[아이티투데이 성상훈 기자] 최근 보안업체 파이어아이는 지난해 8월에서 9월로 넘어가는 시기에 APT 공격에 대한 빈도가 7배 증가했다는 분석을 내놨다. 국내 사이버 공격에 대한 위협 수준이 날이 갈수록 높아지고 있다는 의미다. 위협 수준만큼 보안 솔루션과 보안 체계도 변화중이다. 

지난달 열린 RSA 2014만 봐도 Bit9, 파이어아이, 맨디언트, 트렌드마이크로 등 글로벌 보안업체들도 엔드포인트 가시성 확보를 위한 대응 솔루션을 선보였다. 국내에서도 지난해 말부터 네트워크 레벨에서 악성코드를 분석하는 솔루션보다 엔드포인트 영역 보안을 강조하는 움직임이 활발해졌다. 국내 대표적인 APT 솔루션을 살펴보고 그 특징을 진단해봤다.

지난해 10월 초 국내 보안관제서비스 기업 인포섹이 미국 보안업체 카운터택(CounterTack)의 엔드포인트 보안솔루션 센티넬(Sentinel)을 도입하면서 엔드포인트레벨 보안을 중심으로 하는 통합 APT 대응 서비스를 론칭했다.

당시 인포섹이 센티넬을 도입한 것은 단순히 행위분석 가능여부가 아닌 모든 공격 구조에 있어서 체계적인 분석이 필요하다는 판단 때문이었다.

APT 공격은 단발성 이벤트로 인해 사고가 발생하는 것이 아니라 사전에 공격 목표를 정하고 침투한 뒤 '장기간' 모니터링을 통해 악성코드를 확산해 정보가 유출되는 일련의 '과정'을 겪는다.

이 과정중에서 가장 최전선에 있는 부분이 엔드포인트 레벨이다. 전체에 대한 행위분석을 위해서라도 엔드포인트 레벨 보안은 중요하고 모든 공격 싸이클 중 단 하나의 포인트만 끊어낼 수 있다면 침투를 막을 수 있다는 것이 인포섹의 보안 전략이다.

인포섹에 따르면 센티넬은 메모리 분석은 물론 운영체제 상에서 발생하는 모든 행위를 수집하는 기능을 갖췄음에도, 용량이 500KB에 불과하다. PC에 영향을 거의 주지 않아 엔드포인트 레벨 보안체계를 구축하기에 용이하다.

이후, 같은달 말 안랩도 실시간 전수검사 분석 대응 솔루션 'MDS엔터프라이즈(MDSE)'를 발표했다. MDSE 역시 엔드포인트 영역 대응 솔루션으로, 알려지지 않은 악성코드 수집이나 이를 분석하고 대응하는 프로세스를 기업 내부에 구축해서 자체 운영이 가능하게끔 만들어졌다.

MDSE가 제품으로 처음 모습을 드러낸건 올해 RSA 2014를 통해서다. MDSE는 기업 등 조직내 수평적으로 퍼져 있는 개별 PC에 대한 보안 위협에 대응하기 위한 목적으로 개발됐다.

MDSE는 파일의 형태, 운영체제상의 행위, 유입경로 등을 실시간으로 탐지하고 분석한다. 실제 피해가 발생하기 전 선제적으로 대응한다는 개념의 솔루션이다.

특히 MDSE는 안랩의 광범위한 DB엔진을 통해 기존 시그니처, 혹은 블랙-화이트 리스트 기반의 솔루션이 탐지하기 어려웠던 알려지지 않은(Unknown) 위협이나 제로데이 공격에도 대응이 빠르다는 것이 가장 큰 특징이다.

파이어아이도 지난달 말 엔드포인트에 초점을 맞춘 새로운 보안 솔루션 'HX 시리즈'를 발표했다.

파이어아이가 내놓은 '2013 위협 동향 보고서'에 따르면 지난해 약 4만건 이상의 사이버 공격이 포착됐으며 이중 5000건 이상이 APT 공격에 해당한다. 이중 국내에서 일어난 공격이 두번째로 많았다는 것이 파이어아이측 분석이다.

