팔로알토네트웍스, 국내 APT 시장 공략 본격화
상태바
팔로알토네트웍스, 국내 APT 시장 공략 본격화
  • 이광재 기자
  • 승인 2014.07.14 17:43
  • 댓글 0
이 기사를 공유합니다

‘와일드파이어(WildFire)’, 외부 공격으로부터 ‘제로 아워’ 구현

팔로알토네트웍스코리아(지사장 박희범)가 국내 APT 시장 공략을 본격화 한다.

팔로알토네트웍스 최근 보안 트렌드와 APT 대응 솔루션 시장에 대해 소개하는 자리를 갖고 현재 APT 대응 솔루션 시장이 많은 관심을 받고 있지만 APT에 대한 인식이 낮고 솔루션에 대한 정확한 정의도 없으며 대응 기술도 업체마다 달라 시장에서 혼란이 가중되고 있다고 지적했다.

박희범 팔로알토네트웍스코리아 지사장은 이 날 보안에는 ▲차세대 보안(방화벽) ▲APT 대응 솔루션 등 크게 2가지 트렌드가 있다고 소개하고 차세대 보안은 팔로알토네트웍스가 처음 만들었으며 현재는 기존 개별 보안솔루션을 모두 함께 제공하는 차세대 보안 플랫폼을 제공하고 있다고 설명했다.

특히 그는 시장이 개화하면서 포티넷과 체크포인트 등이 주요 경쟁 기업으로 거론되고 있고 후발업체로는 시큐아이닷컴, HP, 델소니월, 시스코 등도 IPS가 사라지면서 차세대 방화벽을 출시했지만 주요 업체들과의 경쟁하기에는 차이가 큰 상황이라고 강조했다.

박 지사장은 APT 대응 솔루션에 대해서 팔로알토네트웍스도 2년 전부터 이 시장에 뛰어들었고 파이어아이, 안랩, 트랜드마이크로 등이 APT 솔루션을 출시하며 80% 이상의 공개 입찰에 참여하고 있다는 전했다. 특히 APT(지능형 지속 위협) 공격의 최종 목표는 농협이나 현대카드 등의 고객 정보나 내부 데이터 유출로 주요 데이터를 팔아서 ‘돈을 벌기 위한 것’이라고 강조했다.

팔로알토네트웍스에 따르면 APT 솔루션은 많은 관심을 받고 있지만 실질적으로 도입은 적게 이루어지고 있고 이는 APT에 대한 인식 부족과 솔루션에 대한 정확한 정의 부재, 대응 기술도 업체마다 다른 데서 오는 혼란 때문이다. 하지만 전체 공격중 1~2% 정도를 차지하는 알려지지 않은 위협에 대응하기 위해 APT 솔루션은 그 필요성이 더욱 강조될 것이라고 회사는 밝혔다.

또한 APT 솔루션의 구성은 주로 3가지 유형이라는 것. 이 중 위협의 감지와 함께 대응이 가능한 형태로 시장이 움직이고 있으며 궁극적으로는 네트워크 단에서의 대응과 엔드포인트 레벨에서의 대응이 통합되는 형태로 갈 것으로 예상되고 있다.

현재 팔로알토네트웍스는 네트워크 단에서 대응하는 형태의 구조를 가지고 있으며 의심스러운 파일을 가상의 샌드박스로 전송 및 분석을 진행해 최대 1시간 내 시그니처를 생성, 배포할 수 있도록 지원하고 있다.

지능형 위협의 단계는 국가 차원 또는 사이버 범죄를 위해 계획된 매우 정교한 지능형 위협의 형태로 대부분의 전통적인 AV 및 IPS에서 처리됐고 복잡하지 않고 변화가 없어 매우 간단하고 쉽게 탐지가 가능했다. 이후 조직화된 사이버 범죄가 진행되면서 보다 정교한 페이로드, 보안 망을 회피하는 해킹 기술이 적용됐으며 샌드박스 및 기타 지능적인 탐지 방법이 필요해졌다. 최근에는 국가 차원의 공격으로 목적지향적인 공격이 늘어나 지능적인 모니터링이 요구됐으며 이에 보다 효과적인 대응을 위해 매우 유기적인 대응이 필요해졌다.

팔로알토네트웍스는 APT 시장을 부각시킨 계기로 ‘스턱스넷’을 꼽았다. 스턱스넷(Stuxnet)은미국이나 이스라엘이 개발한 것으로 추측되며 이란 핵 시설 공격을 목표로 한 것으로 알렸다. 스턱스넷은 주로 USB 저장장치를 통해 내부로 침투, MS 운영체제를 사용하는 시스템과 네트워크, 그리고 지멘스 스템7 소프트웨어로 동작하는 인더스트리얼 PLC 등을 대상으로 했다.

침투 이후엔 네트워크를 검색해 공격 대상을 찾고 조건이 맞으면 대상에 감염 루트킷을 전달해 예기치 않은 장애를 일으키는 형태로 동작했다.

공원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설중 지멘스의 산업자동화제어시스템에 침투해 오작동을 일으키거나 시스템을 마비시킬 수 있다. 2010년 7월 동남아 지역에서 처음으로 발견된 뒤 이란 부셰르 원전과 관련된 컴퓨터 3만대와 중국의 주요 사회간접자본시설(SOC)까지 감염시켰다.

▲ 사이버 공격 킬체인(Kill Chain)

팔로알토네트웍스는 사이버 공격의 단계인 ‘킬체인’이 크게 5단계로 구성돼 있다고 설명했다.

