현재 하루에 생성되는 신종 악성코드는 평균 33만개에 이르지만, 안티바이러스 솔루션 벤더에서 하루에 추가하는 악성코드 시그니처는 300개도 안된다. 샌드박스로 신종 악성코드를 탐지할 수 있지만, 샌드박스는 우회가 쉬울 뿐 아니라, 악성파일이 한 번은 실행돼야 의심행위를 분석할 수 있기 때문에 단 한 번의 감염으로도 큰 피해를 입는 랜섬웨어 공격은 막을 수 없다. 악성코드 탐지·차단에만 천착해서는 지능화되는 공격을 막을 수 없다는 뜻이다.
김종광 인섹시큐리티 대표는 “근본적인 사이버 공격 차단을 위해서는 화이트리스트 기반 대응 전략이 필요하다. 관리자의 개입을 최소화하면서 허용된 프로세스만 진행할 수 있는 기술이 필요하며, 이 기술이 차세대 엔드포인트 보안 솔루션의 핵심 철학이 될 것”이라고 강조했다.
자동화된 화이트리스트 정책으로 보안 수준 높여
인섹시큐리티가 국내에 공급하는 엔드포인트 탐지·대응(EDR) 솔루션 기업 카본블랙의 ‘카본블랙 엔터프라이즈 프로텍션’ 제품은 화이트리스트 정책을 제공해 허용되지 않은 프로세스를 차단해 랜섬웨어와 같은 새로운 유형의 공격까지 막을 수 있다.
화이트리스트 정책은 보안 수준이 가장 높은 정책이지만, 업무에 필요한 프로세스를 관리자가 확인해 허용/차단 정책을 내려야 해 관리 복잡성이 매우 높아진다. 시간이 지날수록 예외항목이 많아져 오히려 보안홀이 늘어나고 보안 수준이 낮아질 수 있다.
업무용 애플리케이션과 OS 등의 버전 업그레이드, 패치 업데이트 등이 진행될 때 마다 화이트리스트 정책을 변경해야 한다. 패치관리 시스템이 제대로 동작하지 않을 경우 악성행위가 포함된 업데이트 파일이 화이트리스트에 포함돼 대규모 보안 사고로 이어질 수 있다.
카본블랙 프로텍션은 클라우드 기반 평판분석 기술을 접목해 새로 유입된 파일의 평판을 분석하고 위험도가 높은 파일은 자동 차단한다. 또한 바이러스토털, MDL 등 글로벌 안티바이러스 솔루션/서비스 기업들과 악성코드 정보를 공유하면서 유입되는 실행파일의 악성 여부를 알아낼 수 있다.
유입 파일의 위험도가 높으면 차단하며, 정상 파일로 검증되면 화이트리스트에 포함시킨다. 모든 과정이 자동화 돼 관리자 개입 없이 화이트리스트 기반 정책 적용이 가능하다.
김종광 대표는 “화이트리스트 기술은 사전 방어를 위한 가장 좋은 방법이지만, 허용/차단 정책을 관리자의 수작업에 의지했기 때문에 ICS/SCADA, POS, ATM 등 일부 시스템에만 적용해왔다”며 “카본블랙은 화이트리스트 정책 관리를 완전 자동화해 관리 업무 증가 없이 보안 수준을 한 차원 높일 수 있다”고 말했다.
백신-화이트리스트-탐지·대응…모든 대응 전략 제공
카본블랙은 엔드포인트 침해·대응 솔루션 기업이며, 화이트리스트 기반 보안 기술을 제공하는 비트나인을 인수해 ‘비트나인+카본블랙’으로 불리다가 최근 ‘카본블랙’으로 통합됐다.
카본블랙의 침해·대응 솔루션 ‘카본블랙 엔터프라이즈 리스폰스’는 엔드포인트 모니터링으로 모든 프로세스를 상세히 분석하고 악성 프로세스를 탐지한 후 다른 엔드포인트에 동일한 악성 프로세스가 있는지 확인, 격리, 차단하는 솔루션이다. 파일, 프로세스, 해시까지 비교하기 때문에 샌드박스 등 지능형 악성코드 탐지 솔루션을 우회해 유입되는 악성코드까지 차단할 수 있다.
한편 카본블랙은 머신러닝 기술을 접목한 차세대 안티바이러스 ‘디펜스’를 출시할 예정으로, 안티바이러스, 화이트리스트, 침해 탐지·대응에 이르는 엔드포인트 위협 대응에 필요한 모든 기술을 제공할 수 있게 된다.
또한 인섹시큐리티는 멀티안티바이러스 엔진인 옵스왓의 ‘메타디펜더’도 공급하고 있어 엔드포인트 보안 솔루션을 우회하는 악성코드를 효과적으로 차단할 수 있다.
김종광 대표는 “새로운 악성코드를 완벽하게 차단하는 솔루션은 없다. 여러 안티바이러스를 병행해 사용하면서 우회공격 가능성을 최소화 하는 것이 중요하다. 협력과 공유를 통한 보안수준 강화 정책이 필요하다”며 “지능형 공격, 랜섬웨어 등으로부터 비즈니스를 보호하기 위해서는 안티바이러스와 EDR을 적절하게 병행하는 것이 중요하다”고 말했다.
