이 시각 주요 뉴스

여백

보안업계, ‘머신러닝·화이트리스트’ 기술에 홀리다!

‘랜섬웨어’ 증가 반면 잡아내지 못해…AV 보완책 ‘필요’ 김혜진 기자l승인2016.11.22 09:00:35l수정2016.11.22 09:48

크게

작게

메일

인쇄

신고

차세대 엔드포인트 보안 시장, 향후 5년간 연평균 67% 성장 전망최근 보안업계가 안티바이러스(Anti-Vairus, AV)를 보완해줄 기술에 눈독들이기 시작했다. 해커들의 치밀해지는 공격에 대표적인 엔드포인트 보안으로 군림하던 ‘AV’가 무용지물로 전락했다는 소식이다. 보안업계에서 크게 주목받는 ‘머신러닝’과 ‘화이트리스트’에 대해 면밀히 알아본다.

클라우드, IoT(Internet of Things) 등의 이슈에 따라 엔드포인트 단 보안의 중요성이 커지고 있다.

각종 엔드포인트 기기의 활용성이 높아지는 반면 완벽한 보안이란 없다는 지론 아래 해커들의 공격은 더욱 지능화되고 교묘해져가고 있기 때문이다.

더욱이 현재 암시장에서 악성코드를 유포하는 툴들이 해커들로부터 판매되며 보다 쉬운 악성코드 유포 환경을 제공하고 있어 완벽한 보안을 위한 경계심은 한층 높아지고 있다.

▲ 엔드포인트 보안 시장 전망.(출처: 마켓앤마켓)

이에 엔드포인트 보안 시장은 빠르게 커져가는 추세다. 글로벌 시장조사기관인 마켓앤마켓에 따르면 엔드포인트 보안 시장의 가치는 연간 8.4% 성장해 2015년 11.62억달러에서 2020년 17.38억달러에 이를 전망이다.

악성코드의 성장은 무척 빠르다. 시만텍에서 최근 공개한 보고서에 따르면 2015년 한해 4억3000만개의 신규 악성코드가 발견, 매일 약 118만개의 악성코드를 발생중인 것으로 알려졌다. 그만큼 전문 사이버 범죄자들이 막대한 리소스를 이용해 보안 체계를 무력화시키거나 기업 네트워크에 침투하기 위한 방법을 꾀하고 있는 것이다.

특히 이러한 악성코드 유포 기법으로 랜섬웨어가 가장 유명하다. APT 공격 기법과 결합해 한층 지능화된 형태로 공격을 감행, 보안 장치의 방어 기술을 우회함으로써 신·변종 형태로 지속 등장해 큰 위협을 제공한다.

▲ 랜섬웨어 신규패밀리 비율.(출처: 시만텍)

문제는 이렇듯 치밀하고 거센 공격이 날마다 늘어가는 가운데 기존 보안 장치로 막아내기 더욱 어려워졌다는 것이다. 엔드포인트 보안에 있어 가장 대표적인 보안으로 손꼽히던 ‘AV’가 대표적이다.

신종 및 변종 바이러스들이 판을 치는 가운데 솔루션 특성상 막아내기 어려워 ‘무용지물’이라는 말까지 얻었다. 대다수 보안 전문가들은 AV만으로 보안을 유지하기란 어려울 것이라고 입을 모은다.

이에 신종 및 변종 악성코드에 대응할 수 있는 차세대 엔드포인트 보안 솔루션이 새롭게 떠오르고 있다.

AV, ‘무용지물’인데 놓아서도 안돼…왜?

엔드포인트 보안에 있어 가장 대표적이었던 AV가 무용지물이라는 평을 듣기 시작한 것은 신종 및 변종 악성코드가 대거 등장하면서부터다.

악성코드는 매우 빠르게 성장했다. 이전과 달리 하루 평균 33만개 이상을 생성, 많은 양을 유포할 수 있을 정도로 쉽고 빠른 환경 아래 백도어(Backdoor), 루트킷(Rootkits), 트로이 목마(Trojan horses), 봇(Bot) 등 보다 정교하면서도 효과적인 공격을 행하고 있다.

그중에서도 가장 대표적인 공격이 랜섬웨어인데, 이는 AV가 방어할 수 없는 대표적 상대다. AV의 특성상 어찌됐든 단 한번이라도 악성코드의 유입을 받아들일 수밖에 없는데 랜섬웨어의 제작자들이 AV의 패턴을 변형시켜 중복되지 않는 랜섬웨어를 유포하기 때문이다.

