APT가 뜬다...보안업체 '돌격'

전 세계가 지능형지속가능위협(APT) 공격으로 떠들썩한 가운데 보안업체들도 대응책 마련에 분주하다. APT 공격은 장기간 피해사실을 알지 못하는 것은 물론 보안공격까지 우회할 수 있어 더욱 피해가 확산되고 있기 때문이다.

APT 공격에 사용되는 악성코드 감염된지도 모른채 PC에서 최장 670일을 잠복했던 피해도 나타난 바 있다. 특히 최근 발생하고 있는 대부분 해킹 피해가 APT 공격이지만 기존 보안 기술로만으로는 막기가 쉽지 않아 더욱 문제가 되고 있다.

■글로벌 보안업체, APT공격 방어전략은?

글로벌 보안업체들도 이에 대해 다양한 대안을 내놓고 있다. 대표적으로 시만텍, 체크포인트, 파이어아이가 APT 대응 전략을 강조하고 나섰다. APT를 기존 보안기술 만으로 막을 수 없기 때문에 새로운 개념이 필요하다는 것이 골자다.

먼저 시만텍은 진화하는 사이버 보안 위협에 대응하기 위해 정보중심적인 접근을 강조하고 나섰다. 변화하는 위협상황에 효율적으로 대응하기 위해 정보가치 자체에 핵심을 둬야 한다는 것이다. 진화하는 사이버 보안위협 대응을 위해 ‘평판기반’ 보안 기술을 필두로 내세웠다. 더 이상 전통적 시그니처 기반 보안으로는 공격용 툴킷의 확산과 악성코드 변종 범람을 막을 수 없기 때문이다.

한국에 지사를 설립한 파이어아이도 APT 공격 대응을 위한 솔루션을 내놨다. 제로데이 공격 감지를 위한 스테이트풀 공격 분석을 사용하는 시그니처 없는 엔진 공격에 대해 모든 라이프사이클 분석해주는 솔루션을 내놨다. 단순 시그니처 기반 바이너리 패턴 매치대신 URL, 도메인, IP주소 및 데이터 등을 결합한 조합을 통한 탐지 및 분석을 제공해줘 APT 공격을 방어하고자 한다.

체크포인트는 사이버범죄를 일으키는 악성 소프트웨어인 봇과 APT 공격을 막을 수 있는 기술을 선보였다. 기업들이 미래 위협에 대해 탐지 및 치유, 예방할 수 있는 기술을 사용해 그들의 트랙에서 봇공격을 멈추도록 설계했다.

■국산 보안업체 미션 “APT공격을 막아라”

안랩은 지난해 국내 APT공격 피해가 지속되자 미국 샌프란시스코에서 열린 세계 최대 보안 컨퍼런스인 ‘RSA2012’에서 세계 최초로 APT 대응 신기술을 내놨다. 자사의 악성코드 분석기술과 네트워크 보안 기술을 융합한 형태다. 클라우드 기반 사전분석 기술과 자체 가상머신을 이용한 악성행위 분석기술을 통해 APT를 비롯한 지능형 보안공격에 대응할 수 있는 기술을 선보였다.

APT 공격 방어 그 중심에는 DICA(Dynamic Intelligent Contents Analysis) 기술이 있다. APT 공격에 가장 빈번하게 이용되고 있는 변종 악성파일에 대해 근본적인 대응이 가능하도록 했다.

김홍선 안랩 대표는 “APT 공격 대응을 위해서는 보안성 강화를 위한 가시성 확보가 중요하며, 전방위적인 보안 대책이 필요하다”고 밝혔다.

보안관제를 통해 탐지가 어려운 APT 공격에 대응하기 위해 인포섹도 멀티레벨 탐지체계를 지원하는 보안관제서비스를 출시했다. 사내 OA망 애플리케이션 제어 및 내외부 트래픽 분석을 통해 악성코드 감염 차단 및 분석 불법 프로그램 사용을 제어해준다.

조래현 인포섹 MSS사업본부 본부장은 “APT 공격에 의해 지속적으로 발생하고 있는 사고에 대응하기 위해서는 기존 보안관제의 미탐지 영역에 대해 관제 및 전문가의 사고 대응서비스가 필요해졌다”고 밝혔다.