백신 무용론? 시만텍, EDR+통합ATP로 돌파구

2년 전 이맘 때였다. 시만텍의 정보보안 사업 담당 수석부사장(Brian Dye, 현재 퇴사)이 “안티바이러스(백신)는 죽었다(Antivirus is dead)”고 발언해 보안업계에 큰 파장을 불러온 일이 있었다.

이 말은 업계 전반에서 널리 회자됐다.

당시는 바이러스 백신 솔루션의 한계가 한창 제기됐던 시기였다. 이즈음 새롭게 등장한 사이버보안 기업들은 ‘제로데이’ 취약점을 이용한 새로운 악성코드 등을 활용해 정교하고도 은밀하게 표적공격을 가하는 지능형지속위협(APT) 시대에서 알려진 위협에 대응하는 백신은 이제 수명을 다했다고 공격하고 나왔다.

백신뿐 아니라 방화벽, 침입방지시스템(IPS)같은 차단과 방어 위주의 전통적인 보안기술의 한계가 지적됐다.

컴퓨터 바이러스 백신으로 시작해 전세계 보안 1위 기업으로 성장한 대표 보안기업인 시만텍이 ‘백신 한계론’이나 ‘백신 무용론’을 인정한 것으로 받아들여지기도 했다. 나아가 ‘시만텍이 백신 사업을 포기하려 하는 것 아니냐’는 반응까지 나왔다.

하지만 숨은 뜻은 사이버위협이 더욱 정교해지고 공격 방식이 변화하는 것에 맞춰 보다 다양하고도 진일보한 위협 탐지·대응 기술을 활용해야 한다는 것을 강조한 얘기였다.

실제로 백신 기능 주축의 엔드포인트 보안 제품에는 시그니처 기반 기술 외에도 행동 기반 휴리스틱 기술, 평판 기반 기술, 익스플로잇 탐지 기술, 보안 인텔리전스 연동과 같은 다양한 기술이 추가, 확장돼 왔다.

엔드포인트 보안 대표제품 ‘SEP’에 EDR 기능 추가

이 발언이 나온 뒤 얼마 지나지 않아 시만텍은 APT 보안 솔루션을 선보인다는 소식을 알렸다. 그리고 작년 11월 마침내 네트워크와 엔드포인트, 이메일 게이트웨이 등 위협이 들어오는 모든 영역을 아우르는 통합대응형 ‘지능형위협보호(ATP)’ 솔루션을 공식 출시했다.

이 솔루션을 출시하면서 시만텍은 자사의 대표 제품인 ‘시만텍 엔드포인트 프로텍션(SEP)’에 ‘엔드포인트 탐지·대응(EDR)’ 기능을 추가했다. SEP는 기업용 백신 통합 엔드포인트 보안 제품으로, ‘시만텍 ATP’ 제품군의 엔드포인트 보호 영역을 담당한다.

사본 -Symantec ATPEDR은 차세대 엔드포인트 보안 솔루션으로 최근 떠오른 기술이다. 이름에 표현돼 있듯이 위협 차단보다는 빠른 위협 탐지와 대응에 초점을 맞추고 있다.

EDR 솔루션은 악성코드가 설치되는 엔드포인트단에서 비정상 행위를 분석해 알려지지 않은 위협을 탐지하고 침해흔적을 실시간 검색하고 찾아낸다. 기업 내 침해사실을 식별해 피해 확산을 빠르게 막을 수 있도록 격리하거나 조치할 수 있도록 지원한다.

PC상에 존재하는 정상 또는 악성 파일 정보를 식별하고, 조직 내 해당정보 사용 현황이나 활동 시점, 구체적인 행위를 조사 분석해 위협을 탐지한다.

해당 악성파일의 실행중지·차단, 파일수집과 삭제, 엔드포인트 감염 확산방지 등의 포괄적인 공격 탐지와 침해사고 대응 기능을 제공한다.

백신에서 알려진 위협을 대거 걸러낸 후 알려지지 않은 위협을 탐지해 빠르게 대응할 수 있는 방안을 제공할 수 있게 됐다.

두드러진 점은 기존 SEP 고객들이 추가 에이전트를 설치하지 않고도 EDR 기능을 추가해 기업 엔드포인트 보호수준을 고도화할 수 있도록 제공한다는 점이다. 고객사는 추가 투자 없이도 엔드포인트단의 APT 보안 기능을 확보할 수 있다는 점에서 매력적이다.

시만텍은 백신으로 그동안 엔드포인트 보안 시장에서 공고히 했던 시장 기반을 잃지 않으면서 APT 공격 대응을 위해 더욱 진일보한 보안 기능을 찾는 고객들의 요구를 충족해줄 수 있게 됐다.

엔드포인트, 네트워크, 이메일 영역 통합, 단일콘솔에서 지원

ATP 솔루션을 선보이면서 시만텍은 영역도 확장했다. 지능형 위협으로부터 조직을 보호하기 위해서는 어느 한 영역만을 대응해서는 안된다는 시각 때문이다. 엔드포인트, 네트워크, 이메일 등 위협이 들어올 수 있는 모든 길목과 영역을 아우르는 통합된 접근방식과 대응이 필요하다고 강조했다.

실제로 시만텍은 이를 자사 ATP 솔루션의 강점으로 내세운다. 엔드포인트, 네트워크, 이메일 등과 같은 제어지점을 포괄할 뿐만 아니라 여러 영역에서 들어온 위협을 하나의 콘솔에서 다룰 수 있도록 제공한다.

단일 콘솔에서 마우스 클릭 한 번으로 특정 엔드포인트를 통제하고 악성코드 등의 위협을 제거, 차단할 수 있도록 구현돼 있다.

시만텍 ATP1
ATP 관리 콘솔에 로그인을 하면 하나의 콘솔에서 네트워크, 엔드포인트, 이메일의 모든 상황을 확인하고 설정할 수 있다.

시만텍 ATP 솔루션에는 전 영역에서 발생하는 보안 이벤트 정보에 대한 상관관계 분석 기술인 ‘시만텍 시냅스(Synapse)’와 클라우드 기반 샌드박싱 기술인 ‘시만텍 시닉(Cynic)’이 탑재돼 있다.

웹이나 이메일을 통해 네트워크상에 유입되는 모든 악성정보와 엔드포인트에서 발생되는 모든 이벤트 내용을 상관분석해 위험 수준에 따른 분석을 제공, 즉각적으로 대응해야 할 우선순위를 알려준다.

기업 내 데이터와 시만텍 글로벌 위협 인텔리전스를 조합해 상관관계를 분석, 실제 기업 IT인프라에 존재하는 위협 리스크를 우선순위와 중요도에 따라 즉각 대응조치할 수 있도록 지원하는 것도 특징이다.

즉각 대응 필요한 위협 우선순위 제시, 보안담당자 빠른 의사결정 뒷받침

시만텍은 ATP 솔루션이 기업 내 모든 환경을 통합적으로 지원해야 한다는 점 외에도 위험도에 따라 높은 위협에 먼저 대응할 수 있는 우선순위를 정해줄 수 있어야 한다는 점을 크게 강조하고 있다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “기존 APT 보안 솔루션이나 EDR 솔루션이 어마어마한 개수의 악성 파일과 위협을 동시에 탐지하더라도 보안담당자들은 가장 우선적으로 어떤 위협부터 조치해야 하는지 즉각적인 의사결정하는 것이 힘들다”며 “위험성이 높은 위협을 담당자가 파악하는데 오랜 시간을 들일 필요 없어 담당자들의 업무 부담을 줄이고 시간도 절감할 수 있도록 제공한다”고 강조했다.

시만텍 ATP3
인시던트 ID:92451의 경우 22.231.113.64시스템에서 복수의 공격이 탐지되어 하나의 인시던트로 상관관계 분석했다. 그 위험은 ‘높은 수준’으로 맨 위에 표시해준다.
시만텍4
해당 인시던트를 클릭하면, 상기 화면과 같이 공격의 전개 상황을 시각화로 표현한다. 동일한 웹사이트부터 3대의 엔드포인트에서 악성 파일을 다운로드한 것을 알 수 있다. 또 이메일로 유입된 공격 이메일의 경우 동일한 웹사이트 링크를 포함하고 있다는 것이 표시돼 있다.
시만텍6
다운로드한 파일을 선택하면 해당 파일의 다양한 정보를 표시한다. 해당되는 파일의 행동 기록, 악성유무, 전세계의 사용자수, 전세계에서 발견된 시간, 내부 네트워크에서 탐지된 시간 등을 알려준다.

위협 탐지와 격리에서 나아가 실행 차단, 제거 등 실제 대응조치 지원

이어 윤 CTO는 “EDR이나 APT 대응 솔루션은 대개 위협 탐지나 검색, 격리 기능은 있지만 실제 대응조치를 수행하는 기능은 제공하지 않는다. 위협이 존재하는 위치조차 제공하지 않아 중대한 위협을 파악하더라도 이를 제거할 수 없거나 대응조치가 늦어지는 것은 문제”라고 지적했다.