이러한 이유에서 실제 업계 관계자들은 최근 상당수의 업체 웹사이트에서 파이어아이, 팔로알토 등 글로벌 유명 보안 업체의 보안 솔루션을 사용했음에도 불구하고 이를 막아내지 못하고 있다고 밝혔다.

현재 가장 위협적인 랜섬웨어는 ‘케르베르(Cerber)’다. 통칭 ‘말하는 랜섬웨어’인 케르베르는 감염 시스템 파일을 암호화하고 이를 음성으로 피해자에게 안내해 비트코인을 요구한다.

이 랜섬웨어는 빠르게 확산되며 한해 약 230만달러의 높은 수익을 올리는 것으로 알려졌다.

팔로알토측 관계자는 지난 10월12일 열린 ‘사이버 공격 선제방어와 랜섬웨어 대응 전략 세미나’를 통해 “케르베르의 경우 개발조직과 공격조직이 나눠져 있어 변종이 많고 특정 조직에 특화된 타깃 공격도 가능, AV와 같은 시그니처 기반 방어 솔루션으로는 막을 수 없다”고 전했다.

하지만 그렇다고 해서 AV 제품이 불필요하다는 것은 아니다. AV 제품은 기본적으로 잘 알려진 악성코드를 막아내는데 탁월한 능력을 보인다. 시그니처에 의한 탐지 엔진은 탐지 능력에 있어 높은 정확성을 가졌다.

물론 ‘시그니처를 만들어 제공해야만 탐지할 수 있다’는 제약사항, 상대적으로 느린 신종 및 변종 악성코드 대응 등의 단점은 존재한다.

그러나 윤광택 시만텍 상무는 “기존에 가진 시그니처 기반의 백신을 제거하고 현재의 엔드포인트 솔루션만으로도 충분한 탐지 능력을 갖출 수 있는지를 질문해본다면 AV를 무용지물로 표현하기 어려울 것”이라고 말했다.

이어 “현재 이러한 제약 사항을 보완하기 위해 여러 가지 새로운 기술들의 도입 이뤄지고 있다”며 “기존의 시그니처에 의한 탐지 엔진을 사용하는 경우 설정과 지움(setup and forget)이라는 명제 하에 잊고 있어도 전혀 문제가 되지 않지만 새롭게 기존 엔진을 보완하는 차세대 엔진 등은 오탐지 또는 탐지된 내용에 대한 오탐지 여부 등을 더 요구할 수 있을 것”이라고 덧붙여 설명했다.

대다수 업체들도 AV의 사용은 불가피하며 AV를 뚫고 들어오는 악성코드를 막기 위한 보완 제품이 필요한 상황이라고 밝혔다.

떠오르는 머신러닝·화이트리스트…“부족함 메운다!”

최근 이러한 AV를 보완할 수 있는 기술 및 기법으로 떠오르는 것이 ‘머신러닝(Machine Learning)’과 ‘화이트리스트(Whitelist)’다. 머신러닝은 보다 정확한 예측분석으로 보안위협의 탐지 정확도를 높이고 화이트리스트는 외부에서 들어오는 악성코드 파일을 애초에 차단해 보안성을 높인다.

기존 탐지 기술이 시그니처(signature)를 활용하는 반면 머신러닝은 시그니처에 의존하지 않고 머신러닝 알고리즘을 사용한다. 이에 시그니처리스(signatureless) 탐지 기술이라고도 알려졌다.

이를 이용한 탐지·대응 기술 중 사용자 행위분석(UBA)과 네트워크 행위 분석(NBA)이 주목받고 있다.

▲ 차세대 엔드포인트 보안 시장 성장 추정치.(출처: EMA, 차세대 엔드포인트 보안 시장 크기와 전망 2016-2020)

이에 대표되는 기업이 사일런스(Cylance)다. 글로벌 성장률 140%에 달하는 수치로 차세대 엔드포인트 보안 시장에서 급격히 떠오른 사일런스는 순수 머신러닝 기술을 기반으로 보안을 제공, 악성코드의 실행 전 공격을 중단시키는 방식으로 효과적 대응을 지원한다.

현재 아태지역에 지사를 두고 일본과 호주 시장에서 성공적인 입지를 세워가고 있다.

▲ 라이선스 판매 기준 차세대 엔드포인트 보안 제공 업체 순위.

사일런스의 대표 제품은 ‘사일런스 프로텍트(CylancePROTECT)’다.

