“해커가 노리는 조직은 모두 다 카본블랙이 필요한 고객이다. 특히 한국은 앞선 IT 기술을 가진 기업이 많으며, 정치적인 목적의 사이버 공격을 많이 받고 있어 카본블랙을 찾는 수요가 빠르게 높아지고 있다.”
크리스 버닝어(Chris Berninger) 카본블랙 시큐리티 엔지니어는 이렇게 말하며 "지난해 아이넷뱅크와 총판계약 체결로 한국 영업을 본격적으로 시작한 후, 한국 대표적인 관제 서비스 기업과 MSSP 계약 체결 및 대형 인터넷 쇼핑몰, 주요 공공기관 등에 공급되는 등 성과를 이어가고 있다"고 강조했다.
카본블랙은 엔드포인트 침해 탐지 및 대응(EDR) 시장을 만들어가는 대표적인 기업으로, ‘CB 리스폰스’는 침해대응(IR) 분야에서 전통적인 강점을 갖고 있다. 화이트리스트 기반 통제 기술을 제공하는 비트나인을 인수하고 ‘CB 프로텍션’ 제품을 출시, ICS/SCADA 등 강력한 보안을 요구하는 시장에서도 장악력을 높이고 있다. 지난해 차세대 안티바이러스 ‘CB 디펜스’를 출시하면서 통합 엔드포인트 보안을 요구하는 고객으로부터 선택받고 있다.
카본블랙의 대표적인 고객 중에는 삼성전자 미주법인이 있으며, 트위터, 페이스북, 우버 등 인터넷 서비스 기업, 전 세계 주요 국가의 국방, 금융, 정부, 엔터프라이즈 등에 공급되고 있다.
화이트리스트 기술로 고객 자산 100% 보호
버닝어 엔지니어는 “카본블랙은 고객의 자산을 100% 보호한다. 이는 NSS랩 보고서를 통해서도 입증됐다. 또한 오탐을 98% 이상 줄일 수 있어 너무 많은 이벤트로 인해 보안조직의 업무가 증가하거나 위협을 인지하지 못해 사고가 나는 것을 막을 수 있다”고 말했다.
CB 프로텍션은 ‘신뢰기반 보안 솔루션’이라고 소개하는데, 강력한 애플리케이션 통제 정책을 적용해 허용된 프로세스만을 수행하도록 한다. 랜섬웨어와 같이 데이터를 무단으로 변경하거나 관리자 권한을 탈취하는 등의 허용되지 않은 행위를 차단해 APT 공격을 막는다.
화이트리스트 기술은 보안성은 높지만 모든 프로세스를 지정해야 하기 때문에 관리가 어렵다는 문제가 있다. 프로텍션 제품은 신뢰할 수 있는 서명이 있는 프로세스, 혹은 평판점수가 높은 애플리케이션은 자동으로 허용하는 등 지능적인 통제정책을 적용해 관리 용이성을 높이면서 위험한 행동을 차단한다.
이 제품은 엔드포인트에서 분석하지 않기 때문에 매우 가볍고 빠르게 동작할 수 있다. 윈도우, 리눅스, MAC 등에서 동작 가능하고 곧 안드로이드 등의 OS도 지원할 계획이다. 이를 통해 IoT도 보호할 수 있다.
버닝어 엔지니어는 “이 제품은 스턱스넷과 같은 APT 공격을 막기 위한 솔루션으로, 고도화된 멀웨어를 100% 차단한다. 최근 APT 공격에 많이 사용하는 파일 없는 공격, 파웨쉘 공격도 차단할 수 있으며, 인터넷에 연결할 필요 없이 행위를 통제하기 때문에 폐쇄망에서도 안전하게 엔드포인트를 보호할 수 있다”고 말했다.
ICS/SCADA·IoT도 보호…온프레미스·클라우드 기반 보호
침해대응 솔루션인 ‘리스폰스’는 엔드포인트에서 일어나는 모든 행위를 기록하고 감시하는 솔루션으로, 엔드포인트에서는 정보 수집만 수행하고 서버에서 분석하기 때문에 엔드포인트 리소스를 사용을 최소화하며, 다른 애플리케이션과의 충돌이나 장애도 발생시키지 않는다.
