default_top_notch
default_news_top
default_news_ad1
default_nd_ad1

APT 대응 솔루션 7종…실제 사용자 평가는?

기사승인 2017.01.18  09:30:23

공유
default_news_ad2
한국침해사고대응팀협의회(CONCERT)는 최근 ‘시큐리티 컨수머 리포트-APT 대응 솔루션 편’을 발간했다. 이 보고서는 CONCERT 회원사인 보안 솔루션 사용자들이 자발적으로 참여해 제작한 것으로 사용자 관점에서 지능형지속위협(APT) 대응 솔루션 도입시 고려사항과 필요 기능, 주의할 점 등을 조사한 것이 특징이다. 6개월간의 공동작업을 거쳐 완성된 리포트에는 APT 대응 솔루션의 정의와 주요 기능, 솔루션별 검토결과부터 도입 전후 고려사항과 보고서 제작 배경·과정과 후기까지 담겨 있다.
평가대상이 된 APT 대응 솔루션은 국내 공급되고 있는 7개 보안업체의 제품군이다. ▲담발라의 ‘페일세이프(Failsafe)’ ▲안랩 ‘MDS’ ▲엔피코어 ‘좀비제로’ ▲이월리서치 ‘스매시APT(SmashAPT)’ ▲트렌드마이크로 ‘딥디스커버리(Deep Discovery)’ ▲파이어아이 ‘NX’와 ‘EX’ ▲포티넷 ‘포티샌드박스(FortiSandbox)’이다.
이 리포트에서는 APT 공격을 특정 기술이나 기법이 아니라 공격 유형 또는 방법으로 봤다. 따라서 APT 대응 솔루션은 특정 목표를 갖고 지속적으로 들어오는 알려진 공격뿐 아니라 알려지지 않은 공격까지 탐지하고 차단하는 솔루션으로 정의내렸다. 제품 형태와 탐지·차단 위치와 방식부터 보안성(인증 보유), 탐지 기능과 가상환경 우회기술 탐지, 가상 실행환경, 치료·차단, 가용성, 관리 및 운영 등을 세부 영역으로 지원여부를 비교했다.

