전문가가 말하는 지능적인 APT에 맞서는 방법

현장속으로/세미나 2013. 12. 9. 18:12

11월 18일부터 19일까지 "제 7회 국제 통합 정보보호 구축전략 컨퍼런스(ISEC 2013)"가 코엑스 컨퍼런스룸에서 열렸다. 이 컨퍼런스를 통하여, 각 분야의 보안 실무자는 사회적 이슈인 정보보호의 최신 트렌드를 공유하고 보안 업체로부터 가이드와 솔루션을 제공받을 수 있다. 

APT공격이 지능화되고 피해가 증가함에 따라 APT 대응의 중요성이 높아지는 가운데 트랙B에서 진행하는 안랩 오상언 차장의 "위기로 다가온 APT, 어떻게 맞설 것인가?"를 들어보았다. 그는 APT솔루션이 APT공격에 어떻게 대응하는지와, 안랩 TrusWatcher(글로벌 제품명 안랩 MDS)에서 이루어지는 수집(Collection), 분석(Analysis), 모니터링(Monitoring), 대응(Response)의 4가지 측면을 설명했다. 다음은 주요 내용.

지난 4년 동안 이슈가 된 DDOS공격(2009,2011,2013), 금융기관 해킹 사고(2011), 개인정보유출(2011,2012), 전산망 마비 (2013), J언론 해킹사고(2012)등의 보안문제 가운데, 악성코드에 관하여 많은 논의가 이루어지고 있다. 그렇기 때문에 APT공격에 대하여 무엇을(What), 어떻게(How), 할(DO) 것인지가 중요하다. 

APT솔루션이 APT에 대응하는 4가지 방법

대부분의 APT솔루션은 파일을 모은 후 분석하고, 모니터링한 후, 악성코드가 발견되면 그것에 대응을 한다. APT솔루션이 처음으로 하는 파일 수집(Collection)은 웹이나 FTP 메일등과 같이 네트워크 유입경로를 지나가는 모든파일을 수집하고, 실행파일인 PE파일과 문서형파일인 Non-PE파일로 구분을 하는 것이다. 분석(Analysis)은 가상머신을 이용하여 행위분석을 하는 것이다.  

안랩 APT솔루션인 은 컨텐츠 분석을 추가적으로 수행한다. 이러한 분석을 통하여 Anti-VM에 어떻게 대응할 것인지 방향을 정하고, 지능적으로 악성코드를 탐지하고, 오탐을 최소화할 수 있어야한다. 모니터링(Monitoring)은 APT솔루션이 가상머신을 채택하고 있기 때문에 악성의 여부를 가시성있게 보여줘야한다. 대응(Response)은 악성코드가 발견되면 디스크를 포맷하거나 Malware를 치료나 삭제를 하는 것이다.

안랩의 TrusWatcher는 APT공격에 탐지 및 대응에 특화한 보안 솔루션으로, 다른 APT솔루션과 마찬가지로 수집, 분석, 모니터링, 대응의 4단계로 APT를 막는다. 

<수집>

실제 인터넷과 내부의 pc간의 통신하는 모든 서비스 프로토콜에 대해서 장비가 기본적으로 인식하고 수집된 파일내에서 PE파일과 NON-PE파일로 구분한다. 대부분 인터넷 프로토콜을 인식하여 파일을 수집할 수 있는 지가 중요하다.

<분석>

안랩 TrusWatcher는 모든 정보를 시그니처 기반으로 탐지한다. 시그니처 방식을 채택하는 이유는  고객사의 PC에 유입되는 파일에 악성코드, 신종악성코드, 변성악성코드가 있을 위험이 있기때문에, 모든 파일을 최대한 빨리 악성과 정상인지를 구분하기 위해서이다. 탐지한 파일 중에서 악성파일도, 정상파일도 아닌 알려지지 않은 파일도 발견된다. 이러한 파일은 가상머신에서 행위 기반으로 탐지를 하게된다. 하지만 가상머신은 고객사의 PC와 동일하게 세팅을 할 수 없으므로 오탐이 발생할 가능성이 있다. 

