[아이티투데이 성상훈 기자] 엔드포인트 보안 솔루션만큼 APT 대응에 빠질 수 없는 것이 웹방화벽과 이메일 보안 솔루션이다. 이메일 첨부파일에 악성코드를 삽입하는 '스피어피싱', 알려지지 않은 취약점을 활용해 웹 서버 등에 악성코드를 심어 사용자를 유도하는 '워터링홀' 공격이 APT의 가장 기본적인 공격 방식이기 때문이다.

보안탐지 기법을 회피하기 위한 최신 매커니즘은 계속 등장한다. 워터링홀에 대비하는 웹방화벽과 스피어피싱을 막기 위한 이메일 보안 솔루션은 옵션이 아닌 필수다.

워터링홀 대비 웹방화벽
국내 대표적인 웹방화벽은 펜타시큐리티의 '와플'과 파이오링크의 '웹프론트'가 있다.

펜타시큐리티의 와플은 자체적으로 개발한 논리연산 탐지엔진 COCEP(Contents Classification and Evaluation Processing)을 탑재했다. 이를 나름 3세대 지능형 웹방화벽으로 분류한다.

1,2 세대 웹방화벽은 개별 시그니처 비교를 통해 탐지한다. 3세대 웹방화벽은 공격 로직 분석을 통해 웹 공격을 탐지하는 것이 차이다. 시그니처 비교에 비해 오탐이 적기에 변종 악성코드에 대한 대응률도 높다. 시그니처 업데이트를 하지 않기에 관리자 운영에 대한 부담도 적다.

펜타시큐리티 와플 COCEP 엔진 구성도

펜타시큐리티는 WMP(WAPPLES Management Portal)라 불리는 모니터링 서비스를 제공한다. 향후 WMP 커뮤니티 기능 확장을 통해 전세계에 설치된 2000대 이상의 와플 유저가 유효한 공격 패턴 과 블랙리스트 IP 정보를 공유하는 와플 그리드를 구축중이다.

파이오링크의 웹프론트는 웹방화벽 자체 성능에 집중한 제품이다. 이미 8년전부터 4~6Gbps 트래픽을 처리하는 웹 방화벽을 출시했다. 당시 국내 웹방화벽 시장이 대부분 100Mbps급 제품이 주를 이뤘던 것을 감안하면 획기적인 속도였다.

SSL 지원 성능도 탁월하다. SSL은 웹 브라우저와 웹 서버간에 전송되는 데이터를 암호화 하는 기술로 고객 정보를 안전하게 보호한다. SSL통신에 사용되는 RSA Key는 1,024bit와 2,048bit 등의 크기를 가지며, 키 사이즈가 클수록 더 높은 보안성을 제공한다.

현재는 안전한 SSL통신을 위해 2048bit key 사용을 권장하고 있다. 웹프론트는 RSA 키 사이즈 2048 bit key 일때 TPS(Transaction Per Second)속도는 2만TPS까지 지원한다. 1024 bit key일때는 3만5000 TPS까지 처리할 수 있다.TPS 는 초당 처리하는 트랜잭션 수를 의미한다.

최근에는 12Gbps의 트래픽을 처리할 정도로 성능을 향상시킨 웹프론트-K를 출시해 대형 사이트 중심으로 레퍼런스를 확대하고 있다.

특히 웹방화벽 보호대상인 웹 애플리케이션 단위로 독자적인 설정 및 관리가 가능하다. 클라우드 서비스(XaaS)를 위한 파이오링크의 웹 애플리케이션 독립 가상화 기술인 'AppTenant'기능이 탑재됐다.

클라우드 서비스를 위한 파이오링크 AppTenant 기술 개요

하나의 웹프론트-K가 최대 256개의 애플리케이션을 생성하고, 이에 대한 독립적인 운영을 가능케 한다. 통합 관리자는 애플리케이션 관리자, 모니터링 관리자 등 관리자 등급을 세분화 할 수 있다.

