ATP 공격이 빠르게 진화하고 있다. 2014년 ISTR이 발표한 리포트에 따르면 샌드박스를 28% 우회하고 있고 특히 이러한 우회 공격 기법은 더욱 늘어날 것으로 전망돼, 샌드박스는 더 이상 ATP 방어를 위한 효과적인 방어 수단이 아니다.
특히 네트워크 침투에 성공하게 되면 추가적으로 진행되는 2차 공격을 탐지하고 이를 빠르게 차단하는 데에는 네트워크 ATP 솔루션으로 한계가 있음이 보안 업계에서는 지적되어 왔고 이에 따라 엔드포인트의 보안이 중요해지고 있다.
애플리케이션이 다양해지고 복잡해짐에 따라 네트워크 방어가 어렵고 네트워크 단에서 더 이상 완벽한 방어는 불가능하다. 해커의 목표라 할 수 있는 지적 재산은 엔드포인트에 존재하고 무엇보다 중요한 것은 엔드포인트에서만이 침투한 위협에 대응하고 조치가 가능하기 때문이다.
이에 보안 업계에서는 날로 진화하고 있는 APT 공격에 ATP 솔루션과 엔드포인트 단에서 표적 공격을 효율적으로 차단하는 EDR(Endpoint Detection and Response) 솔루션 그리고 보안 기업의 인텔리전스 기반으로 한 보안 역량 강화에 주력하고 있다.
시만텍은 이러한 ATP 솔루션과 EDR 솔루션 그리고 인텔리전스를 합쳐 시만텍 통합대응형 ATP 솔루션을 지난해 11월 출시해 시장에서 큰 호응을 얻고 있다고 전했다.
엔드포인트, 네트워크, 이메일 게이트웨이 등 각 컨트롤 포인트에서 개별 대응 방식에서 통합 대응 방식의 업계 최초의 ATP 솔루션이라고 시만텍은 소개했다. 단일 콘솔은 물론 전 영역에서 지능형 보안 위협을 탐지하고 위협 중요도에 따라 해결 우선 순위를 결정해 보다 효과적인 보안 위협 대응 능력을 제공한다.
시냅스(Synapse) 기능으로 보안 이벤트 정보에 대한 위협 우선 순위를 알려주고 시닉(Cynic) 기능으로 가상 샌드박스 환경에서 분석을 통해 알려지지 않은 악성코드와 지능형 위협을 신속히 탐지한다.
약 30년의 보안 정보가 축적된 시만텍 글로벌 인텔리전스 네트워크(Global Intelligence Network·GIN), 즉 빅데이터를 통해 어떤 위협이 가장 큰 위협을 가지고 있는지 보다 정확한 내용과 시각 정보들을 보여준다.
지난 26일 시만텍 기자간담회 자리에서 윤광택 시만텍 상무가 시만텍 ATP 통합대응 솔루션을 시연했는데 악성코드 상세 정보 대시보드를 통해 최초 발견과 활동 내역, 악성코드에 대한 통합 정보를 확인할 수 있었다. 또 클릭 몇 번으로 엔드포인트 단이나 네트워크 단 등 모든 영역에서 즉각적으로 차단이 가능하도록 정책을 변경했다.
악성코드가 발견돼 샌드박스에 돌려보고 이 결과에 대해 백신업체에 차단을 요청하는 동안 악성코드는 네트워크를 지나 엔드포인트에서 공격을 진행하는데 이러한 시간 관리의 어려움을 효과적으로 처리가 가능했다.
특히 심플한 GUI 디자인으로 한 눈에 쉽게 확인 가능한 점과 DMZ내 웹 서버 공격을 탐지해 멀티플 공격을 받고 있는지, 어떤 공격을 하고 있는지, 대시보드를 통해 한 눈에 보여주는 장점 등이 있었다.
박희범 시만텍 대표는 “ATP 솔루션 선택시 네트워크과 이메일, 엔드포인트를 모두 커버하는지, 위험도에 따라 대응 우선순위를 자동으로 제공하는지, 침투한 위협에 대해 엔드포인트 단에서 즉각 조치가 이뤄지는지, 오탐과 과탐은 얼마나 되는지, 중복투자는 최소화 하는지 등을 고려해야 한다”고 조언했다.
한편 시만텍은 2016년 통합 APT 보안과 차세대 엔드포인트 보안, 원격보안관제 등에 주력하고 보안인력이 부족한 중견기업 대상으로 통합보안 서비스 구축에도 집중할 방침이다.