그렇기 때문에 안랩 TrusWatcher는 행위 기반 탐지와 동시에 평판기반 탐지를 한다. 행위 기반 탐지와 편판 기반 탐지 후, 위협과 잠재적인 위협, 정상으로 분류가 된다. 이에 따라 시그니처 기반의 탐지를 통하여 알려진 악성코드를 필터링더라도 평판기반으로 오탐을 최소화할 수 있다.

안랩 TrusWatcher는 파일이 실행하기 전과 연관 행위 종료 후 사이에서 프로세스, 파일, 네트워크, 레지스트리에 대하여 실시간으로 분석한다. 분석한 정보를 악성인지 여부만 탐지하는 것이 아니라 클라우드, 시그니처, 평판 기반 탐지를 종합적으로 연관 분석하여 실질적으로 오탐을 줄인다. 

하지만 타사는 파일이 시작되는 전과 후의 변화에 따라 악성 여부를 판단한다. 즉, 평판 기반 탐지를 하지 않기 때문에 레지스터나 프로세스의 변화만 보고 악성 여부를 판단하여 오탐이 발생할 가능성이 크지만, 안랩 TrusWatcher는 행위분석 외에 크라우드, 평판분석, IP/URL Filtering, 시그니처 방식의 다차원 분석을 통해 오탐을 최소화한다.

앞의 내용은 정적 지능형 컨텐츠 분석의 내용이다. 그럼 가상머신의 엔진 속에서 동적 지능형 컨텐츠 분석은 어떻게 할까? 파일이 실행되면 exe 파일과 DLL#1, DLL#2, DLL#3의 파일이 생긴다. 정상 파일의 경우 exe에서 DLL#1로 갔다가, 다시 exe에서 DLL#2로 가고, 다시 exe에서 DLL#3으로 탐지 한 후 파일이 열린다. exploit 파일의 경우 exe에서 DLL#1으로 갔다가, 특정 시간 이후에, 메모리의 heap 영역에 shell code를 만든 후 exe에서 DLL#2로, 다시 exe에서 DLL#3으로 가는 정상행위를 하다가 exploit이 발생하면 shell code로 점프를 한다. 안랩은 악성코드 분석을 디버깅 프로그램을 통해 한다. 문서파일이면 컨텐츠파일 분석을 하고, exploit이 발생하면 shell code 영역으로 점프를 하여 탐지하고 분석한다.

ROP gadget이란 악성코드 제작자가 정상적인 코드를 악성 shell code로 재사용하는 것이다. 이러한 ROP를 탐지하는 것이 안랩의 동적 콘텐트 분석 엔진(DICA)이다. DICA는 ROP gadget에 의하여 발생하는 가능한 모든 트리거를 모니터링하여 shell code로 실행하는 메모리 영역을 실시간으로 검사한 후, 메모리 영역의 악성 shell code 여부를 판단한다. 또한 DICA 엔진을 통하여 APT에 활용되는 비실행형 악성코드를 탐지가 가능하다. 요즈음 아래한글,워드, 아래한글같은 비실행형 코드를 통하여 APT공격이 이루어지고 있다. 

안랩 TrusWatcher는 워드파일이 수집되면 DICA 엔진으로 동적 컨텐츠 분석을 수행하고, 그 후 실행파일에 대하여 실시간으로 모니터링하고 평판분석하여 오탐을 최소화한다. 타사는 워드나 pdf 파일에 대하여 탐지가 가능하나, 많이 사용되는 아래한글에 대해서는 정확하게 탐지할 수 없다. 아래한글파일이 들어오면 워드파일이라 인식하고, 워드파일로 분석한다. 그러다보니 아래한글파일의 분석결과가 워드파일로 분석되어 보안담당자에게 혼락을 줄 수 있고, 실행 전과 후의 변화로 악성여부를 판단함으로 오탐이 발생할 가능성이 크다. 

APT에 대응하는 솔루션이 많이 나오다보니, 악성코드 제작자 입장에서는 악성코드를 분석하는 엔진이 악성코드를 인식하게 못하도록 압축, 패킹, 가상머신이나 샌드박스가 우회하도록 하는 기술을 발전시키고 있다. 안랩은 이 부분을 정적분석과 동적분석을 통해 막고 있다. 정적분석의 방법으로 알집같은 압축 포맷을 해제하는 것이 중요한데, 알집의 압축 포맷을 해제하는 기술은 안랩만이 가지고 있다.