관리자 입장에서 보면 각각 해당 애플리케이션 전용 관리자, 보안정책, 도메인 설정이 가능하기 때문에 민첩한 비즈니스 요구 및 새로운 웹 애플리케이션의 생성과 변화에 빠르게 대응할 수 있는 것이 장점이다. 전체 서비스 상황에 맞춘 유연한 시스템 운영이 가능하다는 의미다.

스피어피싱 방어 이메일 보안 솔루션
이메일 보안 역시 아무리 중요성을 강조해도 지나치지 않다. 기업에서 중요한 직책을 맡고 있다면 이메일을 통한 스피어피싱의 표적이 될 가능성은 매우 높다. 스피어피싱은 APT의 시작점이기도 하다. 특히 공격이 성공할때까지 다양한 방법을 통해 지속적으로 공격하기 때문에 이를 원천 차단하기 위한 메일 보안 시스템을 구축하는 것은 이제 기본이 됐다.

시만텍 메시징 게이트웨이

대표적으로는 시만텍의 '메시징 게이트웨이'가 있다. 시만텍이 자체적으로 개발한 e메일 기반 표적 공격 차단 특허 기술 '디스암'이 탑재됐다.

디스암은 MS 오피스 이메일과 어도비 PDF 첨부파일 전체를 탐색하여 악의적 콘텐츠가 발견되면 이를 제거한다.

문서를 재구성한 후에 수신자에게 전달해주어 자바스크립트, 마크로, 임베디드 플래시 등의 액티브 콘텐츠를 통해 악성 파일이 몰래 유입되지 않도록 차단해준다. 지난해 고객사 전체 테스트에서도 제로데이 공격의 98%를 차단하는 성능을 보였다.

브라이트메일 안티스팸 필터링 엔진은 전세계 인텔리전스 네트워크를 통해 각지에서 발생하는 이메일 기반 공격을 탐지해 정보를 수집한다. 수집되는 양만 하루 30억개다. 콘텐츠 필터링 과 데이터유출방지(DLP) 기능도 함께 제공된다.

무엇보다 관리자가 싱글 싱글 웹기반 콘솔을 통해 여러 메시징 게이트웨이 어플라이언스를 쉽게 관리할 수 있다는 점이 특징이다. 다수의 콘솔, 각기 다른 정책, 상호 호환되지 않는 로깅 및 리포팅 절차로 인한 복잡성을 해소해 메시징 보안 인프라스트럭처의 총소유비용(TCO)을 대폭 감소시킬 수 있다.

국내 보안기업 중에서는 지란지교시큐리티의 스팸스나이퍼와 소만사의 메일아이를 꼽는다.

스팸스나이퍼는 별도의 장비를 구매하거나, 소프트웨어를 설치할 필요 없이 장비의 전원 연결 만으로 스팸메일, 바이러스 메일, 피싱메일 차단 서비스가 가능하다.

관리자가 제품 업그레이드 및 운영 시스템을 변경, 콘솔 작업등을 할 필요가 없으며 자동적으로 관리가 된다. 하루 100만건의 메일 트래픽 처리가 가능하게끔 설계됐으며 바이패스 기능의 FOD를 기본적으로 탑재해 메일 서버에 장애가 발생해도 정상적으로 메일을 받을 수 있게끔 해준다.

소만사의 메일아이는 이메일 뿐아니라 미스리, 네이트온 등과 같은 메신저와 웹하드 커버리지까지 모두 커버한다.

액티브X 방식 파일첨부도 차단 대상에 포함된다. 국내 웹메일이 10MB 용량이 넘으면 자동으로 액티브X형 대용량 첨부로 보내기 때문에 이를 감안한 듯 보인다. 액티브X 방식까지 차단하는 메일보안솔루션은 사실 많지 않다.

메일아이는 패킷 헤더뿐만 아니라 콘텐츠를 보고 분석하는 DPI 방식을 사용한다. 전체 내용을 분석해서 본질을 파악하는 방식이기 때문에 새로 생긴 정보유출경로를 빠르게 찾아서 보완할 수 있다. 

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지