팔로알토 네트웍스는 안티바이러스(AV)를 대체할 지능형 차세대 엔드포인트 보안 솔루션 ‘트랩스(Traps) 4.0’의을 출시했다고 25일 밝혔다. 트랩스 4.0은 멀웨어·익스플로잇 차단 기능을 강화하는 한편 맥OS, 안드로이드 등 다양한 운영체제를 지원한다.
트랩스는 알려지거나 알려지지 않은 멀웨어와 더불어 엔드포인트를 공격한 바 있는 익스플로잇을 차단하는 다중 보안 정책을 사용해 의료정보보호법(HIPPA)과 신용카드 업계 정보보호 표준(PCI DSS)을 준수해야 하는 기업들이 안티바이러스(AV) 제품에 대한 대안으로 안전하게 활용할 수 있다.
최근 엔드포인트 보안에 대한 투자가 증가하고 있음에도 불구하고 해커들의 공격 성공률은 더욱 빠르게 높아지고 있다. 레거시 AV 제품 및 차세대 AV 포인트 솔루션들의 경우, 이러한 격차를 메우기 위해 노력하고 있으나, 단순히 유효하지 않은 멀웨어 탐지 기술을 다른 기술로 교체하는데 그칠 뿐, 익스플로잇과 알려지지 않은 멀웨어를 식별하고 차단하기 위한 지능형 기술은 확보하고 있지 못한 상태이다.
차세대 보안 플랫폼을 보유한 팔로알토 네트웍스는 이러한 시장의 한계를 극복하기 위해 트랩스의 기능을 한층 강화했다. 트랩스 4.0은 맥OS 및 안드로이드를 지원하며, 랜섬웨어와 지능형 공격을 식별하고 차단하도록 설계된 여러 가지 보안 모듈을 추가했다.
또한 네트워크 보안 관리 플랫폼 ‘파노라마(Panorama)’를 통해 수집된 위협 인텔리전스를 바탕으로 엔드포인트, 방화벽, 클라우드, SaaS 애플리케이션 전체에 대한 보안을 강화할 수 있다.
맥OS·안드로이드 지원
트랩스 4.0은 다중 보안 방식을 통해 레거시 AV 제품을 대체할 수 있도록 맥OS를 지원하며, 안드로이드 기기의 경우 커뮤니티 베타 프로그램을 통해 지원한다. 랜섬웨어와 지능형 공격에 자주 쓰이는 매크로 기반 공격으로부터 엔드포인트를 보호한다. 특히 마이크로소프트 오피스 문서에 삽입된 알려지거나 알려지지 않은 악성 매크로를 우선적으로 차단한다.
브라우저·오피스 애플리케이션과 같은 취약한 프로세스가 파워쉘·스크립트 엔진과 같은 민감한 툴에서 시작하지 않도록 한다. 취약한 엔드포인트를 식별하여 공격하려는 해커들의 프로파일링 툴을 차단한다. 더불어 커널 권한 에스컬레이션 보호로 운영체제 자체를 노리는 지능형 공격을 차단한다.
최원식 팔로알토 네트웍스 코리아 대표는 “트랩스는 기존의 안티 바이러스 기술에 의존하는 경우 직면하게 되는 위협을 선제적으로 방어할 수 있도록 설계됐다. 다양한 공격 채널에 대한 커버리지를 높여 지능형 엔드포인트 보안의 새로운 기준을 제시해 랜섬웨어 및 새로운 보안 위협들에 대한 선제 방어 전략을 강화할 수 있도록 지원할 계획이다”고 말했다.
구성 변경 없이 워너크라이 차단
한편 팔로알토 네트웍스는 최근 대규모 감염사태를 일으킨 랜섬웨어 워너크라이의 실행을 차단하도록 업데이트를 실시했다. 트랩스 사용자들은 별도의 정책 및 구성 변경 없이 워너크라이 랜섬웨어로부터 보호될 수 있다.
우선 APT 방어 솔루션 ‘와일드파이어(WildFire)’ 위협 인텔리전스를 바탕으로 워너크라이 샘플을 멀웨어로 자동 분류한다. 트랩스는 와일드파이어를 통한 멀웨어 차단이 기본적으로 지원되므로, 이 기능을 비활성 시키지 않은 한 별도의 수정 없이 랜섬웨어를 차단할 수 있다.
로컬 분석 멀웨어 방지 접근 방식을 통해 워너크라이의 새로운 변종이 엔드포인트를 손상시키기 전에 이러한 변종의 실행을 차단한다. 로컬 분석에서 바이러스 패턴을 사용하지 않기 때문에, 트랩스 사용자들은 별도로 이 기능을 비활성 시키지 않은 한, 이 랜섬웨어 공격이 처음 보고되기 전에 이미 해당 멀웨어가 차단된 보안 상태를 유지하고 있다.
로컬 분석과 결합된 트랩스는 검사 및 분석을 위해 알 수 없는 실행 파일을 와일드파이어에 자동으로 제출한다. 이후 단 5분 안에 새로운 보호 컨트롤을 자동으로 만들어 트랩스 및 팔로알토 네트웍스 차세대 보안 플랫폼의 다른 구성 요소들과 공유한다. 이를 통해 워너크라이의 새로운 변종 및 알려지지 않은 변종은 물론 다른 멀웨어도 식별할 수 있다.
실행 제한을 통해 표적 시스템의 임시 폴더에서 생성되는 멀웨어 프로그램이 워너크라이에서 실행되는 것을 막을 수 있다. 실행 제한은 기본적으로 사용할 수 있는 와일드파이어 및 로컬 분석 방지 방법을 보완하는 추가적인 보호 계층 역할을 할 수 있다.
리 클라리치(Lee Klarich) 팔로알토 네트웍스 제품 관리 총괄 수석 부사장은 “트랩스는 이전에 등장한 적이 없었던 새로운 유형의 공격은 우선적으로 차단하는 고유의 접근법을 취하고 있다. 새 버전을 통해 맥OS 및 안드로이드 기기에 대한 보안을 확대하고, 매크로 및 스크립트 기반 공격의 차단, 핑거프린트 기술, 커널 권한 에스컬레이션 등의 새로운 기능을 추가한 만큼 엔드포인트에 대한 견고한 보안을 지원할 계획이다. 팔로알토 네트웍스는 기업에 침투할 수 있는 모든 포인트를 노리는 광범위한 지능형 공격과 새롭게 등장하는 위협들이 공격에 성공하지 못하도록 강력한 보안 플랫폼을 제공한다”고 말했다.
