솔루션
웹센스 “샌드박스 기반 APT 솔루션으론 한계”
디지털데일리
발행일 2013-06-12 09:54:33
[디지털데일리 이민형기자] “샌드박스 기반의 보안솔루션은 한계를 드러내고 있습니다. 앞으로 닥칠 보안위협에 대응하기 위해서는 다른 방법이 필요합니다.”
윌리엄 탐 웹센스 동북아시아지역 총괄 세일즈엔지니어<사진>는 11일 열린 기자간담회에서 샌드박스, 가상머신을 활용한 지능형지속가능위협(APT) 대응 솔루션의 한계점에 대해 설명했다.
그는 “샌드박스 그 자체만으로는 논쟁의 여지가 없다. 분명히 훌륭한 기술이고 디지털포렌식, 개발 등에 활용 제대로 활용할 수 있다”며 “그러나 최근에 등장하는 악성코드들은 샌드박스를 회피해 시스템에 접근하는 등 고도화, 지능화됐다”고 설명했다.
실제 일부 악성코드들은 샌드박스, 가상머신에 진입했을 경우, 입력도구(마우스, 키보드) 등의 움직임과 시스템 부하 상태, 설치 애플리케이션 등의 정보를 분석해 잠복하고 실 시스템에 침입하기도 한다.
탐 총괄은 “모든 트래픽을 가상머신을 거쳐서 들어오게 만든다면 이는 업무연속성과 효율성에도 지장을 줄 수 있다. 보안위협을 예방하는 데 가상머신만 사용해서는 안된다는 증거다”고 강조했다.
이날 웹센스는 기존 방어시스템의 한계점을 말하면서 자사의 7단계 방어체계를 소개했다. 탐 총괄은 시그니처 기반 대응, 실시간 분석능력 부족, 아웃바운드 방어 취약 등을 한계점으로 꼽았다.
그는 “기존의 방어시스템은 우선 누군가 한번은 공격을 당해야한다. 그 공격이 있어야 대응책을 마련할 수 있기 때문”이라며 “외부에서 내부로 들어오는 공격에는 강한 면모를 보이나 반대의 경우는 대책이 없다. 한국에서 발생한 3.20 전산망 해킹이 바로 여기서 시작된 것”이라고 설명했다.
웹센스는 지능형 분류 엔진(Advanced Classification Engine, ACE)과 위협탐색 인텔리전스 클라우드(Threatseeker Intelligence Cloud)를 전면에 세우고 기존 솔루션과 차별화했다.
ACE는 HTTPS와 개인 소셜미디어를 통한 위협에 대응할 수 있다. 또 웹 위협과 취약점 공격 킷 탐지, 임베디드 링크 분석, 악성파일 분석 등 1만개 이상의 분석방법을 사용해 보다 안전한 인프라를 제공할 수 있다고 탐 총괄은 말했다.
탐 총괄은 “이를 비롯해 봉쇄를 위한 아웃바운드 콘텐츠 탐지와 점수체계에 기반한 엔진으로 실시간으로 위협을 탐지할 수 있다”며 “9억 개 이상의 엔드포인트의 정보를 비롯해 천만개 이상의 페이스북 게시물, 이멜일 등을 분석하는 위협탐색 인텔리전스 클라우드로 모든 단계를 차단할 수 있다”고 주장했다.
이날 발표된 웹센스의 보안솔루션 트라이톤(Triton)은 APT 공격의 7단계(정찰-유인-리다이렉트-익스플롯킷-드로퍼 파일-콜홈-데이터유출)을 ‘지능형 위협 킬 체인’으로 막아낼 수 있도록 설계됐다. 트라이톤은 웹센스의 보안위협 대응 아키텍처 이름이다.
한편 샌드박스 기반 모든 보안솔루션이 웹센스가 주장한 것 처럼 취약점을 가지고 있는 것은 아니라는 주장도 제기됐다.
전수홍 파이어아이 한국지사장은 “보안 전용 가상화 솔루션이 아닌 일반적인 가상화 솔루션으로는 웹센스에서 지적한 것처럼 고도화된 공격에 당할 가능성이 있다”며 “하지만 파이어아이를 비롯해 일부 업체들은 자체적으로 개발한 엔진을 사용하기 때문에 이를 뚫기란 쉽지가 않다”고 강조했다.
이어 “샌드박스 기반 보안솔루션이라고 해도 시그니처 방식을 전혀 사용하지 않는 것은 아니다. 파이어아이는 파트너사들과 협력해 사전에 차단할 수 있는 악성코드는 미연에 흘려보낸다”고 덧붙였다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지