솔루션
인포섹, APT 시장에 출사표…네트워크부터 엔드포인트 보호까지
디지털데일리
발행일 2013-10-11 17:17:39
- 카운터택과 제휴 통해 ‘통합 APT 대응 서비스’ 실시
[디지털데일리 이민형기자] 인포섹(www.skinfosec.co.kr 대표 신수정)이 국내 지능형지속가능위협(APT) 시장에 출사표를 던졌다.
인포섹의 보안관제·컨설팅 사업을 중심으로 카운터택의 엔드포인트 보안솔루션, 파이어아이의 네트워크 보안솔루션을 결합한 통합 보안모델이 시장 공략의 핵심이다.
인포섹은 11일 서울 코리아나호텔에서 기자간담회를 열고 ‘통합 APT 대응서비스’ 출시와 함께 APT 시장 진출계획을 발표했다.
윤명훈 인포섹 보안SW사업담당 상무<사진>는 “APT는 하나의 이벤트로 이뤄지는 것이 아니라 사전 침투부터 모니터링, 확산을 거쳐 정보유출로 진행된다”며 “이러한 일련의 과정 중 단 하나라도 차단한다면 공격의 연결성이 끊기게 돼 대응할 수 있다”고 강조했다.
인포섹의 ‘통합 APT 대응서비스’는 컨설팅, 관제, SI, 솔루션 등의 전 분야에 걸쳐, 기본적인 보안관리체계부터 전문 APT 대응 솔루션을 통한 보안분석을 통해 향후 발생할 수 있는 고도화 된 APT 공격에 효과적으로 대응할 수 있도록 구성돼 있다.
이날 기자간담회는 인포섹의 APT 시장 진출계획과 더불어 인포섹을 통해 국내 APT 시장에 진출하는 카운터택의 솔루션 소개로 진행됐다.
◆“APT 대응 위해 엔드포인트 보안 강화해야”=APT 공격은 보안이 가장 취약한 엔드포인트를 노리는 경우가 많다.
사이버공격에 가장 많이 활용되는 제로데이, 사회공학수법 등이 모두 엔드포인트의 취약점을 노린 공격이란 것은 이미 널리 알려진 사실이다.
윤 상무는 이러한 이유로 엔드포인트의 보안을 강화해야 한다고 주장했다. 그는 “공격자는 이미 방어자와 대등하거나 보다 높은 수준에 도달돼 있는 상황”이라며 “네트워크 어플라이언스와 샌드박스의 한계가 드러나고 있는 상황에서 엔드포인트 보안을 강조하는 것은 올바른 방향”이라고 강조했다.
엔드포인트 보안 강화를 위해 인포섹은 미국 APT 솔루션 업체인 카운터택과 기술제휴를 맺었다. 카운터택은 엔드포인트 기반 APT 솔루션 전문업체로 엔드포인트에서 발생하는 이상행위를 탐지하고 이를 관리자에게 알려주는 역할을 한다.
또 기존 보안정보이벤트관리(SIEM)과 같은 솔루션과도 연계돼 관리의 편의성을 높였으며, 스플렁크의 플래폼과 통합 운영이 가능해 빅데이터 분석을 통한 가시성 확보에도 도움을 준다.
윤 상무는 “APT 공격은 오랜 시간을 통해 진행되므로 실시간 탐지와 악성행위에 대한 가시성 확보가 필수적”이라며 “카운터택의 APT 솔루션은 샌드박스와 같은 가상머신에서 찾아내지 못한 악성코드를 탐지할 수 있는 능력을 갖춰 APT 공격 진행의 연결고리를 끊을 수 있다”고 말했다.
◆카운터택의 센티널, 무엇이 다른가=카운터택의 센티널(Sentinel)은 엔드포인트에서 동작하는 APT 대응 솔루션으로 일반적인 엔드포인트 솔루션와 동일하게 에이전트 기반으로 동작하지만 구동되는 방식이 사뭇 다르다.
마이클 데이비스 카운터택 최고기술책임자(CTO)<사진>는 “최근에 등장하는 악성코드는 보안솔루션의 에이전트를 탐지해 이를 우회하는 수법을 사용하고 있다”며 “만약 애플리케이션 레벨이 아닌 운영체제 레벨에서 에이전트를 운영하면 악성코드는 이를 탐지하지 못하고 에이전트에게 적발된다”고 설명했다.
센티널의 에이전트는 운영체제 드라이버의 형태로 OS 커널 레벨에서 동작한다. 마치 모놀리틱 커널의 형태를 띄며, 프로세스에도 노출되지 않기 때문에 악성코드가 이를 회피하지 못하는 것이다. 드라이버의 형태를 지녔기 때문에 엔드포인트 성능 저하 등의 문제도 최소화할 수 있다는 장점이 있다.
센티널은 샘플기반으로 악성코드를 탐지하는 것이 아니라 악성행위가 벌어지는 상황을 실시간으로 탐지하는데 주력한다. 설치 후 일정시간동안 정상적인 시스템의 상태를 기억하고 이를 바탕으로 악성행위를 탐지할 수 있기 때문이다
프라이빗 클라우드를 활용해 보안위험도를 측정해 대응할 수도 있다. 데이비스 CTO는 “OS에 설치된 에이전트가 악성파일 유무를 탐지한다면 클라우드는 이를 기반으로 엔드포인트에 대한 전반적인 취약점을 분석할 수 있는 있다”며 “이는 고객사의 프라이빗 클라우드로 구현되며 성능과 지연(latency)은 고민하지 않아도 될 정도”라고 말했다.
<이민형 기자>kiku@ddaily.co.kr
Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지