특히 우리나라는 북한과 대치하고 있는 국내의 정치적 상황뿐 아니라 방대한 수준의 지식재산권을 보유하고 있어 이를 노리는 해킹 그룹이 만연해 있으며 중국으로부터 가장 많은 공격을 받고 있다.

파이어아이측에 따르면 국내 전체 APT 공격에 사용된 악성코드 중 89%가 중국 해커 그룹에 의해 개발된 툴이라고 한다. 공격의 양상은 날이 갈수록 치밀하고 교묘해지면서 보안 역시 새로운 대응책이 필요하다고 판단했다.

HX시리즈도 사용자 접점 중심의 엔드포인트 방어에 초점을 맞춘 것은 물론 사이버 공격에 대한 모든 단계의 방어를 위한 목적으로 개발됐다. 파이어아이가 보유한 가상 실행(MVX)엔진에 올해 초 인수한 맨디언트의 침입 방지 기술이 접목됐다.

HX시리즈는 탐지된 정보를 맨디언트에 보내고 맨디언트에서 이 정보를 통해 실시간으로 해당 단말(PC)을 스캔한다. 즉, 실시간으로 탐지 분석이 이뤄지다보니 설령 데이터가 유출이 되더라도 어떤 데이터가 유출됐는지도 바로 확인이 가능하다.

시만텍은 APT공격에 가장 많이 사용되는 스피어 피싱 방지와 워터링홀(제로데이 취약점 공격) 방식의 공격을 막기 위해 다계층 보안 엔드포인트 솔루션의 필요성을 강조하고 있다.

최근에는 자사의 인터넷 보안 위협 데이터 수집체계인 글로벌 인텔리전스 네트워크(Global Intelligence Network)를 기반으로 엔드포인트를 포함해 게이트웨이, 데이터센터 전반의 보안까지 강화하는데 주력하고 있다.

시만텍의 경우 침입방지기술, 스캐닝 기술, 행위기반 차단기술, 악성파일 제거기술 등을 합친 전방위적인 보안 체계를 내세우고 있다. 즉, APT와 같은 고도의 표적공격은 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 전략을 고민해야 한다는 주장이다.

보호해야 할 주요 정보의 위치, 접근 가능한 액세스 범위, 보호되고 있는 방법 등을 파악하는 등 특정 포인트보다 전방위적 보호를 통해야 정보 유출을 방지할 수 있다는 것이 시만텍의 보안 전략이다.

시만텍의 엔드포인트 솔루션인 '시만텍 엔드포인트 프로텍션'기능을 살펴보면 이같은 시만텍의 전략을 그대로 보여준다.

엔드포인트 프로텍션은 네트워크 접근 제어, 애플리케이션 제어, 안티바이러스, 안티스파이웨어, 데스크탑 방화벽, 호스트 및 네트워크 침입 방지, 디바이스 제어와 같은 다양한 보안 기술들을 하나로 통합했다.

다수의 엔드포인트 보안 제품들을 관리할 때 발생할 수 있는 시간, 비용, 인력 자원 낭비를 방지하고 다양한 이기종 플랫폼 지원을 통해 운영 효율성을 극대화하기 위함이다.

여기에 시만텍의 행위기반 탐지 기술인 '소나(SONAR)'를 통해 자동적으로 모든 소프트웨어의 행위들을 모니터링하고 표적공격과 같은 행위를 하는 소프트웨어를 탐지하기 위해 각 애플리케이션의 행위를 실시간으로 분석한다.

이와 동시에 가상 및 물리적 데이터 센터 보호 솔루션 '시만텍 크리티컬 시스템 프로텍션'과 기밀데이터 모니터링 및 보호 솔루션 '시만텍 DLP', 메일 보안 솔루션 '시만텍 메시징 게이트웨이'를 추가해 전방위적 보안 시스템을 구성하고 있다.