본문 바로가기

제품 이야기

진화하는 APT 대응, 문서 방화벽을 주목하는 이유



진화하는 APT 대응 시장 점검

 

APT 대응 시장은 2016년에도 보안 업계 최고 격전지 중 하나로 꼽혔습니다. 


미국 월스트리트가의 보안 산업 전문가에 따르면

'APT 공격 대응 시장이 '에반젤리즘(evangelism)' 단계에서 

'머스트 해브(must have)' 단계로 진입하고 있다'는 분석을 내놓았는데요


이전까지 APT 대응에 필요한 솔루션, 서비스들에 대해 알리는 단계였다면

올해부터는 본격적으로 시장에 필수적으로 도입단계에 진입했습니다. 


지난해까지 약 2년 간 국내외에서는 알려지지 않은 보안위협에

어떻게 대응할 것인가를 놓고 치열한 고민이 이어졌는데요


현재로서는 보안업계에서 제시한 여러 기법들 중

지능형 공격을 막기 위한 해법은

샌드박스, 행위기반 탐지 기술로 수렴되는 분위기 입니다. 


샌드박스 기술이란 이메일이나 각종 웹사이트를 통해 사용자 PC에 다운로드 되는 파일을

네트워크에 맞물린 가상화 장비 위에서 미리 실행해보고

문제가 없을 때만 유입될 수 있도록 하는 기법이고

행위기반 탐지 기술은 각종 파일이나 유입된 트래픽이 

내부에서 접근이 허락되지 않은 시스템단에 접근하거나 레지스트리를 변경하는 것을

모니터링해 차단하는 기법 입니다. 


문제는 샌드박스, 행위기반 탐지 기술을 모두 활용한다고 해도

여전히 공격을 100% 막을 수 있다고 장담하기 어렵다는 점 입니다. 


실제로 국내외에서 발생하는 보안사고들이 

여전히 알려지지 않은 보안취약점을 악용해 공격에 성공하고 있습니다. 


 

이에 맞서 지능화 되는 APT 공격에 대비해

보안 업체들의 전략과 전술도 업그레이드 되고 있는데요,

올해 들어 국내 APT 대응 시장은 크게 둘로 나뉘었습니다. 


분류하자면 넓게 보자는 쪽과 깊게 보자는 쪽인데요,

현재 판세만 놓고 보면 두 진영의 대립적이라기 보다 상호 보완적인 관계가 가깝습니다. 


넓게 보자는 쪽의 의견은 이메일 첨부파일 등을 통한 초기침투에서부터 

내부 시스템에 심어 놓은 악성코드, 이를 통한 시스템 모니터링, 해커가 통신하는 C&C 서버 정보,

이후 공격흔적을 지우는 과정까지 일련의 흐름을 보고

필요한 대응을 해야 한다는 것으로 요약됩니다. 


앞으로의 보안은 변화관리를 통해 접근해야 한다는 말인데요,

기존 보안솔루션이 자신의 담당 분야에 대해서는 아주 정밀한 탐지, 대응을 보여주고 있지만

더 중요한 것은 내부망이 어떻게 변화하고 있는지

전체 흐름을 파악하는 것이 중요하다는 의미입니다.


헤더 정보, HTTP, 트랜잭션, 전체 네트워크 플로 등의 정보로 

내부망에 PC가 몇 대 운영되고 있는지, 운영체제는 뭘 쓰고 있고,

외부와의 통신이 지속되고 있는 시스템이 뭔지,

알려진 악성코드와 알려지지 않은 악성코드가 뭐가 있는지 등을 종합해

정상적인 시스템과 비교해 어떤 부분에서 변화가 생기고 있는지를

관리할 수 있어야 한다는 것 입니다. 


최근 공격자들은 암호화 된 트래픽을 악용하는 것은 물론,

이란 핵시설을 마비 시켰던 스턱스넷과 유사한 수많은 변종이

그 동안 탐지되지 않고 있다가 7년만에 정체를 드러내기도 했기 때문이지요.


넓게 보는 것 못지 않게

정상적으로 보이는 파일 혹은 시스템 내부에서 실행되는 명령어에 대해

깊게 보는 전략의 중요성도 강조되고 있습니다. 


최근 APT 공격 트렌드를 보면 외부로부터 유입된 파일이

내부 시스템에 직접 영향을 미치지 못하도록 가상화 환경에서 이를 실행해보는

샌드박스 기법을 우회하는 기술까지 등장하고 있는 실정이고

이전까지 범죄수사에 필요한 디지털증거분석에 활용됐던 디지털포렌식 기술이

일반 기업, 기관의 보안을 강화하기 위한

용도로 쓰이기 시작한 것도 이러한 흐름을 반영한 것 입니다. 


아무리 망이 분리돼 있거나 여러가지 보안시스템을 갖추고 있더라도

내부 시스템과 이를 관리하거나 사용하는 사람 간 커뮤니케이션이 존재하는 한

APT 공격을 피하기 어려운 만큼 이들 간에 주고 받는 패킷에 대해 더 세세하게,

다시 말해 깊은 분석이 필요하다는 것이죠.


넓게 봐야 하는가, 깊게 봐야 하는가에 대해 정해진 답이 있는 것은 아닙니다. 


중요한 것은 기업, 기관 입장에서 

어떻게 정보유출, 시스템 파괴라는 리스크로 인한 피해를

최소화 할 수 있는가가 중심이 되어야 한다는 것인데요


무조건 막아내야 한다는 강박에 시달리기 보다는

어떻게 하면 손상을 최소화하면서 정상적인 시스템으로 빠르게 복원할 수 있는가가

APT 공격 대응에 핵심입니다. 