브라이언 게일(Bryan Gale) 사이랜스 프로덕트 마케팅 부사장(VP)은 “사이버보안에 대한 위협은 갈수록 복잡해지고 위험해지고 있어 이에 효율적으로 방어하기 위해 새로운 위협을 지속적으로 분석 및 예측하고 수학적 모델을 새로이 창조해야할 필요가 있다”며 “머신러닝은 이렇듯 변화무쌍한 공격 기술에 앞서 반응하기 위한 기술로, 보안과 접목해 탁월한 효과를 보인다”고 강조했다.

화이트리스트는 블랙리스트(Black List)와 반대되는 개념이다. 스팸 메일, 악성 코드를 유포하는 IP 주소, 피싱을 조장하는 허위 사이트 등을 데이터베이스(DB)로 만들어낸 블랙리스트와 달리 리스트에 등록된 프로세스들만 동작하도록 하고 리스트에 없는 프로그램의 실행을 거부해 악성코드의 유입을 막는다.

사실 머신러닝과 화이트리스트는 신기술이 아니다. 특히 화이트리스트의 경우 지난날 보안정책 적용의 편리성을 위해 알려진 바 있다.

▲ 라이선스 판매 기준 톱5 업체 시장 점유율.

당시 관리자가 직접 문서의 보안성을 확인하고 리스트를 작업해야 한다는 ‘복잡성’과 이로 인한 ‘업무 효율성 저하’ 등의 이유로 사용이 거부돼왔지만 오늘날 기존 수작업으로 이뤄지던 검증·분석 업무들의 자동화 등 단점을 개선하기 위한 노력들이 더해지고 높은 보안성의 필요성이 요구됨에 따라 다시 이슈되고 있다.

이에 대표되는 기업이 카본블랙(CarbonBlack)이다. 순수 화이트리스트 기반 보안 기업은 아니지만 지난날 화이트리스트 기반 보안 기술을 제공하는 비트나인을 인수하며 관련 솔루션을 출시, 사일런스와 함께 차세대 엔드포인트 보안 시장의 대표 기업으로 불리고 있다.

국내 카본블랙의 제품을 공급하는 인섹시큐리티의 김종광 대표는 “최근 글로벌 보안 업체의 솔루션을 사용중임에도 불구하고 랜섬웨어로 인해 피해를 입는 사이트가 급증하고 있다”며 “카본블랙의 지속 성장은 보안 위협 상황 발생 후에 치료가 아닌 실시간 악성코드 탐지 및 대응 전략이 시장에서 주효하게 받아들여지고 있다는 증거로 볼 수 있으며 랜섬웨어로부터 자산을 지키고 싶다면 카본블랙의 제품과 같은 화이트리스트 기반 제품을 사용해야 할 것”이라고 밝혔다.

현재 두 기업 외에도 시만텍, 팔로알토, 이셋코리아 등 많은 기업들이 이러한 기술을 기반으로 차세대 엔드포인트 보안 시장을 노리고 있다. 기술을 보유하지 않은 기업의 경우 카본블랙처럼 기업을 인수하는 과정을 통해 시장을 적극 공략중이다. 시장 상황상 기존 엔드포인트 보안 시장은 포화단계에 이르러 성장을 멈춘 지 오래이기 때문이다.

완벽한 보안이란 없다! 기술 한계 ‘명확’…그래도 ‘차세대 보안’ 갖춰야

머신러닝과 화이트리스트의 사용이 완벽한 보안을 제공하는 것은 아니다. 세상에 완벽한 보안이란 없다. 이들 기술도 명확히 한계를 갖는다.

일단 머신러닝과 화이트리스트는 정상적인 코드의 업그레이드 버전과 악성으로 변형된 버전을 구분하지 못한다.

머신러닝의 경우 새로운 샘플 추가 시 기존에 정상으로 처리하던 코드나 행위들을 비정상으로 처리하는 등의 오진을 해결하기 위해 더욱 많은 작업을 필요로 할 수 있다.

더욱이 이러한 오진이 탐지하지 못했을 때보다 더 많은 피해를 초래할지도 모른다.

화이트리스트의 경우 사용 환경에 많은 영향을 받는 만큼 환경에 따른 커스터마이징을 필수적으로 해야 한다. 또 사용 환경의 변화 및 SW의 업데이트 발생 시 리스트의 수정도 불가피하다.

하지만 이러한 단점 또는 완벽하지 못한 차단으로 보안하지 않아도 된다는 것은 아니다.

언제나 그렇듯 최대한의 보안을 갖춰야 하며 이는 진화하는 해킹 기술처럼 보다 진화된 보안기술로 가능하다.

