안랩, ‘3.20 APT 공격’ 관련 APT 대응 솔루션 지원 프로그램 운영
상태바
안랩, ‘3.20 APT 공격’ 관련 APT 대응 솔루션 지원 프로그램 운영
  • 이광재
  • 승인 2013.04.03 00:00
  • 댓글 0
이 기사를 공유합니다

안랩(대표 김홍선, www.ahnlab.com)이 지난 3월20일 발생한 '3.20 APT 공격'과 관련해 고객사를 대상으로 APT(Advanced Persistent Threat, 지능형지속보안위협) 공격 대응을 위한 지원 프로그램을 실시한다고 밝혔다.

 

이번 프로그램은 3.20 APT 공격에 불안해하는 고객은 물론 이번 사태로 국내에서도 심각성이 대두된 APT 공격에 대한 기업의 사전 방지 대책을 지원하기 위한 목적이다.

 

이번 프로그램에서 안랩은 자사의 자산 및 중앙 관리서버(AhnLab Policy Center, 이하 APC 서버) 사용고객 및 다른 희망 고객사에 APT 전문 대응 솔루션인 '트러스와처'를 1개월간 개별적으로 무상 제공한다. 또한 설치한 트러스와처에 대한 관제서비스도 함께 제공(1개월)한다. 참여를 원하는 고객사는 오는 4월30일까지 각 사별 안랩 담당자에게 요청하면 된다.

 

트러스와처는 이번 3.20 APT 공격을 유발한 다수의 신종 악성코드를 사전에 알려진 악성코드의 진단 값인 시그니처 없이 행위기반으로 실시간 진단했다.

 

안랩의 트러스와처는 알려지지 않은 신·변종 악성코드를 가상 머신을 기반으로 행위기반 분석 기술을 이용해 탐지 및 대응한다. 이때 해당 파일의 행위 분석뿐만 아니라 해당 파일의 실행과 관련된 모든 연관 파일에 대한 시그니처 기반 악성 여부, 평판 정보 및 종합적인 행위를 다차원적으로 분석하는 것이 트러스와처의 가장 큰 특징이다.

 

또한 클라우드 기반의 악성코드 분석 시스템 ASD(AhnLab Smart Defense)를 기반으로 알려진 파일 및 알려진 악성코드에 대응하기 때문에 분석 시스템의 성능 부하는 최소화하고 분석 효율성은 극대화했다.

 

특히 최근에는 PDF 파일이나 MS 워드 파일 등에 악성코드를 삽입한 형태의 APT 공격이 증가하고 있는 추세다. 이에 대응하기 위해 안랩 트러스와처는 '동적 콘텐츠 분석 기술 DICA(Dynamic Intelligent Content Analysis)'를 탑재해 문서 파일 등 비실행형 파일(non-PE)을 이용한 교묘한 공격까지 탐지한다.

 

DICA는 안랩의 악성코드 분석 노하우가 반영된 특허 기술로 나날이 고도화되는 APT 공격 대응에 탁월한 성과를 보이고 있다. 또한 올해 초에는 메모리 보호 기능을 우회하는 ROP 공격 탐지 기술까지 적용, 세계 최대의 보안 컨퍼런스 RSA에서 첫 선을 보이며 많은 관심을 받았다.

 

한편 안랩은 공격발생 당일인 3월20일 17시49분 긴급 V3 엔진 업데이트 및 18시40분에 전용백신을 배포하고 25일 고객사를 대상으로 APT 트레이스 스캔(APT Trace Scan)을 제공했다. 또한 25일 기업뿐 아니라 불특정 다수를 대상으로 한 변종악성코드 추가배포 징후를 포착해 주의를 당부했다. 이후 27일 변종에 대비해 PC부팅영역인 MBR(Master Boot Record) 보호를 위한 MBR프로텍터(MBR Protector)를 고객사에게 전달한 데 이어 트러스와처 지원 프로그램 운영을 발표했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.