시만텍이 '미확인(unknown)' 위협 요소를 막기 위해 탐지 알고리즘을 머신러닝으로 개선한 엔드포인트 보호 솔루션을 내놨다. 이미 유해성이 확인된 위협을 정의한 '시그니처'만으로는 매초 쏟아져나오는 불특정 위협 요소들을 일일이 막아낼 수 없다는 이유에서다.
설명에 따르면 위협 탐지 알고리즘에 머신러닝을 활용한 시만텍의 새로운 솔루션은 한층 가벼워진 몸집에 기존만큼 알려진(known) 위협에 대응하면서 다른 통합보안 기능까지 품었다. 지난달말 출시된 '시만텍엔드포인트프로텍션(SEP)14' 버전 얘기다.
시만텍코리아는 16일 서울 역삼동에서 기자간담회를 열고 신제품 SEP14를 국내에 소개했다. 박희범 대표가 엔드포인트 보호 솔루션의 중요성을 강조하고 최고기술책임자(CTO) 윤광택 상무가 SEP14의 주요 변화 및 개선요소 설명과 더불어 현장 시연을 맡았다.
박 대표에 따르면 기업 보안 시나리오에서 엔드포인트 보호의 중요도가 커지고 있다. 매일 새로운 위협이 110만건씩 만들어지는데 이는 초당 13건 꼴이다. 모든 위협을 탐지하는 일일이 파악해 시그니처를 만들어내긴 현실적으로 어렵다. 그런데 공격자들은 엔드포인트를 많이 노린다. 조직 인프라 관점에서 주요 지적재산이 모여 있는 곳이고, 외부 업무를 수행하는 담당자 기기는 공격에 취약해 손쉬운 표적이 된다. 외부 업무간에 위협 요소에 감염돼 내부로 돌아오면서 이를 전파시킬 수 있다. 엔드포인트 보호기술 없이는 무방비 상태가 된다.
박 대표는 "엔드포인트 보호 솔루션을 아무거나 쓰면 된다 생각하는 사람이 많지만 이는 사실 마지막 방어선"이라며 "엔드포인트 보호가 잘 돼 있지 않으면 아무리 조직 내부 보안이나 네트워크 보안이 잘 돼 있더라도 엔트포인트간의 감염 확산에 취약하다"고 주장했다.
즉 기업 입장에선 엔드포인트 영역에서 미확인 위협까지 막아야 할 필요성이 높다. 기존 엔드포인트 보호 솔루션처럼 알려진 위협에만 대응하는 건 적절하지 않다. 그래서 시만텍은 SEP14을 만들면서 시시각각 쏟아지는 모든 위협을 시그니처로 대응하는 대신 미확인 위협을 추정해 탐지하는 알고리즘을 머신러닝으로 고도화했다고 강조한 것이다. 박 대표에 이어 윤 상무의 제품 관련 기술 설명이 이어졌다.
윤 상무는 SEP14에 대해 "머신러닝을 활용한 다계층 보호 솔루션"이라고 표현했다. 그에 따르면 시만텍은 이전에도 머신러닝 기법을 활용하고 있었다. 다만 SEP14은 미확인 위협 요소를 오탐 없이 더 잘 걸러낸다. 그간 글로벌인텔리전스네트워크(GIN)에서 수집한 정보를 활용해 탐지 능력을 높인 결과다. 이를테면 바이러스같은 동작을 하는 요소를 발견시 그게 정상적인 윈도 패치 파일인지 실제 위협 요소인지를 더 정확히 판단하는 식이다. SEP14에서 탐지된 미확인 위협 요소는 4가지 유형(Heur.AdvML.A, B, C, D)으로 구분된다.
그는 개선된 SEP14의 탐지 능력을 시연했다. 우선 구글이 운영하는 '바이러스토탈' 사이트에 등록된 56개 솔루션 중 20개 이상이 악성코드라 판정했으나 시만텍은 아직 악성코드라 정의하지 않은 임의의 파일 100건을 추출했다. 이 100건의 샘플을 놓고 먼저 본사 출시 후 업데이트를 하지 않은 SEP14 솔루션(10월30일자)으로, 이어 간담회를 진행한 당일 최신 업데이트를 적용한 SEP14솔루션(11월16일자)으로 각각 얼마나 탐지해내는지 실험했다. 먼젓번 실험에선 67건을 잡았고 나중 실험에선 91건을 잡았다.
이는 동일한 악성코드 샘플에 대해선 역시 최신 업데이트를 적용한 솔루션이 미확인 위협 요소를 더 잘 잡아내는 것이라 이해할 수 있다. 다만 바이러스토탈 사이트의 샘플은 계속 추가되기 때문에, 다른 시간대에 추출한 샘플은 수가 같더라도 동일한 테스트 결과를 보여 주진 않는다.
SEP14는 미확인 악성코드뿐아니라 정상 프로그램의 보안취약점을 악용한 코드 실행도 차단하는 기능을 탑재했다. 시만텍은 이를 '메모리 익스플로잇 공격 차단'이라고 표현했다. 이전까진 정상 프로그램에서 알려지지 않은 취약점이 발견되면 CVE로 시작하는 일련번호를 부여받고, 이를 통한 공격 사례에서 확보된 악성코드에 대한 시그니처가 만들어지거나, 정상 프로그램의 제작자가 패치를 배포해야 사용자를 보호할 수 있었다. SEP14에 탑재된 공격 차단 기능은 이런 조치가 이뤄지기 전까지의 공백을 메울 수 있다는 게 시만텍의 주장이다.
관련기사
- 트렌드마이크로, 랜섬웨어 대응 솔루션 X젠 출시2016.11.17
- 팔로알토네트웍스 "안티바이러스 대체하겠다"2016.11.17
- 시만텍, 중견기업용 랜섬웨어 대응 솔루션 출시2016.11.17
- 시만텍, 블루코트 인수 완료2016.11.17
SEP14에는 악성코드의 탐지 우회 수단을 무력화하기 위한 에뮬레이션 기능도 추가됐다. 악성코드는 실행파일 형태로 동작하지만 보안 솔루션의 탐지를 피하기 위해 그 본체를 압축시킨 형태로 배포될 때가 많다. 악성코드 제작자는 이 때 상용화한 압축 기술을 쓰지 않고 스스로 만들어내는데 이는 '커스텀 패커'라 불린다. 커스텀 패커로 숨긴 악성코드를 안전한 가상머신 영역에서 실행파일 형태로 되돌려 탐지해낼 수 있도록 만드는 게 에뮬레이션 기능이다.
윤 상무는 "국내 소셜커머스 업계 SEP12 버전 사용 고객이 14 버전으로 업그레이드 후 탐지 로그(이력)가 30% 가량 증가했다고 알려줬다"며, 이처럼 더 많은 미확인 위협 요소를 탐지해낼 수 있게 개선된 SEP14가 오히려 가벼워졌다고 강조했다. 클라이언트 프로그램 크기는 기존 수준을 유지하고 있고, 이전 세대 제품이 1기가바이트(GB)가량 차지했던 설치공간은 최신 버전에서 절반 수준인 500메가바이트(MB) 정도로 줄어들었다는 설명이다.