<모니터링>

대부분의 APT대응 솔루션들은 악성코드 탐지 분석에 대한 내용을 점수를 메기고 위험도를 평가한다. 고객사가 신종/변종 악성코드인지 알려진 악성코드인지 의심스러운 행위파일인지 알 수 있게 가시성을 확보하여야한다. 가상머신으로 나온 결과만으로 교정을 할 수 없기때문에, 보안담당자가 모든 파일을 훑어봐야해서 업무가 더 늘어날 수 있다. 하지만 안랩의 truswatcher은 레벨을 1부터 10까지 나눠서 레벨 1부터 3은 의심스러운 행위파일, 레벨 4부터 7은 알려진 악성코드, 레벨 8부터 10은 신종,변종 악성코드로 나누어 가시성을 확보한다.

<대응>

안랩 TrusWatcher은 에이전트 방식을 채택하고 있다. 실행 보류 기능이 있어, 정상 판정이 나야 실행이 허용되고, 악성 판정이 나면 실행 홀딩이 유지된다. 이처럼 실제 분석된 정보를 바탕으로 하여 에이전트롤 활용해 악성코드에 대응해야 한다.

이어서 미리 페이스북에 받은 질문에 대한 답변이 이어졌다.

Q1.

A. 이 부분은 안랩뿐만 아니라 모든 APT대응 솔루션 업체들의 숙제이다. 비슷한 경우로, 가상머신기반으로 실제 의심되는 파일을 분석하여 분석한 데이터를 봤을 때, 행위기반으로 본다는 것은 악성행위가 나타날 때마다 악성으로 판단할 수 있고, 연관분석을 한다 해도 분명이 오탐이 발생할 수 있다. IBS 시절에 맞춤화했던 것처럼 APT 대응솔루션도 어느 정도 악성코드에 대한 맞춤 기관이 필요하다. 

APT 대응솔루션 하나만으로 모든 APT공격을 차단할 수는 없다. 그러나 기존에 운영하던 방화벽 로그나 네트워크 패킷 분석 시스템 등과 조화하여 지능형 악성코드 시스템에 대하여 대응하고, 기존보안솔루션과 잘 연동하여 사용하는가가 중요하다. ESM/SIM이나 기타 빅데이터 솔루션과 연동하여 시나리오 베이스로 잘 모니터해야 한다.

Q2.  

A. 이 질문은 네트워크 포렌식 장비와 어떻게 연계를 할 수 있는지에 대한 것이다. APT 대응솔루션은 파일에 대하여 수집을 하고 기본적인 패킷 분석을 하지, full packet 이나 double packet에 대하여 실시간으로 정확한 패킷분석을 하지 못한다. 

패킷분석시스템과 APT 보안 솔루션과 함께 방화벽도 이용하여 APT대응을 해야 한다. APT대응솔루션을 통하여 의심스런 파일의 패킷 조합을 살펴서 파일 분석을 해야 한다. APT대응솔루션이 파일을 가상머신에서 돌리면 대부분의 방화벽은 의심되는 외부 IP와 통신하는 것을 탐지한다. APT대응솔루션으로 부터 나오는 파일에 대한 분석대응과 방화벽의 패킷분석 시스템의 분석로그를 조화시켜 APT에 대한 정확한 공격을 할 수 있다. Ahn

대학생기자 윤현정 / 동덕여대 컴퓨터학과 


댓글을 달아 주세요

국화향 가득한 인천에서 깊어가는 가을을 느끼다

문화산책/여행 2013. 11. 9. 04:30

단풍이 울긋불긋 물드는 늦가을, 그윽한 국화향기가 생각나는 계절이다. 제94회 전국체육대회의 성공적 개최와 인천시민의 날을 맞이하여 2013년 10월 11일부터 21일간 열렸던 인천 월미공원에서 열리는 국화전시회에 찾아가 보았다. 월미공원은 6.25 때 인천상륙작전의 역사가 서려있고, 바다에 둘러싸여 있어 서울근교에서도 많은 사람이 찾는 곳이다. 월미도 광장에 도착하니 파란 바다와 푸른 하늘이 맞닿은 수평선이 펼쳐져 있었다. 바다 향와 어울어진 국화의 향은 어떨까라는 생각에 월미공원으로 향하는 발걸음을 재촉하였다.