SIEM과 연동해 사용할 경우, 더 정교한 침해 탐지가 가능하다. 리스폰스의 정보를 SIEM에 저장되는 다양한 시스템 이벤트와 연계분석해 지능적으로 진행되는 공격을 막을 수 있다. IBM 큐레이더, 스플렁크는 이벤트 공유 뿐만 아니라 SIEM에서 정해진 보안 정책을 리스폰스에서 직접 실행하는 수준으로 더 수준 높은 협업이 가능하다. 예를 들어 SIEM에서 감염된 엔드포인트 격리를 명령하면 리스폰스가 해당 엔드포인트의 연결을 끊고 격리시키는 등의 조치가 가능하다
‘디펜스’는 카본블랙의 화이트리스트, 침해 탐지 기술을 포함한 클라우드 기반 차세대 백신 제품으로, 단일 엔진, 단일 에이전트로 위협 가시성 확보, 탐지, 대응이 가능하다. EDR 기능이 업그레이드된 신제품을 상반기 중 출시할 예정이며, 차세대 엔드포인트 보안 시장을 강력 공략할 예정이다.
버닝어 엔지니어는 “기존의 시그니처 기반 백신의 한계는 이미 충분히 입증됐다. 전통적인 백신은 이미 무용지물”이라며 “디펜스는 엔드포인트 행위를 분석하고 통제하며, 위협 인텔리전스를 통해 지능적으로 새로운 공격을 탐지하고 대응할 수 있다. 디펜스 제품으로 엔드포인트 보안 솔루션 시장의 질서를 바꿔나가고 있다”고 강조했다.
“경쟁사보다 EDR 경쟁력 2년 이상 앞서”
보안 분야에서 엔드포인트가 중요해지면서 EDR 솔루션 기업들이 경쟁적으로 한국 시장에 진출하고 있으며, 기존 백신 기업과 샌드박스 솔루션 기업, 네트워크 보안 솔루션 기업 등이 EDR 및 통합 엔드포인트 보안 플랫폼(EPP)을 출시하면서 경쟁이 심화되고 있다.
버닝어 엔지니어는 “EDR은 카본블랙이 처음으로 개념을 알리고 전파해 온 시장으로, 경쟁사보다 2~3년 앞서 있는 상황”이라며 “또한 카본블랙의 모든 제품은 오픈API를 제공해 어떤 제품과도 연동 가능하다. 상용화된 패키지 솔루션은 물론이고 고객이 직접 개발한 인하우스 솔루션과도 API 연동이 가능해 유연하게 다양한 환경을 보호할 수 있다. 더불어 정보공유에 동의한 기업과 커뮤니티를 통해 실제 위협 정보를 수집하고 공유해 최신 공격에도 효과적으로 대응할 수 있다”고 말했다.
카본블랙의 앞선 기술을 보여주는 증거가 델EMC ‘시큐어웍스’, IBM 등 세계적인 MSSP 기업들이 카본블랙을 사용한다는 것이라고 강조했으며, 국내 대형 관제 서비스 기업도 카본블랙을 사용할 예정이다.
그는 “ 세계적인 MSSP 기업이 카본블랙으로 고객 환경을 보호하는 것은 카본블랙이 100% 보안과 가시성을 보장하고 있기 때문”이라며 “특히 MSSP 사업자를 위한 전용 프로그램과 MSSP 대상 교육 등 다양한 지원을 제공하고 있어 MSSP 사업자들이 높은 관심을 갖고 있다”고 말했다.
이어 그는 “경쟁사들도 빠르고 정확하고 가벼운 탐지와 대응을 보장한다고 하지만, 실제 업무 환경에서 동작하는 것을 보면 그들의 주장과는 상당히 다르다는 것을 알 수 있다. 어떤 엔드포인트 보안 솔루션을 구입하든, 실제 환경에서 충분히 테스트 한 후 결정해야 한다”고 조언했다.