APT 대응, 문서 방화벽을 주목하는 이유

 

전 세계적으로 최근 APT 공격에 의한 사이버테러가 꾸준히 증가하고 있는데요,

APT 대응은 내부로 유입되는 웹 트래픽이나

메일에 첨부된 파일 형태의 악성코드를 수집 분석하여

그 패턴이나 시그니처를 식별하여 대응하는 방식이 일반적이었습니다. 


지난해 이슈가 된 모 공기업에 대한 사이버 공격도 메일을 통해 이뤄졌듯이,

이 같은 방식은 알려지지 않은 악성코드에 감염된 파일이 내부에 유입되었을 경우

이를 통제하고 관리하는데 어려움이 있다는 지적도 있습니다. 



 

이 같은 점을 감안해 소프트캠프는 외부에서 유입되는 파일을 통한

APT 대응에 최적화된 솔루션인 SHIELDEX(실덱스)를 출시했습니다. 


SHIELDEX(실덱스)는 '외부인 출입보안 체계'개념을 네트워크 환경에 적용해

'외부유입 파일 보안관리 체계'를 구현한 APT 대응 솔루션 인데요


네트워크 패킷이 아니라 문서, 영상, 이미지 등의 첨부파일로 들어오는 파일 자체를 분석하여

외부에서 유입되는 파일을 통제 및 관리하는 것은 물론,

이상행위를 차단하고 다양한 유입경로에 대한 추적, 관리도 가능합니다. 


 

소프트캠프는 기존 APT 대응 솔루션들의 분석방식을 회피하는

악성코드들이 늘고 있는 것을 감안해 SHIELDEX(실덱스)를 만들었습니다. 


문서 등 각종 파일에도 여러 악성코드가 삽입돼 유입되고 있는 만큼

파일에 집중하는 APT 대응 솔루션이 필요하기 때문인데요,

문서 보안 솔루션을 개발해 오면서 확보한 노하우를

SHIELDEX(실덱스)에 녹여 파일로 들어오는 문서가 일반적인 것인지 확인하고

비정상적인 요소가 있을 경우 미리 제거합니다. 


SHIELDEX(실덱스)는 기업 내 네트워크상에 가상의 접견실을 마련하고

외부에서 유입된 파일을 지속적으로 관리하는데요

외부 손님을 기업 내부 사무실로 바로 통과시키지 않고

접견실에서 응대하고 내부에 들어 왔을 때 실시간으로 감시하는 

기업의 물리적 출입통제 시스템을 통신망에 활용했습니다. 


SHIELDEX(실덱스)는 인터넷, 이메일, USB, 망간자료전송 등 

다양한 외부 경로를 통해 유입되는 모든 문서나 실행 파일을

격리, 방역, 감시, 추적 차단하여 악성코드를 포함한 외부 유입파일이

시스템 중요영역으로 접근할 수 없도록 차단합니다. 


사용자는 SHIELDEX(실덱스)를 통해 외부에서 들어온 파일이

악성코드인지 여부를 격리된 가상공간을 통해 미리 살펴보고 방역할 수 있는데요,

내부 반입 시 파일에 태깅을 하여 외부파일임을 쉽게 인지할 수 있도록 하고

해당 파일의 이동과 행위를 지속적으로 모니터링 합니다. 


마스터부트레코드(MBR) 영역과 같이 주요한 시스템을 파괴하려는 행위가 탐지되면

실행을 통제하여 내부 핵심 자산에 해당하는

시스템 중요영역에는 해당 파일이 아예 접근을 못하도록 차단 시킵니다. 


 

그리고 최근 APT 대응 솔루션 전략으로

SHIELDEX(실덱스)를 이메일 첨부파일 관리 전용으로 특화해

문서 방화벽을 표방하는 솔루션 'SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)'을 출시했습니다. 


SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)은 외부파일 중에서도 가장 위험도가 높은

메일 첨부파일에 대한 문제를 해결하는데 초점을 맞췄으며

마이크로오피스, 한컴 오피스, 어도비 아크로뱃 등 

문서 프로그램 등에서 발견된 보안취약점을 악용한 공격에 대응할 수 있습니다. 


문서 방화벽은 소프트캠프가 확보한 문서 관련 보안 기술을 상징하는 키워드로

문서형태의 악성코드를 차단한다는 의미인데요

네트워크 방화벽이 네트워크 침입차단을 위한 것이었다면

문서 방화벽은 이메일에 첨부된 문서 파일로 위장해 악성코드가 침입하는 것을 

사전에 예방, 차단하는 것이 핵심입니다. 


실제로 메일 서버 앞 단에 구축돼 선제적으로 방어하고 

그 동안의 메일보안 솔루션이 하지 못했던 선제적인 APT 공격 대응이 가능하지요.


SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)은 스팸 메일 차단, 백신, 

가상환경에서 악성코드를 탐지하는 기존 이메일 보안 방식과 달리

기업/기관이 사용 중인 메일 서버 앞 단에서 문서 방화벽을 통해 

이메일 첨부파일 문서를 방역하고 안전한 컨텐츠만 추출해 보여줍니다. 


SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)은 문서가 제대로 된 문서구조를 갖고 있는지를 파악하고

내용 중 안전한 콘텐츠(텍스트, 이미지 등)만 추출해 새로운 파일로 문서를 재구성 합니다. 

이를 통해 첨부파일에 포함됐을지 모르는 악성코드가 아예 실행되지 않도록 합니다. 


사용자는 소프트캠프가 자체 개발한 'Micro VM(마이크로 브이엠)'이라는 가상화된 영역에서만

재구성된 문서파일 내용을 열람할 수 있고

메일로 수신한 첨부파일은 SHIELDEX Trace Server(실덱스 트레이스 서버)에서

실시간으로 감시 및 모니터링도 가능합니다.