진 공격을 방어한다는 의미다. 이런 이유로 탐지되지 않는 고도화된 공격, 즉 제로데이 공격같이 패턴이 아직 업로드 되지 않았거나, 알려지지 않은 공격에는 취약할 수밖에 없다. 그래서 등장한 제품이 APT 대응 솔루션이다.

초기 APT 대응 솔루션은 동적분석 기술 기반 샌드박스 형식의 솔루션이었다. 이 분야의 대표주자는 파이어아이로, 2010년 경 샌드박스를 단독 솔루션으로 출시해 시장을 주도했다. 샌드박스형 APT 대응 솔루션은 가상환경에서 파일 실행을 통해 악성코드가 시스템 주요 정보에 접근하려고 시도하는지. 악성코드를 시스템에 숨겨놓는지, C&C 서버에 접근을 시도하는지 등을 확인하고 대응한다.

APT 대응 솔루션은 크게 3가지로 구분할 수 있다. 어디서 대응하느냐에 따라 ▲네트워크 APT 대응 ▲이메일 APT 대응 ▲엔드포인트 APT 등으로 나눌 수 있다. 먼저 네트워크 APT 대응 솔루션은 네트워크 영역에서 완성된 파일이나 데이터를 확인하기 어렵기 때문에 평소의 활동과 비교하거나 네트워크 접속 유형, C&C 서버와의 통신, APT 감염 사이트 접속 등을 분석하는 형태로 탐지를 진행한다.

이메일 APT 대응 솔루션은 APT 공격의 주요 침입로로 이메일이 활용되고 있는 점에서 착안해 이메일 보안에 특화된 기능을 제공한다. 보통 이메일 보안 솔루션 독자적으로 또는 전문장비와 연동해 탐지율을 높이는 방법으로 이메일을 통해 내부로 유입되는 악성코드 및 유해요소를 차단한다. 더불어 이메일 발신자 위조 여부, 첨부파일, URL 등 이메일에 첨부될 수 있는 요소를 검사하는 특화 기능을 제공한다.

엔드포인트 APT 대응 솔루션은 주로 안티바이러스(Anti Virus)를 통해 운영된다. 기본적인 골자는 패턴과 시그니처 기반의 백신과 큰 차이 없으나 APT를 고려한 기능이 추가돼 있다. 그 기능으로 동적분석 기술과 C&C 서버 통신 차단 등의 기능을 대표적으로 꼽을 수 있다. 천명재 지란지교시큐리티 이사는 “대다수의 APT 공격의 1차 목표가 엔드포인트이기 때문에 엔드포인트 APT 대응은 기본이자 필수”라고 얘기했다.

요즘 보안 업계에서는 APT 공격에 대응하기 위한 방법으로 ‘사이버 킬체인(Cyber Kill-Chain)’이 회자되고 있다. 사이버 킬체인이란 군사용어인 킬체인에서 비롯된 용어로 본래 의미는 미사일을 방어하기 위한 체계였다. 이를 IT 보안 환경에 적용한 게 사이버 킬체인이다. APT를 분석하면 일반적으로 5단계를 거치게 된다.

그 5단계는 ▲정찰(Reconnaissance) ▲무기화 및 전달(Weaponization and Delivery) ▲익스플로잇/설치(Exploit and Installation) ▲명령 및 제어(Command and Control) ▲행동 및 탈출(Action and Exfiltration) 등으로 구성된다. 방어자 입장에서는 이 5단계를 공격 전/후로 나눌 수 있으며, 공격 전 단계에서 체인을 끊는 게 이 전략의 목표다. 보안 업체들은 각 단계별로 대응을 구분해 적합한 방어체계를 구성, 이 단계 중 하나라도 차단하면 방어에 성공한다.

김기홍 세인트시큐리티 대표는 “APT 대응 솔루션을 APT 공격을 모두 막아내는 만능 솔루션으로 보면 안 된다”며, “APT 대응 솔루션은 APT 공격의 성공률을 낮추고 공격에 드는 비용을 높임으로써 공격을 억제하는 데 의의가 있다”고 말했다.

