“현재 악성코드는 하루 평균 33만개 이상 만들어지고 있을 정도로 많은 양을 유출하고 있어 기존 안티바이러스 솔루션만으로는 따라갈 수 없다. 지금의 네트워크를 보안하기 위해서는 조금 귀찮더라도 화이트리스트 기반 제품을 사용해야만 한다”
김종광 인섹시큐리티 대표이사가 화이트리스트 기반 보안 솔루션의 사용을 강조하고 나섰다.
최근 랜섬웨어로 인한 피해 사례가 여럿 보고되고 있다. 문제는 유명 네트워크 보안 솔루션을 보유하고 있었음에도 불구하고 피해를 막을 수 없었다는 점이다.
그는 “많은 기업에서 네트워크 보안을 위해 샌드박스를 통해 악성코드 탐지 및 차단을 시도하고 있다”며 “문제는 샌드박스의 경우 분석 이후에 차단을 시도하는데, 랜섬웨어의 특징상 한 번 내부로 들어오는 순간 악성코드를 감염시켜 피해를 입게 된다는 것”이라고 전했다.
이어 “시중의 안티바이러스 제품의 경우 일반적으로 패턴매칭 방식을 적용하고 있는데, 랜섬웨어는 등록되지 않은 패턴을 만들어내기 때문에 찾아내기가 쉬운 일이 아니다”고 덧붙였다.
즉, 기존 안티바이러스 솔루션만으로 현재 랜섬웨어에 대응하기란 적절치 못하다는 것이다.
이에 최근 머신러닝 또는 화이트리스트를 기반으로 한 엔드포인트 제품 시장이 급격히 떠오르고 있다. 특히 시만텍 등 많은 글로벌 보안 기업에서 화이트리스트 기반 보안 솔루션 제공 업체들을 인수하고 나섰다. 랜섬웨어의 차단을 위해서는 서버외에도 엔드포인트 단의 보안이 요구되는데, 더 이상 패턴 매칭 방식 적용만으로 악성코드의 유입 및 피해사고를 막을 수 없게 됐기 때문이다.
그는 “이전과 다르게 머신러닝이나 화이트리스트를 기반으로 한 솔루션들의 사용이 현재 필요시 되고 있다”며 “화이트리스트 기반 솔루션의 경우 복잡성에 대한 문제가 여전히 남은 상태지만 랜섬웨어로 인해 보다 높은 보안을 위해 도입을 안 할 수 없게 되며 시대적 대세로 떠오르고 있는 중”이라고 강조했다.
화이트리스트는 리스트에 등록된 프로세스들만 동작하도록 하고 리스트에 없는 프로그램의 실행을 거부하는 방식을 의미한다. 덕분에 보다 높은 보안성을 가져갈 수 있으나 관리자가 직접 문서의 보안성을 확인하고 리스트를 작업해야 한다는 점으로 인해 사용이 거부돼왔다.
그는 “이미 해외에선 3년전부터 솔루션을 사용해오며 시장을 넓혀왔다”며 “국내의 경우 금융권을 중심으로 이제 막 시작해나가고 있다. 어드밴스드 엔드포인트 제품 시장 내년부터 본격적으로 열릴 것으로 전망된다”고 언급했다.
인섹시큐리티에서도 최근 국내에 화이트리스트를 기반으로 한 카본블랙의 보안 솔루션 공급에 나섰다. 카본블랙 엔터프라이즈 프로텍션(CarbonBlack Enterprise Protection)이다.
이 솔루션은 근본적으로 악성코드를 차단할 수 있도록 돕는다. 사용자의 PC, 서버 등에서 실행되는 응용프로그램 및 운영체제의 파일의 해시값을 화이트리스트 목록으로 생성한 뒤 목록 없는 파일의 실행을 사전 차단하는 것. 모든 행위에 대한 모니터링, 인터넷 단절 상태에서도 오프라인 정책 적용 가능, 정책 설정 시 로컬·글로벌 단위 구분 적용 등 다양한 특징을 갖췄다. 그중에서도 엔드포인트에서 설치된 에이전트를 강제로 삭제할 수 있으며 타 AV엔진들과 연동해 사용할 수 있다는 점이 가장 큰 강점이다.
그는 “현재 악성코드는 하루 평균 33만개 이상 만들어지고 있을 정도로 많은 양을 유출하고 있어 기존 안티바이러스 솔루션만으로는 따라갈 수 없다”며 “지금의 네트워크를 보안하기 위해서는 조금 귀찮더라도 화이트리스트 기반 제품을 사용해야만 한다”고 피력했다.