업계에 따르면 차세대 엔드포인트 보안 시장은 지난 2년간 2배의 성장을 이뤘다. 이후에도 높은 성장률을 보이며 시장의 크기를 더욱 키워나갈 것으로 전망되고 있다. 향후 5년은 연평균 67%의 성장률을 보일 것이라는 예측이다.

대다수 업계 관계자들은 머신러닝과 화이트리스트 기술과 기존 AV 제품을 함께 사용하길 권장, 그 어떤 제품에 전적으로 의존하지 않아야 하며 어떠한 기술이든 전문가와 함께 해야 한다고 강조했다.

카본블랙 엔터프라이즈 제품군

카본블랙 엔터프라이즈 프로텍션(CarbonBlack Enterprise Protection)과 카본블랙 엔터프라이즈 리스폰스(Carbon Black Enterprise Response)로 구성됐다.

카본블랙 엔터프라이즈 프로텍션은 화이트리스트 기반 실시간 악성코드탐지 솔루션이다. 리스트 목록의 모든 행위를 모니터링할 수 있으며 기기 접근 및 실행되는 파일들을 목록과 비교해 접근제어, 실행차단, 감사추적에 사용할 수 있도록 한다.

카본블랙 엔터프라이즈 리스폰스는 카본블랙 센서(Carbon Black Sensor)를 통해 엔드포인트 단 모든 프로세스의 행위를 모니터링, 기록 및 추적해 실시간 악성코드 탐지 및 신속한 대응을 지원하는 솔루션이다. 머신러닝 기술을 적용해 실시간 보안업체별 피드값을 프로세스별 우선순위로 분류하고 해시값을 기준으로 순위를 매김으로써 침해사고에 대한 분석 보고를 돕는다.

사일런스 프로텍트

사일런스 프로텍트(Cylance Protect)는 머신러닝 알고리즘과 기계학습을 통해 알려지지 않은 악성코드를 막아낸다.

악의적인 또는 안전한 10억개 이상의 파일에서부터 700만개 이상의 특정 파일을 추출하고 분석해 높은 정확률로 정상적인 혹은 비정상적인 파일을 구분함으로써 알려지거나 알려지지 않은 사이버공격으로부터 보호한다.

제품의 특징은 크게 세 가지다. ▲알려지지 않은 멀웨어 공격 차단을 지원하는 높은 검출율 ▲멀웨어 실행 전 시그니처 없이 분석해 차단 가능 ▲패턴 파일을 필요로 하지 않는 클라우드 환경에서의 중앙관리 및 다양한 고객 환경 지원이다.

클라우드 기반 관리 시스템으로 제공돼 관리자의 운영상 책임 문제를 덜어주며 정기적인 패턴 파일의 업데이트도 필요로 하지 않는다.

팔로알토 트랩스

트랩스(Traps)는 취약점 악용 공격과 제로데이 악성코드를 엔드포인트에 설치해 지능형 표적공격의 시도를 탐지하고 차단한다. 익스플로잇 및 알려지지 않은 위협 활동을 중지·격리·제거하는 기능을 제공한다.

이 제품의 강점은 크게 두 가지다. 샌드박스로 통하는 클라우드 기반 지능형지속위협(ATP) 대응 솔루션인 ‘와일드파이어’를 제공해 별도의 샌드박스를 필요로 하지 않으며 머신러닝 기반 정적 분석 기능으로 파일에 담긴 수백개의 문자를 검사해 악성 여부를 판별한다.

소프트웨어 개발사가 발행한 실행파일 식별 기능도 지원한다. 일종의 화이트리스트 기능으로 신뢰된 공급자의 실행파일을 자동 실행시켜 불필요한 분석을 줄인다. 패턴 라이브 업데이트도 필요로 하지 않는다.

시만텍 엔드포인트 프로텍션

SEP(Symantec Endpoint Protection)는 변종 악성코드와 제로데이 위협을 빠르게 차단할 수 있도록 돕는다.

머신러닝 기술을 적용해 실시간 비정상적인 행위 차단 및 표적 공격 중지를 지원한다는 점이 강점이다. 네트워크, 파일, 평판, 행동, 복구 5단계에 걸친 보호 기능으로 표적 공격 및 지능형 공격을 차단한다.

이 솔루션은 시만텍의 통합 글로벌 인텔리전스를 기반으로 리스크 노출을 최소화하는 한편 공격을 빠르게 발견하고 우선순위를 정해 효과적으로 대응한다. 또 성능 저하를 일으키지 않는 보호 활동과 낮은 오탐율을 통해 기업의 생산성 유지를 돕는다.

김혜진 기자  hyejin22@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

김혜진 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .