사이버 공격은 시그니처에 없는 공격도구를 사용하며, 샌드박스를 우회하고, 관리가 소홀한 시스템으로 확장하면서 중요정보가 있는 서버로 접근해 정보를 모아 달아난다. 공격이 진행되는 단계마다 적절한 보안 솔루션이 있지만, 공격자는 개별 솔루션을 우회하는 방법을 잘 알고 있기 때문에 공격에 성공할 수 있다. 또한 공격 증거를 삭제하거나 다른 증거로 조작해 수사에 혼선을 주기도 한다.
이러한 공격을 막기 위해서는 공격의 처음부터 끝까지 추적해 공격이 성공하지 않도록 해야 한다. 개별 보안 솔루션에서 발생하는 이벤트를 수집해 연계 분석하며 인텔리전스를 축적해 유사한 공격에 다시 당하지 않도록 만들고, 머신러닝을 접목해 공격을 스스로 학습하고 인지하도록 해야 한다.
최영철 SGA솔루션즈 대표는 “APT 공격이 진행되는 과정은, 정찰-침투-악성 페이로드-내부정찰-관리자 권한 탈취-시스템 접근 및 데이터 수집, 유출-공격 증거 삭제 후 탈출의 과정을 거치게 된다. 현재 각 단계마다 보안 솔루션이 있지만, 개별 솔루션별로 탐지하기 때문에 전체 공격을 볼 수 없다”며 “공격의 전체를 볼 수 있어야 효과적인 탐지와 대응이 가능하다”고 말했다.
SGA솔루션즈가 23일 공개한 APT 방어 솔루션 ‘센트리APT’는 엔드포인트에 지능을 더한 제품으로, 엔드포인트 보안 역량과 서버보안 역량을 더했다. PC와 서버에서 수집한 정보를 AI로 분석해 이상행위를 탐지하고 실시간으로 대응한다.
SGA솔루션즈는 악성코드 침해·분석에 특화된 엔큐브랩의 기술 자산을 인수하면서 인텔리전스 역량을 강화하고 있으며, SIEM 기반 네트워크 위협 분석(NTA) 솔루션을 개발해 보안 역량을 지능형 보안관제(MDR)까지 확대할 방침이다. 엔드포인트부터 내부 네트워크까지 공격이 일어나는 전반을 보고 대응할 수 있도록 한다는 계획이다.
NTA는 네트워크에서 일어나는 행위를 분석해 이상징후를 탐지하는 제품으로, 다크트레이스, 벡트라 등이 머신러닝 기능을 더해 지능적으로 이상행위를 알려준다. SGA솔루션즈는 외산 솔루션과 동등하게 경쟁할 수 있는 수준으로 머신러닝 기반 탐지 기술을 성숙시켰다고 주장한다. SGA솔루션즈의 머신러닝 기술은 기존에 축적된 탐지룰을 추가해 탐지 정확도를 높일 수도 있으며, 대량의 데이터를 저장할 수 있어 장기간의 데이터를 학습해 위협을 정확하게 찾아낼 수 있다고 설명한다.
최영철 대표는 “NTA는 인공지능 기반 관제 시스템으로 사용될 수 있지만, 에이전트가 없기 때문에 발견된 위협을 차단할 수 없다. 센트리APT는 에이전트를 기반으로 PC와 서버에서 일어나는 행위를 학습하고 이상행위를 분석하기 때문에 정확하게 탐지하고 차단까지 가능하다”며 “특히 이 제품에는 서버보안 기술이 탑재돼 있어 윈도우, 리눅스, 유닉스까지 보호할 수 있다”고 말했다.
파이어아이와 협력해 엔드포인트 보안 역량 강화
한편 SGA솔루션즈는 파이어아이의 EDR 솔루션 ‘HX’시리즈의 한국 기술지원 파트너로 엔드포인트 보안 역량을 강화하고 있다. 파이어아이 HX 솔루션은 우리나라의 복잡한 PC 환경을 원활하게 지원하지 못해 확장에 어려움을 겪어왔지만, SGA솔루션즈와 협력을 통해 국내 고객이 원하는 커스터마이징을 지원해 줄 수 있다고 기대하고 있다.
SGA솔루션즈는 파이어아이 HX 시리즈의 기술지원 협력을 통해 엔드포인트 보안 기술을 발전시킬 수 있다고 기대하고 있으며, APT 방어 기능을 확장하는데 도움이 될 것으로 기대하고 있다.
최 대표는 “파이어아이와의 협력을 통해 양사의 국내 엔드포인트 보안과 APT 대응 역량을 강화할 수 있다고 기대한다. 이 모델이 성공한다면 해외 진출까지 고려할 수 있다”며 “기존 엔드포인트 보안 솔루션 고객을 중심으로 영업을 진행하면서 시장을 확대해 나갈 것”이라고 말했다.