월미 광장으로부터 월미공원으로 가는 길에는 이렇게 긴 벽화가 그려져있다. 어 정도 걸어야 하기 때문에 자칫하면 지루해질 수 있는 길이지만, 벽화를 보는 재미에 금방 월미공원에 도착한 기분이 들었다.

한 십분쯤 걸으니, 월미공원 국화축제라고 써있는 입구에 다다를 수 있었다. 원래 있던 월미공원에 전시를 한 것이여서, 월미공원에 조성되어 있었던 전통가옥과 국화가 조화를 이루고 있었다.

국화는 재배의 방법에 따라서 절화용과 화분용으로 나누어지고, 화분용은 다시 포트멈과 관상국으로 나누어진다. 월미국화축제에서는 대부분 다륜대작, 입국작, 분재작, 현애작 등의 관상국으로 이루어져있었다. 발걸음이 닿았던 순서대로 보았던 국화를 소개하려 한다.

전시회 입구를 지나니, 처음 맞이하는 것은 마치 국화꽃으로 가득한 꽃다발처럼 보이는 다륜대작(多輪大炸)이였다. 다륜대작은 중국(中菊)이나 대국(大菊) 한 줄기에 곁가지를 내여 원형 틀에 유인하여 꽃이 100~1000송이 피게 한 것이다. 500송이가 넘는 작품은 '천륜작' 혹은 '천각작'이라고 하고, 틀만들기와 꽃의 배열이 일정하여 꽃송이가 많고 전체적으로 큰 작품일 수록 좋은 것이다. 다륜대작은 소국이 아닌 중국이나 대국으로 이루어져서 일반소국에서 느끼지 못하는 고귀하고 우아한 자태를 느낄 수 있었다. 

조금 더 걷다보니, 형형색색의 입국작(다간작:多幹作 과 일간작:一幹作)들이 모여있었다. 위의 사진은 입국작 중에 다간작으로, 중국(中菊)이나 대국(大菊)을 화분에 심고 꽃대를 홀수로 받침대를 세워 사방으로 유인하여 기른 것이다. 화분에서 꽃 부분까지의 생육정도가 45cm이상이고 꽃송이가 크고 선명하고 광택이 있어야 좋은 것이다. 월미국화축제의 입국작들은 한 화분에 7개정도의  국화가 심어져 있었다.

같은 입국작의 일종으로 다간작의 옆에 일간작이 전시되어 있었다. 일간작이란 가장 초보적인 방법으로 대국을 위주로 국화 묘 하나를 심어 한줄기에 꽃 한송이만 피게 한 것이다. 7월 초순경에 삽수를 채취하여 보통 50~100cm로 기른다. 특히, 초장을 30~40cm로 짧게 키우는 방식을 왜화재배라 한다. 하나의 색의 입국작이 모여있는 것보다 여러 색깔이 입국작이 어우러져 있으니 서로의 아름다움을 더하는 것 같았다. 작은 국화는 주위에서 찾아보기 쉽지만, 대국을 직접보기는 어려웠는데, 대국을 실제로 보니 소국보다 시원하고 화통한 느낌이 들었다.

입국작이 전시된 맞은편에는 분재작(盆載作)이 전시되어 있었다. 분재작은 국화를 이용하여 자연의 풍경을  화분에 옮겨놓은 작품이다. 소국을 한 화분에 한 뿌리 심어 나무분재처럼 재배하는 것으로, 일반분재, 목부작, 석부작으로 구분하며 기교에 따른 조화와 기품을 중시한다. 분재작 중 간작(古幹作) 줄기를 2년 이상 키운 작품이다. 국화축제에 있는 분재작들은 마치 절벽위에서 자란 나무를 연상케하였고, 자연을 품은 국화의 모습에서 그 고귀함과 기품이 느껴졌다.

조형작을 지나고 나니, 하트모양 꽃밭을 연상케하는 작품이 보였다. 이 것은 현애작(懸崖作)으로 절벽 틈으로 초목이 뿌리를 내리고 늘어져있는 풍취를 본 뜬 작품으로 현애작의 뒷 모습을 보면 국화의 뿌리가 늘어져있는 모습을 볼 수 있다. 현애작을 만들기 위해서는 소국을 한 화분에 한 뿌리 심은 후, 줄기를 아래로 늘어뜨려 많은 곁가지를 내야한다. 꽃의 개화가 일정하고 유인상태가 일정한 각을 유지하여 꽃의 배치가 적절하며, 길고 클수록 좋다. 현애작앞에서 불혹의 나이에 가까워보이는 아주머니들이 소녀처럼 웃으며 사진을 찍고 있었다. 현애작의 애자가 愛는 아니지만, 현애작 앞에 있으면 서로 사랑하는 마음이 생기나보다. 


국화의 전설

옛날에 장방이라는 현자가 있었다. 어느 날 근항경이라는 사람에게 한 가지 예언을 하였다. "금년 9월 9일 자네의 집에는 반드시 재앙이 있을 것이네. 이 재앙을 막으려면 집안 사람 각자가 주머니를 만들어 주머니 속에 산수유를 넣어서 팔에 걸고 높은 곳에 올라가 국화술을 마시면 화를 면하게 될 것이네." 근항경은 장방의 말에 따라 그날 집을 비우고 가족들 과 함께 뒷산으로 올라 갔다. 그리고는 장방이 말한대로 국화술을 마셨다.
집에 돌아와 보니 닭이며 개, 소, 양, 돼지 등이 모두 죽어 있었다. 장방은 이 소문을 듣고 고개를 끄덕이며 말했다. "그 짐승들은 사람 대신 죽은 것이었다네. 국화술이 아니었다면 자네 식구들은 모두 죽었을 거야." 9월 9일 중양절에 높은 곳에 올라가 국화술을 마시거나 부인들이 산수유 주머니를 차는 것은 여기에서 유래된 것이라고 한다

 

몇 걸음을 걸으니, 국화축제의 핵심인 조형작(造形作)이 보였다. 국화를 이용하여 만든 나비모양, 기린, 코끼리등의 작품들이 많은 사람들이 발길을 멈추게 하였다. 조형작은 대국이나 소국을 화분에 심고 순집기를 하여 동물이나 사물형태의 특수 틀에 맞추어 유인작업을 한 것이다. 틀의 제작에 따라 다양한 작품을 만들 수 있으며, 규모가 클 수록 화려하고 동물의 경우 역동적일 수록 좋다. '조형작'을 생각하면 화려함이 생각나는데, 국화를 이용하여 조형작을 만드니 조형작의 화려함이 검소해진 것 같다. 조형작의 화려함에 눌려 주위를 둘러보지 못하는게 아니라 조형작과 어울어진 풍경과 하늘에도 관심을 가지게 된다.

우리나라지도와 나비


 

 

 

 

 

 

 

 

 컵과 기린과 코뿔소

 

 

 

 

 

 

 

 

 

 

 별 사이에 있는 낙타와 하트

 

 

 

 

 

 

 

 

 

 토끼와 별

 

 

 

 

 

 

 

 

 

흰 국화의 꽃말은 성실과 진실 감사, 노란색은 실망과 짝사랑, 빨간색은 '나는 당신을 사랑합니다'라고 한다. 빨간색 국화의 꽃말처럼, 국화의 계절 가을에는 사랑하는 가족이나 친구와 국화를 보며 서로에게 사랑하는 마음을 전달하는 계절이 되었으면 좋겠다. Ahn


대학생기자 윤현정 / 동덕여자대학교 컴퓨터학과

 

댓글을 달아 주세요

전문가 전망, 네트워크 보안의 지향점은 어디일까

현장속으로/세미나 2013. 10. 30. 13:54

안랩은 10 23일 코엑스컨벤션센터 그랜드볼룸에서 기업공공기관 IT 관리자 및 보안담당자를 대상으로 새로운 보안 위협 동향 및 패러다임 변화에 따른 해법을 제시하는 ‘안랩 ISF 2013(AhnLab Integrated Security Fair, 이하 ISF 2013)’를 개최했다

전략제품사업팀 유명호 차장은 “네트워크 보안, 어디를 지향하는가”를 주제로 급격한 환경의 변화에 따라 네트워크가 어디를 지향하는지와, 안랩의 대표 솔루션인 TrusGuard(글로벌 제품명 AhnLab TrusGuard)가 어떻게 발전해왔고 어떻게 발전해갈 것인지를 설명하였다. 다음은 주요 내용.

현관문 자물쇠가 홍채 인식으로 진화하듯


집에 문(door)이 있어서 자신의 집에 있는 돈이나 문서 같은 정보가 외부로 유출되지 않게 된다. 컴퓨터 세계에서는 문처럼 네트워크가 내부의 정보가 지나가는 통로 역할을 하여 정보가 유출되는 것을 막는다. 과거엔 문을 자물쇠로 잠그다가, 현재는 도어락에서 홍채 인식으로 발전하였다. 네트워크 또한 역할의 증대, 서비스 인프라와 결합, 경계를 재구축, 플랫폼이 진화 4가지 측면에서 발전해왔다. 문의 보안이 계속 발전해왔듯이 네트워크 보안도 계속 발전해 나갈 것이다.


네트워크 보안의 역할 중에 “내부정보유출방지”와 “탐지대응”의 두 가지 측면이 중요하다. 내부정보유출방지를 위해서는 애플리케이션(P2P, 웹메일, 웹하드 등)을 제어함으로써 내부 정보가 외부로 유출되는 것을 막는 방법이 있다. 또한 문서 파일을 패킷이 아닌 파일 기반으로 만든 후 내부에 특정 개인정보가 들어있는지 탐지하여 데이터 유출을 방지하기도 한다. 탐지대응은 내부 PC에 APT가 발생할 수 있는 알려지지 않은 악성코드(unknown malware)가 존재하는지를 탐지하고 대응하는 것이다.

과거에는 보안 위협이 거의 없어서 정적으로 대응했지만 지금은 보안 위협이 고도화했기 때문에 동적으로 대응해야 한다. 그렇기 때문에 네트워크가 서비스 인프라와 결합되어 동적으로 대응하는 것이 중요하다. 


서비스 인프라와 결합된다는 것은 광범위한 보안 위협을 실시간으로 수집한다는 것이다. 외부 센서로부터 실시간 정보를 수집하여 중앙 시스템에 전달한 후, 중앙 시스템에서 여러 가지 분석을 통해 악성인지 판단하여 네트워크 보안 장비에 전달한다. 이러한 서비스 인프라와 결합해 ¹ 제로데이 공격에 대응할 수 있고, 알려지지 않은 위험(unknown risk)를 알려진 위험(known risk)로 만들 수 있고, 상황에 빠르게 변화할 수 있어 ² false positive를 최소화할 수 있게 된다.


과거에는 회사 내부 자원이 대부분 회사 안에 있었기 때문에 네트워크의 경계가 회사의 물리적 경계와 같았다. 하지만 요즈음은 약 7.9억 개의 모바일 디바이스가 개발되면서 네트워크의 경계가 회사 내부에서 모바일 영역까지 확장되었고, 이에 따라 네트워크의 재구축이 필요해졌다. 현재는 모바일의 개인의 영역과 업무의 영역이 모호해진 ³ BYOD 환경에 다가와 있다. BYOD는 안전한 모바일 VPN, 모바일 디바이스로부터 특정 승인번호를 가져서 2개 채널로 인증, 인증 정보를 기반으로 한 접근제어 같은 보안 기능을 제공한다.


모바일의 사용이 증가함에 따라 트래픽이 폭주하고 보안 장비가 트래픽을 처리하지 못하여 결국 병목 현상이 생기게 된다. 이에 따라 소프트웨어와 하드웨어의 가속 기술이 발전해 플랫폼의 변화가 있어야 한다. 소프트웨어 가속 기술에는 대용량 처리 기술, 고속 패킷 기술, 패턴/행위 탐지 고속 기술, 패킷 기반 탐지 기술이 있다. 


대용량 처리 기술은 패킷이 지나가는 곳을 넓혀 많은 패킷을 보내는 기술이다. 고속 패킷 보안 기술은 특정 패킷을 처리할 수 있는 경로를 두 개로 만들어 인증된 패킷은 빠르게 보내는 것이다. 패턴/행위 고속기술은 가장 최소의 패킷으로 가장 빠르게 탐지하는 것이고, 패킷 기반 탐지는 악성코드를 패킷 기반으로 고속으로 탐지하는 것이다. 


