[아이티투데이 성상훈 기자] 내년부터 국내에서도 안티 익스플로잇(Anti Exploit) 시장이 본격적으로 열릴 조짐이다. 국내에서는 취약점을 파고 드는 해킹 공격 사례가 점점 증가하고 있으면서도 안티 익스플로잇에 대해서는 크게 신경 쓰지 않는 것이 일반적이었다.

그러나 최근 한국수력원자력(한수원) 내부 인터넷망이 해킹 공격으로 인해 원전 설계도와 부품도가 외부에 유출되는 사고가 발생하면서 보안업계에서는 안티 익스플로잇의 필요성을 부각시키는 계기가 되고 있다. 한수원 해킹도 장시간에 걸친 지능형 지속공격(APT)으로 내부의 취약점을 파고든 공격이 원인으로 추정되고 있기 때문이다.

22일 보안 관련업계에 따르면 최근 국방부 한 산하기관에서도 안티 익스플로잇 솔루션을 전격 도입했다. 국내 공공기관 중에서는 처음이다. 안티 백신 위주였던 기존의 엔드포인트 보안 솔루션 도입 트렌드에 대한 변화를 예고하는 신호탄이기도 하다.

■안티 익스플로잇 솔루션이란?
안티 익스플로잇 솔루션은 취약점 공격을 파고드는 악성코드를 탐지하는 '사전 대응형' 보안 솔루션이다. 안티 백신 처럼 치료의 기능은 없지만 사후 대응 방식인 백신이 찾아내지 못하는 악성코드를 침입 전 단계에서 취약점을 원천 봉쇄한다.

엔드포인트 보안 솔루션 이라는 점에서 안티 백신 솔루션과 유사하지만 근본적인 차이는 앞서 언급했듯이 침투 자체를 사전 봉쇄하는 사전 대응에 있다.

일단 보안 취약점이 발견되면 보안 기업들은 매번 업데이트를 권고한다. 이는 IT 벤더들도 마찬가지다. 그러나 업데이트 권고 이슈가 있다는 것은 보안 취약점이 이미 발견된 후라는 것이고 이는 이미 어느정도 수준의 공격과 침투가 일어난 직후라는 것을 의미한다.

기존 '시그니처' 방식의 백신은 탐지가 거의 불가능하다. 그도 그럴것이 DB와 대입해 탐지해 치료하는 백신은 알려지지 않은 악성코드에 대해서는 거의 무방비 이기 때문이다. 지난 하반기 미국을 강타했던 신종 POS 악성코드 '백오프'도 백신의 탐지는 모두 우회했다는 점이 이를 증명하는 대표적인 사례다.

이 때문에 보안 업계에서는 시그니처 만이 아닌 행위 기반 탐색 기능을 갖춘 '진화형' 안티 백신과 안티 익스플로잇 솔루션이 병합된 엔드포인트 보안 체계가 필요하다고 강조하고 있다.

백신이 아무리 발달해도 공격을 감지->방어->분석->치료 하는 프로세스는 바뀌지 않는다. 이미 침투한 다음 치료를 하는 방식이기 때문에 침투 자체를 사전봉쇄하는 안티 익스플로잇 솔루션과의 융합이 필요하다는 이론이다.

국산 안티 익스플로잇 솔루션인 이글루 시큐리티의 'IS-키모' 관리 화면

국내에서는 이글루 시큐리티가 안티 익스플로잇 솔루션 'IS-키모'를 개발해 서서히 레퍼런스를 늘려가고 있으며 하우리와 이스트소프트도 각각 안티 익스플로잇 기능을 갖고 있는 바이로봇 APT 쉴드, 알약 익스플로잇 쉴드 를 내놓은 바 있다.

그러나 팔로알토, 맬웨어바이트, FFRI 등 이미 글로벌 보안 시장에서 일찍부터 등장한 안티 익스플로잇 솔루션과 기술적으로 경쟁이 가능한 국산 솔루션은 현재로써는 이글루 시큐리티의 IS-키모가 유일하다.

미국 맬웨어바이트 '안티 익스플로잇'의 사전 침투 경고 화면의 예

■보안 담당자 80%, "외부 위협 심각"
APT 공격의 최종 타깃은 결국 엔드포인트 디바이스다. 스마트폰, 태블릿 등 모바일 디바이스와 PC가 최종 목적지다.

하루아침에 메인 서버에 침입하는 것이 아니라 엔드포인트 디바이스를 통해 장시간에 걸쳐 서서히 침투하는 것이 정설이고 이를 위해 이메일 피싱, 워터링 홀 등 수많은 공격에 노출되기도 한다. 사전 대응형 방식이 아니라면 결국 어떤식으로든 침투를 당할 수 밖에 없는 것이 보안 전문가들의 중론이다.

국내 기업들 역시 보안 담당자들은 매일 새로 등장하는 보안 위협에 시달리는 중이다. 최근 IBM이 내놓은 CISO 조사 보고서에 따르면 국내 140여건의 보안 담당자들의 의견을 분석한 결과 지난 3년간 신규 보안 위협은 계속 증가세에 있으며 가장 큰 도전 과제로 '정교해지고 있는 외부 위협'이 응답률 1위로 꼽혔다.

특히 계속 증가하는 보안 이슈와 위협을 해결하기 위해서는 신기술을 중요하게 생각해야 한다고 보고서는 지적하고 있다. 실제로 응답자의 50%는 새로운 보안기술의 도입을 기업 최우선 보안 관심분야로 꼽고 있다.

국내 보안 업체 연구소 한 관계자는 "APT 공격의 지능화는 이미 샌드박스 기술조차 우회한지 오래"라며 "엔드포인트 보안을 백신에만 의존하는 것은 분명 한계가 있는 것이 사실"이라고 전했다.

저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지