랜섬웨어, APT 대응 솔루션으로 막는다

최근 보안업계의 가장 큰 이슈는 뭐니뭐니해도 랜섬웨어다. 국내외에서 인터넷나야나와 같은 피해사례가 나오고 있으며, 워너크라이(WannaCry), 페트야(Petya), 배드래빗(BadRabbit), 케르베르(Cerber) 등 다양한 종류의 랜섬웨어와 이들의 변종이 지속적으로 발견되고 있다. 많은 보안업체들은 랜섬웨어에 대응하기 위해 안티랜섬웨어 솔루션을 내놓고 있다.

보안 업계에서는 APT 장비가 랜섬웨어 대응에 효과가 있다고 얘기한다. 공격자가 랜섬웨어를 감염시키는 공격 절차가 APT 공격과 흡사하다는 이유에서이다. 즉, APT와 같이 타깃의 엔드포인트에 침투해 악성코드를 실행시키기 위한 기술적인 방법이 랜섬웨어와 거의 비슷해 이를 APT 대응 솔루션으로 방어할 수 있다는 얘기다. 업계 일각에서 안티랜섬웨어 솔루션이 이후 백신 등 다른 보안제품에 통합될 것으로 보고 있는 이유이기도 하다.

랜섬웨어 자체가 신종보다 변종이 많고, APT 공격만큼 고도화된 공격은 아니기 때문에 기존의 보안솔루션을 활용하면서 백업을 철저히 해놓는다면 충분히 대응할 수 있다는 설명이다. 랜섬웨어는 APT 공격같이 오랜 기간 잠복해 공격하는 방식이 아닌 즉각적인 피해가 발생하기 때문에 APT에 대응하는 방법과 약간의 차이가 있다.

천명재 지란지교시큐리티 CTO는 “랜섬웨어의 경우 문서 등 파일을 암호화하는 행위를 탐지해 차단하고, 이미 암호화된 파일을 쉽게 복원할 수 있도록 하는 게 저렴한 비용으로 효과적인 대응을 하는 방법이라고 판단된다”고 설명했다.

이진원 파이어아이코리아 기술총괄이사는 “지금 사용되는 일부 안티랜섬웨어 솔루션의 경우 암호화된 파일을 복구해주는 일종의 암호화방지솔루션으로 볼 수 있다”며, “암호화만 방지하는 안티랜섬웨어 제품의 경우 공격자의 침투과정에 대한 대응이 미비해 백도어 등 다른 공격 수단을 방어하지 못한다는 취약점이 있다”고 말했다.

업계의 관계자들은 랜섬웨어가 APT와 유사하게 진화하고 있다고 우려를 나타내기도 했다. 최근 랜섬웨어도 사회공학적 기법을 통한 공격을 진행하고 있으며, 샌드박스 등 탐지솔루션 우회기술을 통해 공격 성공률을 높이고 있다는 것이다.

더불어 서비스형 랜섬웨어(Ransomware as a Service, RaaS)도 늘고 있어 문제가 되고 있다. RaaS는 돈을 받고 랜섬웨어를 제작해주는 서비스이다. 이를 통해 전문적인 지식이 없어도 랜섬웨어를 유포할 수 있으며, 특정 기관이나 기업을 타깃으로 사회공학적 기법을 사용하는 등 랜섬웨어가 더욱 고도화될 가능성이 있다.

APT 대응, 엔드포인트 보안과 통합

최근 엔드포인트에서의 APT 대응이 주목받고 있다. 네트워크 환경 등에서 한 가지 기술로 100% 보안을 보장할 수 없다는 게 정설로 여겨지고 있기 때문이다. 특히, 웹 환경에서 SSL(Secure Sockets Layer) 등 암호화를 통해 APT 공격을 진행한다면 네트워크 보안 장비로 대응하기 어려운 게 현실이다. 이런 상황에서 엔드포인트에서도 APT 공격을 탐지·대응해야 한다는 주장에 힘이 실리고 있다.

