‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>
악성코드 차단의 첫번째 관문은 엔드포인트이며, 안티바이러스가 수문장의 역할을 하게 된다. 최근 안티바이러스 벤더들은 ‘엔드포인트 프로텍션 플랫폼(EPP)’이라고 불리기를 원하는데, 고객들이 ‘안티바이러스 무용론’에 설득 당했기 때문이다.
안티바이러스의 대안으로 제시된 샌드박스 기반 악성코드 탐지 솔루션이나 엔드포인트 침해 탐지 및 대응(EDR), 엔드포인트 DLP 역시 한계를 갖고 있기는 마찬가지이며, ‘안티바이러스 무용론’의 관점에서 본다면 EDR, DLP 역시 무용론의 함정에 빠질 수 있다. 진화하는 공격에 대응하는 가장 효과적인 전략은 엔드포인트를 보호하는 모든 기술을 병행해 공격을 찾아내고 차단·격리·대응하는 것이다.
머신러닝 결합해 자동화된 보안위협 차단
EPP와 EDR 통합을 가속화하는데 앞장서고 있는 벤더가 시만텍이다. 시만텍의 최신 엔드포인트 보안 솔루션 ‘시만텍 엔드포인트 프로텍션 14(SEP 14)’는 EDR 엔진이 내장돼 있어 엔드포인트 침해 사고를 탐지·대응할 수 있게 한다.
SEP 14의 EDR 기능은 에플리케이션 제어, 화이트리스트/블랙리스트 기술을 통해 위협을 탐지하며, 제거하기 어려운 감염도 해결하고, 호스트의 무결성을 검사해 컴플라이언스를 보장하는 것이다.
SEP 14는 글로벌 인텔리전스 네트워크(GIN) 기반의 머신러닝 기술을 적용해 업무에 영향을 주지 않고 위협에 효과적으로 대응할 수 있도록 한다. 위협 연관관계 분석, 악성코드 속성 검사, 웹 도메인 검사, 프로세스 행위 분석, IP 주소와 디지털 서명 등 여러가지 요소를 분석하는 다차원 머신러닝으로 오탐 없이 효과적으로 공격을 탐지한다.
메모리 익스플로잇을 차단하고, 엔드포인트 에뮬레이션 기능으로 다형성 패커에 숨은 악성코드도 분석할 수 있으며, 실시간 지능형 클라우드 조회 기술로 기존 버전 대비 네트워크 대역폭 용량을 70% 절감하며, 99.9% 효율과 낮은 오탐지율을 기록한다. 또한 블루코트 시큐어웹게이트웨이(SWG)와 통합해 엔드포인트와 네트워크를 동시에 보호하며, 보안 위협 텔레메트리(telemetry)를 통합해 위협 인텔리전스 역량을 한층 강화했다.
박희범 시만텍코리아 대표는 “SEP 14는 SEP 12의 성능과 기능을 업그레이드 한 수준이 아니라, 완전히 새로운 기술로 무장한 제품”이라며 “인공지능 기술을 결합해 폭증하는 신종 위협을 지능적으로 차단할 수 있도록 한다”고 설명했다.
인텔시큐리티 역시 멀티엔진 기반 방어 전략으로 엔드포인트 위협을 차단한다. 인텔시큐리티는 샌드박스 기반 악성코드 차단 솔루션 ‘어드밴스드 쓰렛 디펜스(ATD)’, 위협 인텔리전스 ‘쓰렛 인텔리전스 익스체인지(TIE)’, SIEM ‘엔터프라이즈 시큐리티 매니저’ 등으로 구성된 APT 방어 플랫폼을 제안한다. 멀웨어는 샌드박스 동적분석과 정적인 코드분석을 통해 탐지하는데, 코드 에뮬레이션으로 스크립트·난독화·패킹 등으로 보호된 멀웨어도 분석할 수 있다.
한편 인텔시큐리티의 안티바이러스 제품 ‘맥아피’는 2016년 대대적인 업그레이드를 단행해 엔드포인트 보안 트렌드를 이끌어가고 있다. 신제품은 PC 스캔속도 향상, 시스템 전체 검사시 CPU 이용률 44% 감소 등의 효과를 거뒀다.
트렌드마이크로는 엔드포인트와 이메일, 웹 게이트웨이 보안을 포함하는 통합 보안 스위트 ‘스마트 프로텍션’으로 새로운 보안 정책을 적용한다. 스마트프로텍션에는 실행 전·실행중인 파일을 분석하는 하이퍼 머신러닝 엔진이 적용된 새로운 엔드포인트 보안 엔진 ‘엑스젠’이 포함돼 있으며, 센서스 검사와 화이트리스팅 기술을 이용해 오탐을 줄인다. 또한 애플리케이션 제어, 익스플로잇 차단, 행동분석, 머신러닝 기술을 적용해 위협을 신속하게 탐지한다.
