[아이티투데이 성상훈 기자] APT를 한가지 솔루션으로 방어할 수 없는 이유는 장기간에 걸쳐 여러 단계를 거치는 치밀함 때문이다. 침투->탐색->수집을 거쳐 최종적으로 유출까지 되면 결국 보안사고로 이어지는 것이다.

예를 들어 악성코드 침입을 방지하는 시스템이 구축되어 있어도 e메일을 통하 스피어피싱(Spear phishing) 공격에 당할 수도 있다. 단순히 이론적으로만 봐도 APT 대응 솔루션, e메일 보안 솔루션이 필요하다는 의미다.

최근 APT 솔루션은 지난해 말부터 네트워크 레벨 분석 솔루션에서 엔드포인트 가시성 확보를 위한 대응 솔루션으로 트렌드가 바뀌었다. 올해 RSA 2014만 해도 Bit9, 파이어아이, 맨디언트, 트렌드마이크로 등 글로벌 보안업체들도 엔드포인트 보안 솔루션을 대거 선보였다.

클라우드 기반 안랩 MDSE
안랩은 APT에 대한 새로운 전략으로 다계층 보안 방법론과 솔루션을 내세우고 있다.

'안랩 MDS'가 네트워크 영역에 대한 보안 역할을 맡고 '안랩 MDS 엔터프라이즈'가 엔드포인트 보안 영역을 맡는다. MDS 엔터프라이즈는 파일과 행위, 유입경로를 실시간으로 탐지 및 분석이 가능한 솔루션이다.

기존 시그니처, 혹은 블랙/화이트 리스트 기반의 솔루션이 탐지하기 어려웠던 알려지지 않은(Unknown) 위협, 제로데이 취약점 공격에 가장 효과적으로 대응할 수 있다고 평가받고 있다.

여기에 클라우드 컴퓨팅 기반의 안랩 스마트 디펜스(AhnLab Smart Defense, ASD)가 빅데이터 기술을 이용해 실시간으로 파일의 악성 여부를 다각도로 분석한다. MDS 시스템 역시 안랩 ASD 인프라를 기반으로 한다.

다계층 보안 원조 시만텍
다계층 보안 전략은 시만텍이 일찍부터 강조해 왔다.

시만텍은 APT와 같은 고도의 표적공격에 대응하기 위해서는 정보 주변을 둘러싼 시스템이 아닌 정보 자체를 보호하는 정보 중심의 보안 전략을 고민해야 한다고 강조한다. 데이터의 저장 위치, 액세스 권한, 보호 방법 등을 세부적으로 파악해 '디지털 정보 지도'를 작성하는 것이 시만텍 보안 전략의 핵심이다.

먼저 네트워크 위협 보호 기능으로 사용자의 기기에서 처리되기 이전에 네트워크로 들어오는 데이터를 미리 분석한다. 네트워크 내의 취약한 소프트웨어 혹은 사용자들에게 영향을 미치기 전에 표적 공격을 예방하기 위함이다.

'시만텍 인사이트'를 활용해 악성으로 보고된 인바운드 소프트웨어 파일을 자동적으로 차단한다. 여기에 행위기반 보안위협 탐지기술인 '소나(SONAR)'를 통해 자동적으로 모든 소프트웨어의 행위들을 모니터링 한다. 이어 표적공격과 같은 행위를 하는 소프트웨어를 탐지하기 위해 각 애플리케이션의 행위를 실시간으로 분석한다.

인터넷 보안 위협 데이터 수집체계인 글로벌 인텔리전스 네트워크(Global Intelligence Network)를 기반으로 신규 위협정보를 실시간으로 제공받는다. 엔드포인트, 게이트웨이, 데이터센터 전반의 보안을 강화하는데 주력하고 있다

망분리 특화 실덱스
망분리 환경에 특화된 APT 솔루션도 있다. 바로 소프트캠프의 실덱스(SHIELDEX)다. 주로 망분리/망연계 환경에서 외부유입파일에 대한 보안강화가 필요한 기업이나 기관에 적합하다.

