체크포인트, APT 대응 보안 비즈니스 집중
2013-04-05 이광재
체크포인트코리아(대표 박성복)가 클라우드 기반 악성코드 탐지 인프라 '쓰렛 클라우드'와 악성코드가 포함된 문서를 탐지하는 '쓰렛 에뮬레이션', 그리고 안티봇 솔루션을 기반으로 해 올해 지능형지속가능위협(APT) 비즈니스에 집중키로 했다.
박성복 체크포인트코리아 지사장은 "지난 3·20 사고는 이미 1년 전 발견된 '다크서울'이라는 악성코드와 유사한 것으로 보인다"며 "이처럼 대부분의 APT 공격은 이미 알려진 악성코드나 변종 악성코드를 이용하고 있어 기존의 악성코드와 변형 공격을 탐지·차단할 수 있는 데이터베이스가 APT 방어를 위해 필수"라고 밝혔다.
체크포인트 안티봇(Anti-bot) 소프트웨어 블레이드는 봇(Bot) 공격과 지능형 지속가능위협(APT : Advanced Persistent Threats) 공격을 막을 수 있는 보안 솔루션이다. 또한 고객들이 봇을 발견하고 감염된 호스트와 원격 작동자 간의 커뮤니케이션을 차단함으로써 피해를 예방할 수 있으며 이 솔루션은 모든 체크포인트 게이트웨이에 통합돼 멀티레이어에 걸쳐 봇을 차단할 수 있다는 것이 회사측의 설명이다.
박 지사장은 "안티봇 소프트웨어 블레이드는 기업들이 미래 위협을 탐지하고 치유하고 예방할 수 있는 첨단 기술을 이용함으로써 봇 공격을 멈추도록 설됐다"며 "이 솔루션은 모든 게이트웨이에서 트래픽을 분석하고 수백만 개의 발생 유형을 정의하고 봇넷 패턴과 원격 운영 아지트 및 공격 행위 등 다양한 위험 요인들을 상호 연관시켜 봇을 탐지하는 독특한 탐지 엔지인 멀티레이어 쓰렛스펙트(ThreatSpect) 기술을 이용한다"고 말했다.
체크포인트코리아에 따르면 안티봇 소프트웨어 브레이드는 봇이 발견되면 직관적인 대시보드를 통해 재빨리 그들의 위험 수준을 분석할 수 있고 관리자들에게 확장된 포렌식 능력을 통해 감염 여부 조사에 필요한 정보들을 제공한다. 또한 봇의 피해 예방에 초점을 두고 있으며 봇이 보안이나 비즈니스 흐름을 위태롭게 하기 전에 고객들이 재빨리 발견하고 차단하도록 한다.
한편 안티봇 소프트웨어 블레이드는 ▲혁신적 멀티레이어 봇 탐지 ▲사전 예방적 보호 ▲포렌식 및 보고 ▲통합 방지 ▲중앙집중식 관리 등의 기능을 포함하고 있다.
체크포인트는 지난해 클라우드 인프라를 이용해 전세계 악성코드 샘플을 DB화한 '쓰렛 클라우드'를 출시했다.. 이를 통해 알려진 공격이나 변종 공격을 막을 수 있다는 것.
쓰렛클라우드(Threat Cloud)는 사이버범죄에 대항하는 최초의 보안 공유 네트워크로 전세계에 걸쳐 설치된 네트워크 위협 센서들로부터 분석된 데이터를 수집해 보안 게이트웨이와 위협 정보를 공유하며 위협 방어를 위해 2억5000만개 이상의 주소와 450만개의 멀웨어 시그니처 및 30만개의 감염된 사이트 정보를 갖추고 있다. 이를 통해 고객들의 게이트웨이에 직접적으로 위협 업데이트를 제공해 봇, APT(지능형 지속가능위협), 멀웨어 등과 같은 첨단 위협에 대항, 사전예방적인 보안을 가능케 한다고 체크포인트는 밝혔다.
일반적으로 봇이나 다른 진화된 형태의 멀웨어를 활용하는 사이버범죄자들은 공격 성공 가능성을 높이기 위해 다양한 웹사이트와 조직을 목표로 삼는다. 많은 기업들이 각자 따로따로 이러한 보안 위협과 싸우기 때문에 조직 전체에 걸쳐 위협정보를 공유하는 방법을 갖추지 못하고 절반이 넘는 보안 위협들을 감지해내지 못하고 있는 것이 현실이다.
보안 위협들에 한발 앞서고 더욱 강력하고 효과적인 보안을 위해서는 기업 간의 위협 데이터 공유가 필요하다.
