웹센스, APT 공격 ‘샌드박스’ 하나면 ‘OK’ 맹신 버려라
2013-11-18 이광재 기자
지능형 사이버 공격(APT) 및 데이터 유출 방지 기업인 웹센스(Websense)가 타깃형 킬 체인 위협의 모든 단계를 방어하는 '트리톤(TRITON)7.8'을 출시하고 국내 시장 공략에 나섰다.
트리톤7.8은 지능형 분류 엔진(Advanced Classification Engine, ACE)을 기반으로 샌드박스(ThreatScope)와 데이터 유출방지(DLP) 기능까지 탑재한 제품이다.
ACE는 트리톤 제품에 실시간 보안 등급을 제공하며 ACE의 8개 평가 영역과 고유의 종합 점수 체계의 기능은 트리톤 솔루션이 타 보안 솔루션들이 놓친 위협을 감지하게 한다. 또한 예측 보안 엔진은 새로운 위협의 동향을 확인할 수 있고 정확도를 보장하고 회피 기술에 대응하기 위해 상황 인식 평가를 사용한다. ACE는 1만개 이상의 분석방법으로 효과적인 의사 결정을 위한 상세한 검사와 종합 점수 체계를 제공한다.
특히 트라이톤7.8에는 확장된 '쓰렛스코프(ThreatScope)' 인라인 샌드박싱, 데이터 유출 방지를 위한 멀웨어 격리, 최종 사용자 피싱 교육 등과 같은 지능형 위협 방어 기술과 새로운 보급형 플랫폼 지원이 포함돼 있다.
이 솔루션은 실시간으로 위협을 차단하는 'ACE엔진'과 글로벌 보안 연구소 '시큐리티 랩스', 엔드포인트단에서 수십억개의 콘텐츠를 분석해 위협을 탐지하는 허니팟인 '인텔리전스 클라우드'가 서로 유기적으로 통합해 전방위 보호시스템을 제공한다.
이를 통해 외부로부터의 공격을 막는 것은 물론 데이터가 외부로 유출되는 것까지 차단할 수 있다는 것.
토마스 추앙 웹센스 아태지역 총괄 테크니컬 매니저<사진>는 "전세계적으로 샌드박스 기술이 APT 공격 대응 솔루션으로 지목되고 있으나 샌드박스만으로는 부족하다"며 "샌드박스 기술을 APT에 적용할 경우 오탐·미탐으로 인해 '사후약방문'이 될 가능성이 높고 특히 암호화된 패킷(SSL), 모바일 기기 보호가 힘든 것도 문제가 될 수 있다"고 지적했다.
또한 그는 "모바일 사용자를 보호할 수 없고 해커는 하드웨어, 주변 환경, 사용 애플리케이션 또는 네트워크 특성에 따라 샌드박스를 식별 후 우회할 수 있다"고 덧붙였다.
최근 등장한 악성코드는 샌드박스 환경을 인식하거나 특정 시간에 동작하는 이른바 '시한폭탄(타임밤)'의 형태를 가지고 있어 샌드박스 기반 솔루션으로는 대응이 힘들다는 것이 업계의 평이다.
이에 웹센스는 사용자가 정찰, 희생자 유인, 웹 트래픽의 리다이렉트, 취약점 공격 킷 실행, 드로퍼 파일 설치, 콜홈, 데이터 탈취로 이어지는 7단계에 걸쳐 보안을 강화해야 한다고 강조했다.
추앙 매니저는 "내부로 들어오는 공격을 비롯해 아웃바운드 콘텐츠 탐지와 점수체계에 기반한 엔진으로 실시간으로 위협을 탐지할 수 있다"며 "9억개 이상의 엔드포인트의 정보를 비롯해 1000만개 이상의 페이스북 게시물, 이메일 등을 분석하는 위협탐색 인텔리전스 클라우드로 모든 단계를 차단할 수 있다"고 말했다.
웹센스도 샌드박스에 대한 맹점을 지적하면서도 이번 트리톤7.8에 에 샌드박스 기술을 추가로 탑재했다. 쓰렛스코프로 불리는 이 기능은 웹 파일과 이메일 파일에 대한 샌드박싱을 제공한다.
쓰렛스코프는 ACE 내에서 행위 기반의 샌드박싱과 포렌식 리포트를 위해 자동으로 파일을 차단하는 추가 기능을 제공한다. 조직은 온디멘드(on demand) 샌드박스에 수동으로 파일을 업로드 할 수 있고 클라우드 기반 URL 분석 서비스에 링크를 입력할 수 있다. 각각의 작업은 포렌식 조사와 위협 최소화를 위한 세부적인 보고서를 생성한다. 또한 이메일 URL 샌드박싱을 통해 추가적인 정밀 조사가 필요한 의심스러운 이메일 링크를 식별한다. 클릭 시점(이메일 수신 후 기간에 상관없이)에서 실시간으로 링크도 분석한다.
추앙 매니저는 "쓰렛스코프는 일반적인 보안솔루션을 우회할 수 있는 방법조차 차단할 수 있는 웹센스의 기술"이라며 "쓰렛스코프는 독자적으로 판단하는 것이 아닌 ACE의 '배심원' 중 하나이기 때문에 '알려지지 않은 위협'에 대한 정확한 판단을 내릴 수 있다"고 밝혔다.
한편 웹센스는 피싱을 사전에 예방할 수 있는 교육도 진행한다. 웹센스의 제품을 사용하는 기업들은 웹센스의 피싱 교육과 프로파일링 등을 제공받을 수 있다.
이상혁 웹센스코리아 지사장은 "어떠한 솔루션들도 지능형 킬 체인 전 단계를 아우르는 광범위한 방어 체계를 제공하지 못하고 있다"며 "이러한 불완전한 보안 솔루션에 의존하는 조직들은 위협에 취약할 수밖에 없지만 트리톤은 다른 업체들이 놓치는 사이버 공격들에 대해 포괄적인 보안 솔루션을 제공하고 특히 이번에 새롭게 선보인 진보한 기능들은 웹센스의 고객들이 보안 방어 시스템을 강화할 수 있는 중요한 계기가 될 것"이라고 말했다.