하드웨어 플랫폼도 처리해야 할 트래픽이 많아지면서 발전해왔다. 초기엔 싱글코어(single-core)로 사용했지만 트래픽이 많아지면서 멀티코어(multi-core)로 발전되었고, DPI 성능이 부족한 멀티코어을 보완하기 위해 고집적 성능 NP(Network process)로 바뀌었다. 하지만 이것은 코딩이 하드코딩이라 유연하지 못하고 가격이 비싸기 때문에 현재는 매니코어 플랫폼을 이용한다. 매니코어는 개발의 유연성뿐만 아니라 호환성이 수십 개에 달하고, DPI 같은 행위 패턴을 고속화시키고 가격 또한 저렴하다. 

세계에서 가장 빠른 TrusGuard

이처럼 네트워크의 변화가 가속화함에 따라, 안랩의 보안 장비 또한 과거의 개념에서 탈피하여 환경에 맞게 발전해가고 있다. 안랩의 뛰어난 장비들을 대표하는 차세대 네트워크 보안 솔루션에 TrusGuard(트러스가드)는 4가지 특징이 있다. 


첫째, TrusGuard의 방화벽 성능은 세계에서 가장 빠르다. 플러딩 공격이 많아지고, 작은 패킷을 사용하는 애플리케이션이 많아졌다. 현재 발생하는 트래픽의 45% 가량은 작은 패킷에서 발생하였다. 이로 인하여 초당 처리할 패킷이 많아지고 방화벽 성능이 떨어지게 되었다. TrusGuard는 코어 하나하나 최적화하여 패킷을 분배하기 위해 병렬 처리하였고, 소프트웨어 가속기술을 가지고 있어 인증된 패킷은 fast 경로로, 일반 패킷은 normal 경로로 지나가게 하였다. 


또한 하드웨어와 행위 패턴 가속하여 패킷 필터링과 레이턴시를 가속화하였다. TrusGuard는 3㎲ 이하 레이턴시로 처리 속도가 빠르다. 또한 패킷의 사이즈에 관계없이 와이어 처리 성공 속도도 빠르다. 가장 높은 모델에서 wire 40G를 처리할 수 있다. 

둘째, TrusGuard는 Next-Generation Provisioning이다. 이것은 미리 공격을 탐지하고 차단할 수 있다. 실시간으로 악성코드를 다운로드하거나 실시간으로 악성코드를 경유하는 리스트 DB를 가지고, 내부 PC가 그곳에 접속하는 것을 미리 차단한다. 또한 애플리케이션 제어로 내부정보가 유출되는 것을 방지 한다. P2P, 웹하드를 단순 접속하는 것을 제어하고, 파일 전송이나 채팅 같은 행동을 금지한다.


셋째, TrusGuard는 클라우드 기반의 강력한 서비스 인프라를 제공한다. 실시간으로 2천만 대의 센서들로부터 보안 경보를 모은 후 중앙 분석 시스템에서 이를 분석하여 악성을 고른다. 보안 위협에 대한 부산물을 통하여 빅데이터 기술로 DB화하고, 안 되면 100여 명에 이르는 전문조직이 분류한다. 이처럼 TrusGuard는 서비스 인프라와 결합하여 실시간 위협에 대응하는 생명력을 가지게 된다.


넷째, TrusGuard는 사용자 중심적이다. 웹 기반(http)이므로 어느 장소에서나 접속이 가능하고, 사용자의 편의성을 고려하여 UX 설계가 가능하다. 또한 1차원적이 아닌 공격자, 공격대상, 공격유형, 공격 서비스 등의 상관분석정보를 제공하여, 전체 장비를 직관적으로 볼 수 있다.


<용어 설명>

1. 제로데이 공격(zero-day attack) : 취약점 공격의 신속성을 의미하기도 하며, 대응책이 공식 발표되기도 전에 공격이 이루어지기 때문에 대처 방법이 없다는 위험성을 표현하기도 한다. 이 공격은 취약점의 최초 발견 보고 후 대응 패치가 나오기까지 시간을 이용한 공격방식이다. 

2. false positive : 악성코드 검사에서 정상 파일을 악성코드로 잘못 진단하는 것. 

3. BYOD(Bring Your Own Device) : 직원들이 개인적으로 사용하는 노트북, 테블릿, 핸드폰 같은 모바일 기기를 직장에 가져와 업무를 처리하는 것.

Ahn


대학생기자 윤현정 / 동덕여자대학교 컴퓨터학과


댓글을 달아 주세요