'안랩'에 해당되는 글 1

  1. 2012/04/06 안랩, 그들이 APT를 막는 방법은? (3)
얼마 전까지만 해도 APT(지능형지속가능위협) 공격은 절대 막을 수 없을 것이라는 의견이 지배적이었다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

그러나 상황이 변했다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스(주석1)에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

특히 안랩은 ‘세계 최초’ 라는 수식어를 붙여가며 자사의 APT 대응 솔루션인 ‘트러스와처2.0’을 대대적으로 홍보에 나섰다. 안랩이 이렇게 자랑할 수 있는 근거는 어디에 있을까.

안랩 김수암 팀장은 “17년동안 안티바이러스(백신) 프로그램을 개발하며 쌓인 노하우가 새로운 기술로 발전한 것”이라고 말했다.

사실 안랩이 백신을 개발한 것은 훨씬 더 이전의 일이다. 안랩은 1988년에 국내 최초로 백신을 개발했고, 1991년 우리의 귀에 익은 ‘백신 III(V3)’가 탄생하게 된 것이다.

김 팀장은 “국내에서 가장 오랫동안 백신 사업을 해왔기 때문에 가장 많은 파일형태를 가지고 있을뿐더러, 국내에 특화된 악성코드, 멀웨어 정보들도 가지고 있다. 이것이 안랩이 신기술을 개발할 수 있는 가장 큰 근거”라고 강조했다.

그런데 APT 공격은 앞서 소개했다시피 샘플 기반 솔루션에서는 전혀 찾아내지 못한다. 다양한 악성코드 샘플을 가지고 있다고 해서 APT 대응 솔루션을 개발할 수 있는 것과는 별개의 문제다.

기자가 이렇게 질문하자 김 팀장은 “악성코드로 동작하는 파일들은 각 특성값이 있다. 기존에 있던 파일들을 분석할 수 있는 것”이라며 “APT는 잘 알다시피 일반 바이러스처럼 대중을 상대로 하는 공격이 아니지만 악성코드 자체의 특성값을 가지고 있기 때문에 사전에 검열할 수 있는 엔진을 마련한다면 어느정도는 걸러낼 수 있다”고 설명했다.

이어 “일반적인 백신업체들은 악성코드 자체의 특성값을 잡아낼 수 있는 노하우나 엔진이 없다. 단순히 샘플기반 엔진이기 때문에 우리보다 한템포 늦을 수밖에 없다”고 자신감을 나타냈다.

김 팀장은 안랩이 개발한 가상화 기반 APT 대응 솔루션의 구동원리를 연이어 설명했다.

그는 “APT에 사용되는 파일, URL 등을 수집, 분석하는 엔진을 가지고 있다. 해커가 해킹을 할때 접속하는 C&C(Command & Control) 서버 리스트도 실시간으로 수집하고 있다. 이는 사람이 할 수 없는 일이다. 자동화된 분석기법(주석2)으로 클라우드 서버가 수행하는 것이다. 이 역시 안랩의 기술 중 하나”라며 “수집된 정보를 바탕으로 실시간 감시를 수행하고 의심이 가는 파일은 즉시 가상화 환경에서 구동시켜보고 문제가 있다면 격리, 치료 조치를 취하게 된다. 이것이 트러스와처2.0의 동작 프로세스”라고 전했다.

그렇다면 가상화, 행위기반 기술을 사용하는 모든 업체들은 동일한 성능을 나타낼까? 꼭 그렇지도 않다는 것이 김 팀장의 주장이다.

김 팀장은 “행위기반이라고 하면 가상머신에 파일을 집어넣었을때 시스템의 어떤 부위에 접속하는지 보는 것이 가장 일반적이다. 시스템 레지스트리에 접근하는지, 패킷에 접근하는지를 살펴보면 된다는 것”이라며 “그러나 문제는 이것이 100% 정확한 탐지는 아니라는 것이다. 인터넷뱅킹을 위해 설치하는 액티브X는 시스템의 레지스트리를 건드리게 된다. 이를 악성코드로 인지하게 되는 것은 오탐이다. 이를 방지할 수 있는 기술이 있어야 진짜 행위기반 APT 대응 솔루션이라고 할 수 있을 것”이라고 설명했다.


주석 1. RSA 컨퍼런스 = 매년 미국 샌프란시스코에서 열리는 정보보호 컨퍼런스. 올해로 21년째를 맞았으며 매년 300여개가 넘는 보안업체들이 참석한다.

주석 2. DICA(Dynamic Intelligent Contents Analysis) 기술 = 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술. DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다.

2012/04/06 19:39 2012/04/06 19:39
TAG , ,