즉 ▲정보 수집에서부터 ▲익스플로잇(취약점 공격) ▲멀웨어 전달(악의적인 파일 전달) ▲C2/C&C(지령을 받은 멀웨어가 공격자와 커뮤니케이션해 정보를 유출) ▲데이터 유출(고 부가가치의 지적 재산 유출)의 단계로 진행된다. 이러한 공격을 통해 내부 정보를 빼내는 작업은 하루에 100~200개씩 조금씩 빼내 최종적으로는 대량의 데이터를 유출시킨다.
또 ‘제로데이 공격’ 대응 측면에서 보안 업체의 과제는 제로데이 멜웨어 샘플 발견부터 이에 대응하는 시그니처의 배포에 이르기까지의 무방비 상태를 최대한 줄이는 것이라고 회사는 지적했다. 보통 내부 감염에 대한 이상 증상을 인지하고 샘플 발견, 확인후 시그니처를 만들고 업데이트에 이르는 시간을 ‘제로데이’라고 하며 최근에는 이를 ‘시간’ 단위까지 줄여내고 있기도 하다는 것.

이와 함께 모든 공격을 크게 둘로 나누면 ‘알려진’, 그리고 ‘알려지지 않은’ 공격으로 나뉜다고 팔로알토네트웍스는 밝혔다. 99% 가까운 공격은 이미 알려진 공격이며 이는 기존 방화벽, IPS, 시그니처 기반의 안티바이러스 솔루션, URL 필터링 등 기존 솔루션으로 탐지와 대응이 가능하다. 하지만 APT, 신종 멀웨어 등 알려지지 않은 공격들을 대응 시그니처가 나오지 않은 알려지지 않은 상태에서도 대응, 해결해야 할 필요성이 제기되면서 APT 대응 솔루션들이 주목받고 있다.

이창빈 팔로알토네트웍스 이사는 “APT 솔루션 시장은 아직 초창기 시장으로 APT를 둘러싼 요란한 시장 분위기 및 APT가 가지는 기업 환경에의 위협에 비해 비교적 시장 규모는 작다”며 “아직도 APT에 대한 인식이 낮고 APT 솔루션에 대한 정확한 정의가 없어 혼란이 가중되고 있기 때문“이라고 설명했다.

또한 그는 APT 대응 솔루션이 멜웨어와 일반 데이터를 구분해 모니터링중 의심가는 부분이 있다면 이를 샌드박스를 통해 행위기반 분석, 대응하게 되고 이런 APT 솔루션은 크게 3가지의 구성 방법이 사용되고 있다고 소개했다.

우선 기존 네트워크에 샌드박스를 붙이는 방식으로 게이트웨이 단에서 보안 솔루션을 설치해 문제가 있는 패턴을 보이는 것들을 리포트로 작성해 사용자에게 전송하고 문제가 있는 시스템에 대해 관리자가 직접 대응해야 해야 한다. 즉 탐지는 하는데 직접 판단은 못하는 것. 중요도에 따라 리포트를 제공해 관리자가 선별이 가능하며 방어하는 매커니즘이 거의 없다.

또한 추가적인 대응 솔루션 탑재 방식으로 행위기반의 분석을 통해 멀웨어라고 판단이 되면 문제가 있는 시스템을 직접 안티바이러스 기능들을 제공하는 것이다.

마지막으로 네트위크 장비내 방어 보안 솔루션을 탑재하는 방식으로 리포트를 관리자에게 전송하고 이 리포트를 가지고 네트워크에서 바로 직접 차단(팔로알토네트웍스 와일드파이어)한다. 따라서 감염이 됐어도 필요에 따라 네트워크단에서 직접 차단해 유출을 막기에 APT 솔루션의 매커니즘이 조금 다른 차원이다.

이창빈 이사는 “이들 구성 방법 중 방어 기제가 없는 첫 번째 구성 방식의 경우 직접 대응해야 된다는 점이 단점이 되고 향후에는 방어 기제가 포함된 두 번째와 세 번째 구성 방법이 서로의 장점을 가지고 통합되는 형태가 될 것으로 예상된다”며 “실제 많은 업체들이 이런 형태로의 포트폴리오를 갖추기 위해 해당되는 기술을 가진 솔루션 업체들을 인수하는 등의 움직임도 보이고 있다”고 말했다.
▲ 가상화 환경을 이용한 ‘와일드파이어’ 기술

이러한 가운데 팔로알토네트웍스는 가상화 환경을 기반으로 악성코드를 실시간으로 탐지하고 제어할 수 있는 APT 대응 솔루션인 ‘와일드파이어(WildFire)’를 제공하고 있다고 밝혔다.

와일드파이어는 의심스러운 파일을 가상의 샌드박스로 전송 및 행위기반 분석을 진행하며 악성코드로 최종 확인되는 경우 30분 내에 해당 악성코드를 탐지 및 차단할 수 있는 시그니처를 자동 생성해 상세한 분석 리포트와 함께 고객사에 배포할 수 있어 보안 담당자의 업무를 획기적으로 줄여 줄 수 있다는 것이 회사측의 설명이다.

또한 팔로알토네트웍스는 와일드파이어의 경우 외부 공격으로부터 ‘제로 아워(hour)’를 구현해 퍼블릭 클라우드나 사설 클라우드 보안이 모두 가능하다고 밝혔다.

팔로알토네트웍스는 와일드파이어 국내 고객이 20곳 정도로 와일드파이어는 라이선스 형태로 제공돼 APT 보안뿐만 아니라 차세대 방화벽까지 모두 제공, 일반적인 보안 위협은 물론 탐지하기 어려운 APT, 신종 멀웨어까지 알려진 또는 알려지지 않은 공격에 모두 대응이 가능하다고 강조했다.




댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.