실덱스는 주요 기능은 크게 5가지로 나뉜다. 가상 격리 환경을 통해 외부유입파일에 대해 안전실행모드를 제공한다. 방역 기능은 파일 내부 반입 시 방역을 통해 안전한 콘텐츠만 내부에 반입시킨다.

마지막으로 추적 및 현황 관제 기능은 외부유입파일의 사용이력 추적과 차단현황을 통합 관제한다.

실덱스의 가장 큰 특징은 격리된 가상환경(MicroVM)에 파일을 먼저 들여보내서 실행되는 파일들이 실제 PC의 핵심영역에 영향을 끼치지 않도록 차단한다는 점이다. 1차로 외부유입파일에 대한 식별과 차단을 통해 안전한 환경에서 업무공조가 가능하고 2차로 타 솔루션과도 연동 가능하기에 업무 활용을 극대화 할 수 있다.

최저용량 APT 솔루션 센티넬
엔드포인트 디바이스의 부담을 최소화 하는 APT 솔루션으로는 인포섹의 '센티넬'을 꼽는다.

센티넬은 메모리 분석은 물론 운영체제 상에서 발생하는 모든 행위를 수집하는 기능을 갖췄음에도, 용량이 500KB에 불과하다. PC에 영향을 거의 주지 않아 엔드포인트 레벨 보안체계를 구축하기에 용이하다.

엔드포인트 레벨은 이 과정중에 가장 최전선에 있기 때문에 모든 공격 싸이클 중 단 하나의 포인트만 끊을 수 있다면 보안 사고를 방지 할 수 있다는 것이 인포섹의 보안 전략이다.

전천후 APT 방어, HX시리즈
사이버 공격에 대한 모든 단계 방어를 지향하는 '전천후' APT 솔루션도 최근 등장했다. 파이어아이의 'HX 시리즈'다.

HX시리즈는 기존 침입방지 시스템(IPS)에 파이어아이의 멀티 벡터 가상 실행(MVX)엔진을 탑재한 형태다. 파이어아이가 보유한 가상 실행(MVX)엔진에 올해 초 인수한 맨디언트의 침입 방지 기술이 접목됐다.

HX시리즈는 탐지된 정보를 맨디언트에 보내고 맨디언트에서 이 정보를 통해 실시간으로 해당 단말(PC)을 스캔한다. 즉, 실시간으로 탐지 분석이 이뤄지다보니 설령 데이터가 유출이 되더라도 어떤 데이터가 유출됐는지도 바로 확인이 가능하다.

복합APT 솔루션 포티샌드박스
포티넷의 포티샌드박스와 같은 다수의 복합 솔루션을 통한 대응 방식도 빼놓을 수 없다.  구성을 보면 포티게이트(FortiGate®)가 네트워크를 통해 진입을 시도하는 모든 종류의 악성코드를 차단한다.

네트워크 기반의 안티바이러스 게이트웨이 기술을 통한 악성코드의 차단, 악성 URL 차단, 악성 어플리케이션 차단, C&C 센터와의 통신 시도 감지 및 차단, 이메일 공격 차단 등 활용 가능한 모든 방어 솔루션을 아우른다.

더구나 포티샌드박스(FortiSandBox) 어플라이언스를 네트워크의 내부에 설치함으로써, 알려져 있지 않은(Unknown) 악성코드에 대한 감지, 분석, 해당 시그니처 생성 및 업데이트 등의 기능을 지원하고 있다.

포티샌드박스는 기존에 알려져 있는 샌드박스 기술의 몇 가지 단점을 보완하는 새로운 기능이 있다. 대표적으로 악성코드들이 샌드박스 환경을 인지하고 이를 회피를 시도하는 악성코드를 잡아낸다.

또한 어떤 특정 OS 및 어플리케이션 환경에서만 동작하는 악성코드들도 잡아낼 수 있도록 설계되어 있다. 하지만 역설적으로 포티넷이 지향하는 악성코드 차단 방식은 가급적 포티샌드박스를 적게 활용한다는 점이 독특한 부분이기도 하다.

가장 최근에는 포티샌드박스 3000D가 미국 NSS랩이 실시한 비교분석 테스트에서 APT 정보유출 진단 시스템 부문 '추천'등급을 획득하기도 했다.