SGA솔루션즈는 APT 대응 솔루션을 샌드박스와 포스트 샌드박스 등 두 종류로 구분하고 있다. 전통적인 APT 대응 솔루션을 샌드박스로 구분하고, 포스트 샌드박스에는 엔드포인트 탐지 및 대응 솔루션(Endpoint Detection & Response, 이하 EDR) 및 엔드포인트 보안 플랫폼(Endpoint Protection Platform, 이하 EPP) 등 엔드포인트 보안 제품을 포함시키고 있다.

SGA솔루션즈 측 설명에 따르면, 최근 2~3년 전부터 엔드포인트 로그 등을 모니터링하고 분석 및 탐지하는 EDR과 EPP 솔루션으로 ATP에 대응하는 경향이 나타나고 있다.

실제 많은 APT 대응 솔루션 공급업체들이 APT 공격에 대응하기 위해 EDR 제품을 출시하고 있다. 대표적으로 글로벌 시장에서는 파이어아이, 시만텍, 카운터택, 카본블랙 등을 들 수 있다. 국내 시장에서는 지니언스가 EDR 제품을 출시했으며 SGA솔루션즈 등도 관련 시장에 진출했다. 안랩은 내년에 EDR 솔루션을 출시할 계획이다.

가트너는 EDR 솔루션의 주요 기능을 3가지로 정의했다. 먼저 백신을 우회하는 공격을 탐지해 실행되지 못하도록 예방하기 위해 엔드포인트에 숨겨진 취약점 공격(익스플로잇) 프로세스를 탐지·차단할 수 있어야 한다. 두 번째는 글로벌 최신 위협 정보를 파악해 대응할 수 있도록 위협 인텔리전스 정보를 확보하고 있어야 한다. 국내외에서 발생하는 보안위협에 대한 정보를 확보하고 있어야 엔드포인트에서 대응이 가능하다는 얘기이다.

​마지막으로 엔드포인트에 대한 가시성 확보이다. PC, 노트북, 스마트폰 등에 쓰이는 애플리케이션, 각종 프로세스, 커뮤니케이션 등을 모니터링해 악성행위를 탐지하고 이를 예방하며 필요한 경우 감염된 기기로 인해 다른 기기나 내부 시스템이 영향을 받지 않도록 자동으로 차단조치를 수행할 수 있어야 한다.

APT 대응에 EDR, EPP가 강조되면서 기술적인 트렌드로 행위 분석과 머신러닝 방식이 떠오르고 있다. 행위 분석은 앞서 말했듯이 가상환경에서 파일을 직접 실행하고 그 경과를 지켜보는 것이다. 머신러닝 방식은 이전 악성코드 및 파일에 대한 행위를 보안 장비가 머신러닝으로 학습해 비슷한 행위의 파일을 분석해 가시성을 제공한다. 사람이 모든 이벤트를 모니터링할 수 없어 이를 머신러닝으로 일정 부분 대체한다는 것이다.

하지만 머신러닝을 활용하면 오탐률이 높아지는 부작용이 생길 수 있다. 때문에 많은 보안 업체들은 직접 차단하는 자동화 기능도 제공하지만, 파일의 악성여부를 퍼센트로 표시하는 등 가시화를 통해 담당자의 판단에 도움을 주는 방식을 우선시하고 있다.

최근들어 APT 대응을 위한 방법으로 통합이 강조되고 있다. 네트워크, 엔드포인트 등 각 영역의 모든 보안 장비의 정보가 통합·공유돼야 한다는 것이다. 이를 위해 주로 언급되는 것이 보안 플랫폼이다. 플랫폼에서 보안 솔루션들이 위협 인텔리전스를 공유해 공격에 대응하도록 한다는 것이다.

4차 산업혁명시대, 보안 패러다임 변해야

4차 산업혁명으로 디지털트랜스포메이션이 강조되고 있는 현재, 보안 위협에 대한 관심은 더욱 높아질 수밖에 없다. 특히 ICBM(사물인터넷, 클라우드, 빅데이터, 모바일)으로 정보통신기술(ICT)이 더욱 생활에 밀접해지고 있다. ICT로 인해 편리해지지만, 그에 따른 위협도 같이 증가하고 있다.