박 지사장은 "이에 쓰렛클라우드는 글로벌하게 네트워크화된 혁신적인 위협 센서를 기반으로 탄력적으로 업데이트되며 위협 데이터를 조직과 공유해 최신 멀웨어에 대항한다"고 말했다.
또한 그는 "조직의 네트워크에서 새로운 멀웨어나 봇 위협이 감지되면 멀웨어 식별자는 IP주소, URL, DNS 등을 몇 초 내에 쓰렛클라우드에 보내고 전세계의 보안 담당자와 고객들에게 배포된다"며 "쓰렛클라우드는 다른 보안 게이트웨이와 체크포인트 연구소, 업계 멀웨어 피드들로부터 온 다른 위협 데이터도 포함한다"고 덧붙였다.
이와 함께 체크포인트는 알려지지 않은 익스플로잇 공격과 제로데이 및 타깃 공격으로부터 감염을 방지하는 보안 솔루션으로 '쓰렛 에뮬레이션(Threat Emulation) 소프트웨어 블레이드'를 내놨다.
이 솔루션은 빠르게 의심스러운 파일을 검사하고 악의적인 행위들을 찾아내기 위해 그들이 작동하는 방식을 따라해 봄으로써 네트워크로 침입하려는 멀웨어를 차단해 준다. 또한 새로운 위협이 발견되면 즉각적으로 쓰렛클라우드에 보고해 자동으로 다른 고객과 새롭게 확인된 위협을 공유한다.
오늘날 사이버범죄자들은 탐지를 피하기 위해 다양하고 진화된 기술을 사용한다. 보통 7만개에서 10만개에 이르는 새로운 멀웨어들이 매일 생성되고 유포된다. 기존 보안 솔루션들은 보안 위협이 네트워크를 오염시킨 후 알림을 제공하는 탐지 기능에 초점을 맞추고 있다. 이에 비해 쓰렛 에뮬레이션 기술은 새로운 위협을 차단해 감염되지 않도록 해주며 감염 방지를 통해 감염 복구를 위한 시간과 노력, 스트레스를 없애 준다는 것이 회사측의 설명이다.
더불어 쓰렛 에뮬레이션은 어도비 PDF파일이나 MS 오피스 파일 등의 일반적인 이메일 첨부파일이나 다운로드된 파일들을 면밀히 검사해 위협을 방지해준다. 의심스러운 파일들은 쓰렛 에뮬레이션 샌드박스 안에서 오픈되며 동시에 이상한 시스템 레지스트리 변화나 네트워크 연결 또는 시스템 프로세스 등의 비정상적인 시스템 행동들을 모니터링하고 실시간으로 파일의 행위에 대한 평가를 제공한다.
또 파일이 악성인 것으로 판명되면 게이트웨이에서 바로 차단된다. 새롭게 발견된 시그니처는 즉각적으로 체크포인트 쓰렛클라우드에 공유되고 연결된 개별 게이트웨이들로 전달돼 새로운 멀웨어로부터 자동으로 보호된다.
쓰렛 에뮬레이션은 체크포인트의 멀티레이어 위협 방어 솔루션의 한 부분이다. 체크포인트 소프트웨어 블레이드는 알려진 취약점들의 악용을 방지하는 IPS 소프트웨어 블레이드와 봇 공격을 탐지하고 막아주는 안티봇 소프트웨어 블레이드, 멀웨어에 감염된 파일의 다운로드를 방지하는 안티바이러스 소프트웨어 블레이드 등 다양한 보안 솔루션들을 가지고 있다.
쓰렛 에뮬레이션은 전용 어플라이언스나 클라우드 기반 서비스를 통해 고객에게 유연한 구축 옵션을 제공한다. 에뮬레이션과 보고 기능은 모든 게이트웨이로부터 체크포인트의 관리 콘솔을 이용해 관리할 수 있으며 전용 어플라이언스를 위한 로컬 관리도 가능하다.
박성복 지사장은 "3·20 사고에서도 볼 수 있듯 향후 금융·통신 분야와 같이 대규모 피해를 입힐 수 있는 APT 공격이 성행할 것이고 사회기반시설을 노리는 사이버테러가 일어날 가능성이 높아 APT 대응 솔루션 도입이 시급하다"며 "금융·통신·공공 시장을 강력히 공략하면서 시장 점유율을 높이도록 할 것"이라고 밝혔다.
그는 또 "기존 고객 중 방화벽 기능만 사용하는 경우가 많은데 3·20 사고 이후 APT 대응 솔루션에 관심이 높아진 만큼 기존 고객을 중심으로 적극적인 영업을 전개할 것"이라며 "대규모 APT 공격이 현실화 된 만큼 30% 이상 성장은 자신할 수 있다"고 강조했다.