[CCTV뉴스=이승윤 기자] 카스퍼스키랩에서는 기업이 복잡한 위협에 효과적으로 대응할 있는 Kaspersky Cloud Sandbox라는 서비스를 시작했다고 20일 밝혔다.
클라우드 기반의 이 서비스는 기업이 하드웨어 인프라에 추가 비용 없이 샌드박스를 이용할 수 있다는 장점을 가지고 있으며, Kaspersky 위협 인텔리전스 포털의 일부가 제공돼 서브스크립션 구매 방식으로 이용 가능하다.
또한, 파일 행동에 대한 전체 보고서를 제공해 사용자가 가상 환경에서 의심스러운 파일을 '제거'할 수 있도록 지원하며 기업의 IT 시스템에 안전한 보안 환경을 유지를 위해 사건 대응 및 사이버 보안 포렌식을 효과적으로 수행할 수 있도록 설계되었다.
Kaspersky Cloud Sandbox 세부적인 기능은 다음과 같다.
고급 회피 방지 기술
악성 코드를 유인해 그 위험성과 기능을 밝혀내려면 샌드박스 기술에 고급 회피 방지 기술이 포함돼 있어야 한다. 특정 소프트웨어 환경에서만 실행되도록 개발된 악성 프로그램은 '아무 활동이 없는' 가상 머신에서는 실행되지 않고 대부분 실마리를 남기지 않은 채 자폭할 가능성이 크다. 이를 방지하기 위해 Kaspersky Cloud Sandbox는 Windows 버튼 클릭, 문서 스크롤, 악성 코드가 정체를 스스로 드러내도록 하는 특수 루틴 프로세스를 사용하고 사용자 환경 매개변수를 무작위로 지정하는 등 다양한 에뮬레이션 기법을 적용한다.
로깅 시스템
악성 코드 중 한 조각이라도 파괴적인 활동을 실행하기 시작하면 Kaspersky Cloud Sandbox의 또 다른 혁신적 기술인 로깅 서브시스템이 악성 동작이 확장되지 않도록 차단한다. 예를 들어 어떤 워드 문서에서 컴퓨터 메모리에 문자열을 작성하거나 셸 명령을 실행하거나 페이로드를 드롭하는 등 텍스트 문서에 해당되지 않는 비정상적인 활동이 시작되면 해당 이벤트가 Kaspersky Cloud Security의 로깅 서브시스템에 등록된다. 이 로깅 서브시스템에는 DLL, 레지스트리 키 등록 및 수정, HTTP 및 DNS 요청, 파일 생성, 삭제 및 수정 등의 광범위한 악성 이벤트를 탐지할 수 있는 기능이 있다. 이벤트가 등록된 후에는 고객이 읽을 수 있는 형식의 샌드박스 로그를 비롯해 데이터 그래프와 스크린샷이 포함된 전체 보고서가 사용자에게 제공된다.
탐지 및 사건 대응 성능
Kaspersky Cloud Sandbox의 탐지 성능에는 KSN(Kaspersky Security Network)의 실시간 위협 인텔리전스 빅데이터가 지원되기 때문에 고객은 알려진 위협은 물론 신종 위협까지도 실시간으로 상태 정보를 제공받을 수 있다. 20년간 고도로 정교한 위협과 싸워온 카스퍼스키랩의 위협 연구 경험에서 탄생한 고급 동작 분석 기능에 힘입어 이전에는 발견된 바 없는 악성 개체 또한 효과적으로 탐지할 수 있다.
카스퍼스키랩코리아의 이창훈 지사장은 “Kaspersky Cloud Sandbox는 Kaspersky 위협 인텔리전스 포털 고객에게 제공되는 광범위한 위협 인텔리전스와 결합해 파일 정밀 분석을 위한 독자적인 서비스로 자리 잡고 있으며 사이버 보안 연구원들과 SOC 팀은 이 서비스를 이용해 IT 인프라를 위험에 빠뜨리는 일 없이 파일 동작에 대한 정보를 얻을 수 있을 것”이라고 말했다.