과거에는 APT 공격 등의 보안위협은 기관 및 기업에 정보 유출 또는 금전적인 피해를 줬지만, 앞으로는 생명에 위협을 줄 수도 있게 될 것이다. 예를 들어 자율주행차를 해킹해 교통사고를 일으킬 수도 있으며, IP카메라를 해킹해 타인을 감시하는 등 보안에 대한 위협은 더욱 치명적일 수 있다는 것이다.

이진원 이사는 “ICBM 등으로 ICT가 생활에 가까워지면서 사이버위협이 생명의 위협으로 이어질 수 있는 시기가 다가오고 있으며, 이때는 보안을 다루는 방식이 크게 변화할 것”이라며, “공격이 고도화되는 만큼 모든 위협을 차단하는 것은 불가능하지만, 관점을 조금만 바꾸면 위협을 관리해 효과적인 보안을 구성할 수 있을 것”이라고 말했다.

업체별 향후 전략 및 제품 소개

파이어아이 ‘파이어아이 NX/EX/HX’

파이어아이의 APT 대응 솔루션은 네트워크, 이메일, 엔드포인트 세분야로 구분되는데 제품명은 각각 ‘파이어아이 NX/EX/HX’ 등이다. 파이어아이는 가상환경에서 의심스러운 파일을 구동시켜 악의적인 행동을 하는지 판단해 대응한다.
‘파이어아이 NX/EX’는 네트워크 환경과 이메일 전용 솔루션으로, 멀티벡터엔진(MVX)과 자체 개발한 가상화 기술을 사용하고 있다. 파이어아이에 따르면 가상화 기술을 사용하는 다른 솔루션과 달리 우회공격도 탐지할 수 있다.
최근 발표한 ‘파이어아이 엔드포인트 APT-HX’는 침해조사 툴을 기반으로 한 엔드포인트 보안 솔루션으로 다양한 기능을 포함하고 있다. ‘파이어아이 엔드포인트 APT-HX’는 ▲비트디펜더의 안티 바이러스 ▲엔드포인트 침해 탐지 및 대응(EDR) ▲엔드포인트 보안 플랫폼(EPP) 등을 통합한 단일 솔루션으로 제공되며, 모든 엔드포인트 보안 위협에 대응할 수 있다. 행위분석 엔진을 기반으로 하고 있는 이 제품은 익스플로잇 식별, SNS를 통한 공격 대응, 랜섬웨어 대응뿐만 아니라 MVX 엔진을 이용한 샌드박스 분석, 침해 조사, 위협 인텔리전스 등 폭넓은 보안을 제공한다.
파이어아이는 내년에 클라우드 기반 보안 플랫폼 ‘헬릭스(Helix)’를 국내에 발표할 계획이다. ‘헬릭스’는 클라우드 기반으로 파이어아이의 위협 인텔리전스에 빅데이터 머신러닝 등을 활용해 자동화된 대응을 제공하며, 알려지지 않은 공격도 막을 수 있다.

시만텍 ‘시만텍 엔드포인트 시큐리티’

시만텍은 최근 엔드포인트 보안 솔루션 ‘시만텍 엔드포인트 시큐리티(Symantec Endpoint Security)’ 제품 라인업을 발표했다. 이번에 선보인 제품은 ▲‘시만텍 엔드포인트 프로텍션(Symantec Endpoint Protection, 이하 SEP) 14.1’ ▲‘ATP 3.0’ ▲‘EDR 클라우드’ ▲‘SEP 모바일’ 등 온프레미스부터 클라우드, 모바일까지 망라하고 있다.

‘시만텍 엔드포인트 시큐리티’는 포괄적인 엔드포인트 보안기능을 단일 에이전트로 제공하는 것이 특징이다. ▲디셉션(Deception) 기술 ▲엔드포인트 탐지 및 대응(EDR) ▲머신러닝 기반의 집중 보호 기능 ▲하드닝(Hardening) ▲모바일 위협 방어 기능 등을 제공한다.

‘SEP 14.1’은 시만텍의 대표 엔드포인트 보안 제품인 ‘SEP’의 최신 버전으로 공격자를 속이는 미끼를 투척해 공격을 탐지 및 대응하는 ‘디셉션’ 기능을 추가한 것이 특징이다. 또한 머신러닝 기반과 행위기반 분석을 통해 의심스러운 행동을 탐지 및 보고하는 ‘집중보호기능’도 제공한다. 더불어 모든 애플리케이션을 평가 및 분류해 의심스러운 애플리케이션을 격리하는 ‘하드닝’ 기능도 탑재됐다.

‘ATP 3.0’은 시만텍의 EDR 기능을 통합한 것이 특징이다. 또한, FDR(Flight Data Recorder) 기능으로 엔드포인트에서 발생되는 모든 이벤트를 기록·저장해 가시성을 제공하며, 침해사고 분석시 저장된 기록을 바탕으로 상관관계를 분석해 침해사고 대응에 도움을 준다.

시만텍은 고객들이 많은 보안 제품을 도입할 필요 없도록 ‘SEP’를 단일 에이전트로 제공한다는 점을 강조하고 있다. 또한 내년 EDR 등의 시장이 성장할 것으로 보고 앞으로 최신 보안위협에 대응하기 위해 ‘SEP’에 다양한 기능을 추가해 나갈 계획이다.

세인트시큐리티 ‘MNX’

세인트시큐리티는 ‘MNX’를 통해 APT 공격에 대응한다. ‘MNX’는 네트워크 기반 APT 공격 대응 어플라이언스로 APT, 랜섬웨어, 인증서 탈취 등 악성코드를 탐지하고 차단하는 역할을 한다. 수집한 네트워크 트래픽에서 L7 분석으로 실행 가능한 파일을 추출해 악성코드를 실시간으로 차단하며, 자체 개발한 머신러닝 기반 악성코드 탐지 엔진 ‘맥스(MAX)’를 적용한 것이 특징이다.

또한 8억 개 이상의 악성코드 샘플과 20억 개 이상의 프로파일링 정보를 보유하고 있는 멀웨어즈닷컴과 IoC 정보가 연동돼 있다. 더불어 단순 실행파일뿐 아니라 모바일 앱, APT 공격에 많이 활용되는 악성 문서파일 등 다양한 실행 가능 오브젝트를 최대 200MB까지 수집 및 분석할 수 있다.

세인트시큐리티 측은 두 가지 차별성을 강조한다. 우선 DPI엔진을 통한 정보 수집량이 많다는 점이다. ‘MNX’는 DPI엔진으로 패킷의 데이터를 모두 식별하고 정밀하게 분석한다. 두 번째는 이렇게 수집한 데이터를 분석하기 위해 머신러닝을 적용했다는 점이다. 머신러닝 기반 기술을 이용해 탐지율을 향상시켰으며, 여기에 멀웨어즈닷컴과 연동을 통한 위협 인텔리전스 활용으로 중복검사를 줄여 CPU를 절약하는 등 효율성을 높이고 있다.

세인트시큐리티는 앞으로 APT 대응 솔루션의 가격대가 높아 도입에 어려움을 겪고 있는 중소기업을 대상으로 시장을 확대할 계획이다. 제품의 효율성 등을 내세워 중소기업의 요구를 반영한 제품이라는 점을 강조하고 모회사인 케이사인과 협업을 통해 시장을 확대할 방침이다.

지니언스 ‘지니안 인사이츠E’

지니언스는 APT에 대응하기 위해 빅데이터 엔진 기반의 EDR 솔루션 ‘지니안 인사이츠E(Genian Insights E)’를 공급하고 있다. ‘지니안 인사이츠E’는 NAC를 통해 다양한 장치 및 OS가 존재하는 조직 내 단말에서 프로세스, 파일, 네트워크 접속 정보 등을 수집하며, 이를 ‘지니안 인사이츠’ IOC 탐지엔진으로 보내면서 악성 행위 탐지를 시작한다.

또한, 보안관리 및 위협 탐지를 위한 중앙 집중화된 플랫폼으로 엔드포인트가 분산된 환경에서 위협 탐지 DB를 최신으로 유지한다. 지속적인 모니터링으로 사용 현황, 위협의 시각화를 통해 조직 내부의 엔드포인트를 가시화해 위협에 대응한다.

이때 악성행위의 통제는 ‘지니안 NAC’를 통해 이루어지며, 에이전트(Agent)기능 이외에 위협 단말 행동에 대한 다양한 형태의 통제 및 치료 방안(알람, 프로세스 강제 종료, 파일 삭제, 네트워크 차단, 정책 적용 등)의 대응 조치가 이루어진다.

‘지니안 인사이츠 E’는 ▲NAC 에이전트의 EDR 플러그인을 통한 정보수집, 위협대응 ▲위협 탐지를 위해 수집한 정보는 수집/분석을 위해 인사이츠 서버로 전송 처리 ▲침해지표를 통한 위협 탐지 ▲탐지된 위협에 대한 경고 알람 및 대응 ▲대시보드를 통한 보안상황 및 위협에 대한 가시성 제공 ▲엔드포인트 행위에 대한 분석 및 모니터링 등 기능을 제공한다.

지란지교시큐리티 ‘스팸스나이퍼 APT’ 및 ‘다큐제트 CDR’

지란지교시큐리티는 APT 침투 경로인 이메일에 주목해 이메일을 통한 APT 대응 솔루션 ‘스팸스나이퍼 APT’를 공급하고 있다. ‘스팸스나이퍼 APT’는 APT 특화 솔루션과 연계해 유입되는 첨부와 메일에 악성코드가 포함돼 있는지 탐지하고 차단하는데, 이메일의 경우 과거의 송수신 이력과 송신자의 IP 등 관련 정보가 존재하기 때문에 이를 취합해 정확도를 높이고 있다.

또한 이 솔루션은 자사 CDR(Content Disarm & Reconstruction, 콘텐츠 악성코드 무해화) 기술을 탑재해 문서 파일의 매크로나 스크립트 등을 제거하고 악성코드가 삽입될 가능성을 사전에 차단하기 때문에 기업 내부의 수신자는 안전한 환경에서 첨부파일 등을 확인할 수 있다.

지란지교시큐리티의 CDR 솔루션인 ‘다큐제트(DocuZ) CDR’은 ‘스팸스나이퍼 APT’ 및 일본 이메일 무해화 컴플라이언스 대응 솔루션으로 유통되고 있는 ‘스팸스나이퍼 AG’에 적용되고 있으며, 네트워크로 유입되는 파일 스캔을 통해 액티브 콘텐츠 분석 및 제거(무해화) 후 안전한 요소로 문서를 재조합해 제공한다. ‘다큐제트’는 사전 대응/예방에 초점을 맞추고 기존 보안솔루션과 연동해 방어에 잠재위협 요소를 원천 제거하는 제거관점을 더했다.

지란지교시큐리티는 향후 APT 대응은 진화하는 보안위협에 얼마만큼 선제적 대응이 가능한지가 중요할 것이라 판단하고 이에 대비하고 있다. 이 과정에서 편의성을 해치지 않으면서 더 높은 수준의 보안을 제공하는 것이 중요한데, 이를 염두에 두고 자사가 보유한 솔루션들을 진화시켜 나간다는 전략이다.

지란지교시큐리티는 이메일 APT 대응 솔루션시장에서 기존의 스팸/바이러스 메일차단, 스팸차단, 샌드박스(행위분석)연동뿐만 아니라 CDR 기술 접목으로 잠재 위협요소를 제거해 안전한 메일업무 환경을 제공하는 것을 목표로 하고 있다.

SGA솔루션즈 ‘센트리 APT’

SGA솔루션즈는 최근 인공지능 및 빅데이터 기반 APT 대응 솔루션 ‘센트리 APT(Sentry APT)’를 발표했다. ‘센트리APT’는 서버 보안, 엔드포인트 보안, 보안 관제 등 SGA솔루션즈의 핵심 기술력을 통합한 보안 솔루션이다.

‘센트리 APT’는 윈도우 및 맥 운영체제만 지원하는 엔드포인트(PC) 영역뿐 아니라, 윈도우 서버, 유닉스, 리눅스 등의 서버 영역까지 APT 공격 탐지를 수행해 서버 취약점을 보완했다. 또한, 자체 보안관제 제품의 빅데이터 기반 AI(인공지능) 기술을 활용해 보안 위협을 탐지하고 분석 및 대응 체계를 제공한다.

‘센트리APT’는 비정상 행위에 대한 위협 프로파일링(Threat Profiling)을 통해 탐지-대응-분석의 3단계 위협 대응 및 처리 방법을 제공함으로써, 기업의 알려진 보안 위협뿐 아니라 잠재적인 보안 위협까지 탐지 및 차단한다.

구체적으로 1단계 탐지영역은 빅데이터 기반의 머신러닝을 이용해 수집된 로그 분석과 위협 이벤트 프로파일링을 통해 위협 수준과 APT 킬체인(Kill Chain)을 단계별로 탐지하고, 2단계 대응영역에서 서버 및 PC에서 탐지된 결과에 따라 에이전트를 기반으로 자동 또는 수동 대응한다. 이후 3단계 분석영역에서 경로 추적 및 행위 재연 등의 기능을 통해 다양한 분석 방법을 제공한다.

SGA솔루션즈는 본격적인 국내 시장 공략을 위해 파이어아이와 손잡고 서로 상생하는 성장 전략을 펼치고 있다. 지난 6월 체결한 ‘파이어아이 HX’의 공급 및 기술 지원 파트너십을 통해 제품 라인업을 확대하고, 안정적인 기술 지원을 제공함으로써 영업과 기술 시너지를 확대해나가고 있다. 뿐만 아니라 ‘센트리 APT’와 파이어아이 APT 제품군 등 상호 보완할 수 있는 이상적인 협업 모델을 구축함으로써, 콜라보 전략도 동시에 추진한다는 방침이다.

SK인포섹 ‘eAPT/nAPT 인사이트’ 및 카운터택 ‘ETP’

SK인포섹이 제공하는 ‘eAPT/nAPT 인사이트(insight)’는 각각 이메일과 네트워크 환경에서 APT 공격에 대응한다. SK인포섹은 ‘eAPT/nAPT 인사이트’를 통해 보안관제 및 컨설팅으로 다져진 침해 대응 DB 등 노하우를 제공하며, APT 악성메일에 대한 관제 서비스도 운영하고 있다.

또한 지란지교시큐리티와 협업을 통해 대용량 이메일 트래픽 처리 기술을 적용해 안정성을 높였다. ‘eAPT 인사이트’는 메일박스, 센서, 멀웨어 분석기로 구성돼 첨부파일/URL 분석, 발신자 위변조 검증, 악성코드 정적/동적 분석, 모니터링 및 리포팅, 정책관리 기능 등을 제공한다. ‘nAPT 인사이트’는 네트워크 환경에서 APT 공격에 대응하며, 위협정형화 분석기법, 데이터 가시화 분석기법 등을 적용하고 있다.

SK인포섹은 카운터택(CounterTack)의 EDR솔루션인 ‘ETP(Endpoint Threat Platform)’를 국내에 소개하고 있다. 카운터택의 ‘ETP’는 메모리 포렌식 기반의 DDNA엔진을 이용해 알려지지 않은 공격을 행위분석을 통해 탐지할 수 있으며, 스텔스 에이전트 기능으로 악성코드의 우회 및 회피를 차단한다. 또한 프로세스, 레지스트리, 네트워크, 파일 등 전과정 모니터링과 침해사고 발생시 최초 발생지부터 단계별 분석과 대응 등을 제공한다.

SK인포섹은 향후 APT에 대응하기 위해 카운터택의 ‘ETP’ 솔루션 공급에 주력하는 한편, 보안관제 노하우를 바탕으로 네트워크에서 엔드포인트 솔루션에 대한 모니터링을 중심으로 서비스를 강화해 나갈 방침이다.