|
지난해 3월 20일, 정부기관과 언론사, 금융사에 대한 동시다발적 사이버 공격은 모두를 공황 상태에 빠트렸다. 정부 업무는 마비됐고, 언론사의 기사 시스템은 엉망이 됐다. 금융 거래가 몇 시간 동안 정지돼 금융사나 고객 모두 막대한 피해와 큰 불편함을 겪었다. 그러나 비슷한 패턴의 공격이 같은 해 6월 25일에 다시 발생했다.
이때부터 세간의 이목은 '지능형 지속 위협(Advanced Persistent Threats)'에 집중됐다. 누군가 특정 대상을 겨냥해 은밀하게 공격하는 '사이버 테러'의 형태는 기존의 불특정 다수를 상대로 하는 해킹과는 차원이 전혀 달랐기 때문이다.
APT는 '사회 공학적' 기법을 동원한다는 점에서도 기존 해킹과 차이가 있다. 한 보안 전문가는 "언론사에는 '기업 보도 관련 자료'라는 제목으로, 기업 인사 담당자에게는 '이력서'라는 이름으로 자료를 보내 접근하기 때문에 걸러내는 게 쉽지 않다"며 "이렇게 네트워크에 침투해 오랫동안 잠복하면서 정보를 빼내기 때문에 대응도 어렵다"고 설명했다.
특히 최근에는 APT가 형태와 수법을 바꿔가며 더욱 교묘해지고 있다. 또 정부나 대기업뿐만 아니라 중소 규모 기업, 개인도 공격의 대상으로 삼는다는 점은 APT에 대한 대응책이 시급하다는 사실을 보여준다.
국내 보안 업계는 APT를 사전 탐지하고 막기 위한 보안 솔루션과 서비스 마련에 고심하고 있다. 안랩은 지역 및 클라우드 기반 분석을 결합한 기업 보안 솔루션인 안랩MDS(Malware Defense System·멀웨어 방어 시스템)를 개발했다. 안랩MDS는 알려지거나 알려지지 않은 멀웨어, 제로데이 공격(zero-day exploits)과 지능형 타깃 지속 공격(APT)에 대응해 포괄적인 호스트와 네트워크에 대한 보호 서비스를 제공하는 솔루션이다.
말단에 있는 컴퓨터 등 엔드 포인트 디바이스의 부담을 최소화하는 APT 솔루션으로는 인포섹의 '센티넬'이 있다. 센티넬은 메모리 분석은 물론 운영체제상에서 발생하는 모든 행위를 수집하는 기능을 갖췄음에도, 용량이 500KB에 불과하다. PC에 영향을 거의 주지 않아 엔드 포인트 레벨 보안체계를 구축하기가 상대적으로 쉽다.
APT 공격은 단발성 이벤트로 인해 발생하는 사고가 아니다. 사전에 공격 목표를 정하고 침투한 뒤 '장기간' 모니터링을 통해 악성코드를 확산해 정보를 유출하는 일련의 '과정'을 겪는다. 결국 말단 컴퓨터, 엔드 포인트 레벨은 이 과정 중에 가장 최전선에 있는 셈이다. 만약 모든 공격 싸이클 중 단 하나의 포인트만 끊을 수 있다면 보안 사고를 방지할 수 있다는 것이 인포섹의 판단으로 가장 최전선에 있는 엔드 포인트를 가장 손쉽게 방어하는 체계를 갖추겠다는 전략이다.
이글루시큐리티는 악성코드 사전차단 솔루션 '아이에스 키모(IS-KIMO)'를 출시했다.
IS-KIMO는 소프트웨어의 보안 취약점을 이용해 파고드는 악성코드를 차단하는 솔루션으로 'SAR(Stop-Analysis-Response)'이라는 능동적 방어 개념을 바탕으로 개발됐다. IS-KIMO는 악성코드 유포 경로로 가장 많이 이용되는 국내외 상용 소프트웨어와 응용 프로그램의 취약점을 사전에 탐지하고 차단하는 역할을 한다. 특히 기존 시그니처 방식 등 기존 안티바이러스로는 막아내기 어려운 제로데이 공격까지 실시간으로 방어한다. IS-KIMO가 악성 코드를 탐지하는 것이 아니라 행위 기반 탐지 기술을 통해 각종 소프트웨어와 응용 프로그램의 취약점 공격 행위 자체를 찾아내기 때문이다. 아울러 실시간 실행 감시엔진과 스마트엔진을 동시에 갖춘 듀얼 엔진을 사용한다.
소프트캠프는 의심스러운 파일을 끝까지 추적할 수 있는 '외부유입파일 보안관리 체계'인 '실덱스'를 출시했다. 실덱스는 외부에서 유입되는 파일을 통제하고 관리해 이상 행위를 차단하고 유입경로를 추적해 관리할 수 있도록 돕는다. 인터넷, 이메일, USB, 망간자료전송 등 다양한 외부 경로를 통해 유입되는 모든 문서나 실행파일을 격리, 방역, 감시, 추적, 차단해 악성코드를 포함한 외부 유입파일이 시스템의 중요영역에 접근하는 것은 막아준다.
