사이버 상의 안전을 위협하는 공격 요소들은 갈수록 교묘해지고 있다. 진화를 거듭하며 공격 형태와 전파 경로 등을 예측하기 어려운 것. 특히 인터넷 웜과 스파이웨어는 각각 그 자체로도 위험성이 크지만 두 가지가 결합된 형태도 등장하고 있다. 과거와는 전혀 차원이 다른 모습으로 IT 환경을 위협하기에 이른 것이다. 교묘해지는 사이버상의 공격 요소들을 효과적으로 보안해주는 안철수연구소의 ‘안랩 트러스가드’는 웜 발생 이전부터 소멸 시점까지 전체 라이프 사이클 상에서 ▶웜 패턴 예측 및 차단 정책 배포 ▶아웃브레이크(OutBreak) 조기 차단 정책 배포 ▶네트워크 웜 차단 정책 배포 등 3단계에 걸쳐 자동적인 방역 기능을 수행하므로 더욱 철저하게 네트워크를 보호할 수 있다. <편집자>
웜의 경우 침투 경로가 매우 다양해져 이메일뿐 아니라, PC의 보안 취약성을 이용한 웜들이 네트워크를 통해 빠른 속도로 번지고 있다. 기업 내에 단 하나의 PC만 웜에 감염돼도 순식간에 기업 내 대부분의 PC를 감염시키는 강력한 전염성을 갖고 있다.
또한 스파이웨어는 처음에 개인 사용자를 중심으로 문제가 됐지만 최근에는 기업 전체의 생산성을 저하시키는 주된 요인으로까지 부각되고 있다. 안철수연구소가 올해 1~5월까지 집계한 통계에 따르면 신종 스파이웨어가 7천856개에 달해 신종 악성코드(웜, 바이러스, 트로이목마)보다 약 5배 많고 문의/신고 건수도 일반적인 악성코드보다 약 2배 더 많은 2만1천659건에 달했다. 더욱이 바이러스나 웜과 결합되기도 하고 트로이목마와 결합돼 정보 유출 기능까지 갖춘 형태가 제작될 것이라는 예측도 나와 그 위험성이 더 커지고 있다.
이런 보안 위협 요소의 패러다임 변화에 효과적으로 대응하는 것이 중요한 시점이다. 그러나 기존 네트워크 보안 제품은 이러한 변화에 부응하지 못한다는 사실이 2003년 1.25 인터넷 대란으로 여실히 드러났다.
통로 이동하는 데이터 차단 보안제품
안철수연구소가 최근 출시한 ‘안랩 트러스가드(AhnLab TrusGuard) 3100’은 이런 문제점을 해결하기 위한 SCM (Secure Contens Management) 어플라이언스 제품이다. 기존 네트워크 보안 솔루션들이 통로 자체를 차단하고자 하는 것이라면 ‘트러스가드’는 통로를 이동하는 데이터를 차단하는 개념이라는 점에서 새로운 제품이다. 최근 악명을 떨치고 있는 웜, 스파이웨어는 물론 DoS(Denial of Service) 공격, 네트워크 스캐닝 등 빈번한 네트워크 공격을 효과적으로 탐지/차단/치료함으로써 기업 네트워크의 안전을 유지해주는 솔루션이다.
‘트러스가드’는 웜 발생 이전부터 소멸 시점까지 전체 라이프 사이클 상에서 ▶웜 패턴 예측 및 차단 정책 배포 ▶아웃브레이크(OutBreak) 조기 차단 정책 배포 ▶네트워크 웜 차단 정책 배포 등 3단계에 걸쳐 자동적인 방역 기능을 수행하므로 더욱 철저하게 네트워크를 보호할 수 있다. 1단계에서는 새로운 취약점 및 패치가 발표되면 웜의 공격 패턴을 예측해 차단 정책을 생성/배포하며, 2단계에서는 이메일을 통해 확산되는 웜을 차단하며, 3단계에서는 웜의 수집과 분석이 끝난 후 시그니쳐(Signature) 기반의 차단 정책을 자동으로 배포한다.
24×365 실시간 자동 배포
안철수연구소는 각 네트워크에 설치된 ‘트러스가드’에 신종 웜/스파이웨어 차단 정책을 24시간×365일 실시간 자동으로 배포해주는 서비스 시스템인 AST(AhnLab Security Tower)를 자체 개발, 운영 중이다. 이에 따라 최근 문제가 되고 있는 제로 데이 공격(Zero-Day Attack)을 실시간으로 차단하는 한편, 이메일이나 네트워크 취약점 등 악성코드가 침투할 수 있는 다양한 경로에서 실시간으로 작동하므로 빈틈없이 방어할 수 있다.