반면에 ‘시만텍 ATP’는 기업 내에서 탐지된 위협을 우선순위에 따라 악성 파일 실행을 차단하거나 파일을 제거, 격리하고 추가 분석을 위해 해당 위협을 보내는 기능에 이르기까지 마우스 클릭만으로 빠르게 조치할 수 있도록 유기적인 환경을 제공한다는 게 윤 CTO의 설명이다.

시만텍7
해당 파일 실행을 차단하기 위해 블랙리스트로 정의할 수 있다. 해당 파일은 모든 엔드포인트에서 실행이 차단된다.
빨간색으로 표시된 컴퓨터는 격리된 상태다. 빨간색으로 표시된 파일은 실행 차단된 상태를 나타낸다.
빨간색으로 표시된 컴퓨터는 격리된 상태다. 빨간색으로 표시된 파일은 실행 차단된 상태를 나타낸다.
시만텍9
실행이 차단된 파일은 더 이상 엔드포인트에서 필요하지 않으므로 원격에서 삭제했다.
시만텍10
악성파일이 제거되었으므로 기존의 격리되었던 엔드포인트는 다시 정상 업무를 위해 격리를 해제했다.

우수한 탐지율만 중요하다? 탐지 정확성, 효율성 확보해야

시만텍은 또한 ATP 제품의 위협 탐지율이 높다는 점과 함께 해당 위협을 정확하게 탐지해 내는가를 반드시 고려해야 한다고 강조한다.

“시만텍이 백신 기능에 EDR까지 제공하는 이유는 알려진 위협을 차단한 후 알려지지 않은 위협을 탐지해 대응하는 것이 효율적이기 때문”이라는 윤 CTO는 “지능형 위협 대응에서는 오탐지나 과탐지를 방지하는 것이 중요하다”고 말했다. 아울러 “지능형 위협을 대응하려면 백신에 포함된 시그니처, 행동 기반 휴리스틱 분석, 익스플로잇 탐지 기능과 함께 호스트 방화벽·IPS 등의 기능이 필요하다”고 덧붙였다.

한편, 윤 CTO는 “특정 기능에 특화된 보안 솔루션 위주로 개수를 늘려 사용하면 여러 에이전트를 설치하게 되기 때문에 시스템에 부담을 준다. 때문에 결국은 통합된 형태가 필요하다는 것”이라며 “SEP로 에이전트를 별도로 추가하지 않고도 필요한 지능형 위협 탐지·대응 기술을 제공하다는 점에서 고객사들의 반응이 좋다”고 밝혔다.

APT로 대변되는 사이버 표적공격은 기업 내에 존재하는 취약점을 파고들어 조직 내부 네트워크에 침투한다. 주로 ‘스피어피싱’ 등 사회공학기법을 이용해 취약한 사용자를 노려 내부망에 침투해 거점을 확보하고 오랜 기간 정찰하면서 은밀하게 실제 공격 목표를 달성하기 위한 작업을 수행한다.

사이버공격자가 기업 내부에 침입하기 위해 사용하는 악성코드와 공격도구는 알려지지 않은 제로데이 위협을 사용하거나 특정 기업만을 위해 제작된 새로운 방식을 이용한다.

공격자들은 조직 내 존재하는 보안 솔루션 등도 미리 우회하기 때문에 기밀정보를 유출하거나 시스템 파괴 등 손상을 입히는 목표를 달성할 때까지도 침해사실을 탐지하고 대응하기 어려운 상황이다.

시만텍은 이같은 APT 대응을 위해서는 통합적인 대응이나 위협 인텔리전스 연계 등이 중요하다는 것과 함께 엔드포인트 보안 중요성이 더욱 부각될 것으로 전망하고 있다. 각종 보안시스템을 뚫고 사내에 침투하는 정교한 위협으로 인한 피해를 막기 위해서는 결국 악성코드가 설치되는 엔드포인트단에서 빠르게 위협을 탐지하고 분석하는 것이 효과적이라는 점 때문이다.

박희범 시만텍코리아 대표는 “시만텍의 통합대응형 ATP 솔루션은 유입되는 98%의 알려진 공격을 차단한 뒤 알려지지 않은 위협 침투를 탐지해 문제를 해결하고 사고 조치하는 대응 과정을 수행하고 있다. 네트워크, 엔드포인트, 이메일을 아우르는 종합적인 차단·탐지·대응 기능을 수행하며 그 중심에 글로벌 인텔리전스가 있다”며 “시만텍 ATP는 이미 침투한 지능형 위협을 엔드포인트단에서 즉각 조치할 수 있고 중복투자도 최소화한다”고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다