APT 공격 특징

담발라 ‘페일세이프’=담발라 ‘페일세이프’ 제품은 이미 감염돼 있거나 기존 방어 솔루션을 회피해 침투한 악성코드를 검출하는데 특화돼 있는 것으로 평가됐다. 내부에서 외부로 통신하는 명령·제어(C&C) 트래픽을 모니터링해 악성 여부를 확인하는 것이 특징으로, 내부 네트워크 디바이스 관련 위협 내용과 행동, 위협 통신을 분석·탐지한다. 기존 악성코드를 분석·차단하는데 초점이 맞춰진 제품은 아니란 얘기다. 담발라는 이 제품에 머신러닝과 빅데이터, 데이터과학 기술 등을 활용해 빠르게 내부로 침투되는 악성코드와 감염된 기기를 감지해 대응할 수 있다는 것을 강점으로 내세우고 있다. 안랩 ‘MDS’=안랩 ‘MDS’는 에이전트 방식과 에이전트없는(Agentless) 방식을 모두 제공한다. 한국에 맞는 시그니처의 업데이트와 손쉬운 지원이 장점이다. 아울러 기존 V3 백신 사용자는 기존 V3를 기반으로 하는 엔드포인트 APT 대응방식을 취할 수 있다.안랩 ‘MDS’는 엔드포인트 에이전트가 별도로 존재한다. 기존 V3 사용자는 MDS 에이전트 기능이 통합된 V3 통합설치본을 설치해 통합관리 할 수 있다. 다만 V3 인터넷 시큐리티 9.0 최신 버전 사용자는 통합 에이전트 재설치 없이도 구현할 수 있다. 악성코드 감염시 네트워크 로우(Raw) 데이터 저장을 동적 행위 및 동적 콘텐츠에 대해 분석할 수 있다는 점과 가용성 확보 측면도 장점으로 꼽혔다. 하지만 악성코드 감염 재연 기능이 불가능하고, 암호화통신(SSL) 지원이 되지 않아 타사제품 연동이 필요하다. 안랩은 ‘MDS’에 고유의 ‘메모리 분석 기반의 익스플로잇 탐지 기술’을 적용, 악악의적인 행위의 종류나 행위 발생 여부와 관계없이 악성코드 탐지 정확성을 높이고 있다는 점을 강점으로 내세우고 있다. 드라이브바이다운로드(Drive-by download) 방식으로 유입되는 악성코드나 기존 행위 기반 탐지를 회피하는 지능형 악성코드에 효과적인 대응이 가능하다. 이 제품은 ‘탐지-분석-모니터링-대응’의 지능형 위협 대응 프로세스를 기반으로 동작한다. 엔피코어 ‘좀비제로’=엔피코어의 ‘좀비제로’는 PC의 악성행위를 실시간 탐지하고 차단할 수 있는 사용자단(agent) 행위기반 탐지 제품과 네트워크 구간 시그니처 및 행위기반의 이중분석을 하는 네트워크 패킷 분석 행위기반 탐지 제품이 연동 지원된다. 따라서 다양한 경로를 통해 유입되고 활동하는 악성코드에 대한 방어가 가능하다. 특히 엔드포인트 에이전트의 경우 사용자단말 타 보안프로그램과의 호환성을 고려해 안정적으로 운영 가능하다는 것이 특장점으로 지목됐다. 다만 같은 라인업의 타제품에 비해 실행가능 가상머신 개수가 적고 네트워크 구간은 미러 방식으로만 구성 가능하다는 점은 단점으로 평가됐다. 트렌드마이크로 ‘딥디스커버리’=트렌드마이크로의 ‘딥디스커버리’는 APT 탐지, 샌드박스 분석 및 차단을 수행한다. 기존 공격에 대한 자체적인 백신엔진의 시그니처 기반 탐지와 문서취약점 탐지에 특화된 엔진을 탑재해 APT 공격 탐지율을 높였다. 악성코드를 탐지하기 위한 자체적인 평판서비스를 보유하고 있으며 일부 타사 벤더들과도 협력관계를 구축해 운영하고 있다. 이 제품은 NSS랩에서 실시한 APT 솔루션 탐지 테스트(웹, 이메일기반 APT탐지 테스트)에서 3년 연속 1위를 차지한 제품이다. ‘딥디스커버리’는 제품 특성상 인라인 구성이 제한되고 미러 구성으로 이뤄져 유입되는 통신에 대해서는 차단이 가능하지만 파일차단에는 제한적인 부분이 있어 오피스스캔과 같은 서버용 백신 엔드포인트 솔루션과 연계해야 유입되는 파일까지 차단 가능하다. SSL 통신에 대해서도 탐지 및 내용분석을 위해서는 대부분의 솔루션과 마찬가지로 SSL 전용 솔루션이 필요하다. 다만 네트워크관련 감지엔진이 포함되어 있기 때문에 헤더분석을 통한 SSL통신 여부 정도는 탐지할 수 있다. 이같은 평가는 APT 솔루션으로 구성될 수 있는 최소단위인 ‘딥디스커버리 인스펙터’와 ‘딥디스커버리 애널라이즈’ 구성을 기준으로 진행됐다. 파이어아이 ‘NX’, ‘EX’=파이어아이 제품은 대기업과 공공기관 등 국내에서 많이 사용하고 있는 APT 대응 솔루션이다. 운영자 개입이 거의 없더라도 스스로 알아서’ 잘 차단하는 솔루션으로 인정받고 있다는 내용이 리포트에 명시됐다. 성능 면에서도 최소한의 운영 인력으로 오탐도 거의 없이 분석 내용을 녹화 화면 및 체계화된 텍스트로 잘 보여준다는 면에서 우수한 평가를 받았다. 다만 가격이 매우 높아 중소기업에서는 구매가 어렵다는 점이 지적됐다. 보안 투자는 다른 인프라 장비나 애플리케이션 투자에 비해 그 효과를 검증하기 어렵다는 점에서 고가인 경우 구매하기 어렵다. 파이어아이는 자사 제품의 가상머신이 높은 성능을 지원, 한 번 분석한 후 다음 분석 시까지 4초 이내의 짧은 시간이 소요된다는 점을 강점으로 내세우고 있다. 또한 자체 샌드박스 기술을 활용해 상용 샌드박스를 탑재한 제품 대비 공격자로부터 안전하고 문제 발생시에도 자체 해결이 가능하다고 설명했다. 포티넷 ‘포티샌드박스’=포티넷의 ‘포티샌드박스’의 핵심 기능은 의심스러운 파일을 가상의 공간에서 동작하게끔 만들어 악성 행위 여부를 탐지하는 탐지와 분석에 특화된 장비로 포티샌드박스에서 자체적으로 대응, 방어할 수 없고 이를 탐지해 안티바이러스(AV) 엔진 및 가상머신(VM)으로 보낸다. 따라서 탐지되고 분석된 해당 악성코드(파일)를 처리하기 위해서는 별도의 솔루션이 필요하다. 이를 위해 포티넷은 ‘포티게이트’, ‘포티메일’, ‘포티웹’, ‘포티애널라이저’, ‘포티매니저’ 등과 연계해 APT 공격 대응·방어 기능을 수행할 수 있도록 제공한다. 이들과 연동 구축할 경우 알려진 APT 대응방법과 처리에 있어 커버리지가 광범위하다고 평가됐다. 아울러 ‘포티가드’ 센터를 통해 글로벌 위협정보 공유(CERT 등)로 전송하는 기능을 보유하고 있어 해당 시그니처 생성과 다운로드 후 보안프로파일 DB에 자동 적용하므로 유사한 악성코드(파일) 유입시 DB에 의해 차단되게 되는 점도 특징이다. 다만 타 솔루션(SSL 검사 솔루션 제외)들과 호환이 어렵다는 점과 샌드박스 성능을 고려할 경우 ‘포티샌드박스’ 수량을 충분히 보유해야 한다는 점은 사용자가 고려해야 할 점으로 지적됐다. 이 리포트를 발간한 CONCERT의 심상현 사무국장은 “주제선정, 체크리스트, 리뷰 방법선정 등 모든 것이 철저히 사용자의 관점에서 이뤄진다는 것이 시큐리티 컨수머 리포트의 특징”이라며 “앞으로도 솔루션의 장단점 뿐 아니라 해당 솔루션 벤더사의 사후 유지보수 능력, 서비스 품질에 이르는 전 영역에 걸친 정보를 회원사들과 공유해 나갈 것”이라고 밝혔다. 보고서 전문은 CONCERT 홈페이지에서 확인할 수 있다.

이유지 기자 yjlee@byline.network

<저작권자 © 테크홀릭 무단전재 및 재배포금지>
default_news_ad5

가장 많이 본 뉴스

1 2 3 4 5
item45

재미있는 테크월드

item47

핫&이슈

item49

섹션별 인기기사 및 최근기사

패밀리 제휴업체 Click 하세요!
ad40
default_nd_ad2
default_side_ad3
default_side_ad4
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
default_news_bottom
default_nd_ad4
default_bottom
#top
default_bottom_notch