또한 ‘트러스가드’는 중앙관리 솔루션인 ‘안랩 폴리시센터 3.0(AhnLab Policy Center 3.0)’과 연동해 취약한 PC를 효과적으로 관리해 웜의 확산을 근본적으로 차단해준다. 즉, 클라이언트 보안 제품이 설치돼 있지 않거나 취약한 공유 폴더를 사용하는 PC를 네트워크에서 격리해 잠재적인 취약 요소를 없애준다. 따라서 PC가 새로운 웜에 감염됐을 때는 감염이 의심되는 PC의 모든 트래픽을 차단해 전사에 웜이 확산되는 것을 방지해준다.
상세 기능
< 웜 필터링>
웜과 같은 악성 코드가 네트워크에 침입하지 못하도록 실시간으로 탐지해 차단한다. 웜 필터링 방식은 세 가지가 있다.
첫째, 확산 전 웜 조기 탐지는 웜이 확산되기 전에 차단해 긴급한 상황을 미리 예방할 수 있다. 웜이 확산되기 전에 긴급하게 대응할 수 있으며, 악성 코드가 2차, 3차로 재감염되는 것을 차단한다.
둘째, 취약점 기반 웜 필터링은 윈도의 취약점을 기반으로 신종 웜의 패턴을 연구해 아직 알려지지 않은 신종 웜을 차단한다. 시스템의 취약점을 공격하는 웜을 미리 예측, 차단해 네트워크를 안전하게 보호한다.
셋째, 패턴 기반 웜 필터링은 이미 발견된 잘 알려진 웜의 패턴에 따라서 해당 웜이 발견되면 설정된 처리 방법에 따라서 처리한다. 인바운드와 아웃바운드 패킷을 모두 필터링하며 패턴에 따라서 정확하게 처리하므로 잘못 탐지할 확률이 매우 낮다.
웜 필터링 방식은 세 가지가 있다. 악성 코드에 감염된 패킷을 무조건 차단할 것인지, 필터링해 로그만 남기고 그대로 전송을 허용할 것인지, 감염된 패킷을 차단하고 감염된 패킷을 전송한 시스템을 자동 격리할 것인지 선택할 수 있다.
<네트워크 침입 차단>
네트워크를 통한 유해 패킷 및 해커의 공격을 실시간으로 탐지해 차단한다. ‘DoS/DDoS 공격 침입 탐지’는 비정상적인 트래픽 패턴 및 프로토콜을 사용하는 DoS, DDoS 공격과 같은 네트워크 공격을 탐지해 네트워크 리소스를 안전하게 보호한다. 대표적인 공격 유형은 50가지 이상이며 최신 패턴을 계속 업데이트해 대처한다.
‘네트워크 트래픽 제한’은 IP 주소나 포트 별로 트래픽 대역폭을 제한한다. 트래픽 대역폭을 제한하면 웜과 같은 악성 코드의 공격으로 특정 IP 주소나 포트의 트래픽이 증가하더라도 전체 네트워크의 서비스 품질을 유지할 수 있다.
‘스캐닝(Scanning) 공격 침입 탐지’는 웜 또는 해커의 스캐닝 공격을 탐지하고 차단하며, ‘비정상 패킷 침입 탐지’는 프로토콜 또는 패턴 기반 행동 탐지 기법을 사용해, 비정상적인 패킷을 실시간으로 탐지해 처리한다. 이 기능을 사용하면 알려지지 않은 악성 코드나 해커의 침입을 사전에 차단할 수 있다. ‘패턴 기반 침입 탐지’는 엔진에 등록된 침입 탐지 패턴으로 네트워크 공격을 탐지한다.
<모니터>
‘시스템 모니터’는 ‘트러스가드’를 가장 마지막으로 업데이트한 시각과 안랩 트러스트가드 매니저 1.0 사용 여부, 보안 정책 적용 여부를 확인할 수 있다. ‘보안 정책 모니터’에서는 보안 정책을 적용한 결과 필터링돼 차단 또는 허용, 격리된 시스템의 통계 값을 확인할 수 있다. ‘격리된 시스템’은 보안 정책에 의해서 현재 격리돼 있는 시스템의 목록을 실시간으로 확인할 수 있다. 이는 악성 코드가 더 이상 확산되지 못하게 하여 다른 시스템을 안전하게 보호하기 위한 것이다.
<로그>
‘이벤트 로그’는 ‘트러스가드’에서 사용자가 수행한 작업 내역이나 시스템이 수행한 작업 내역을 시간 순서대로 확인할 수 있다. ‘보안 정책 적용 로그’는 보안 정책에서 설정한 값에 따라서 차단하거나 허용한 패킷의 정보를 시간 순서대로 확인할 수 있다.
■ 문의 : 안철수연구소
■ 전화 : 02-2186-3000
■ www.ahnlab.com
