‘인공지능·클라우드 검사’ 결합…시만텍, 엔드포인트 보안 새 지평 연다

“‘백신 한계론’ 정면돌파.”

sep14_box시만텍이 인공지능을 탑재한 기업용 엔드포인트 통합보안 제품을 새롭게 선보였다. 5년 만에 출시한 ‘시만텍 엔드포인트 프로텍션 14(SEP 14)’은 머신러닝 엔진과 실시간 클라우드 검사 기능을 주축으로 지능형위협 대응을 위한 다계층 보호 솔루션으로 완전히 탈바꿈했다.

매일 100만개 이상 신·변종 악성코드가 양산되고 있고 지속적으로 위협이 지능화되는 환경에서 엔드포인트 보안 방식이 달라져야 한다는 변화의 시류를 적극 반영했다는 평가가 나온다.

전통적인 안티바이러스(백신) 강자로 오랫동안 보안 시장 선두입지를 굳혀온 시만텍의 행보는 갈수록 중요성이 강조되는 엔드포인트 보안의 새 시대를 여는 분수령이 될 것으로 보인다.

다차원 머신러닝 엔진 탑재, 알려지지 않은 위협 탐지 

이번에 출시한 ‘SEP 14’에서 가장 큰 변화는 단연 ‘머신러닝’ 엔진을 탑재했다는 점이다. 인공지능을 기반으로 은밀하고 정교하게 엔드포인트로 침투하는 위협을 가려내는데 주력했다.

시만텍은 알려지지 않은 위협 탐지·대응력을 강화하기 위해 지난 2009년부터 휴리스틱 엔진을 적용했다. 이번에 탑재한 머신러닝 엔진은 이 휴리스틱 엔진을 발전시켜 오랜 학습과 훈련을 거쳤고, 오·탐지를 줄일 수 있도록 정형화했다. 시만텍이 이를 ‘휴리스틱 어드밴스드 머신러닝’ 엔진으로 부르는 것도 그 이유다.

악성코드 속성, 웹 도메인, 프로세스 행동 분석, IP주소, 디지털 서명 등 다양한 연관분석 정보를 바탕으로 학습을 수행하는 다차원 머신러닝 기술을 사용한다.

시만텍이 자랑하는 방대한 글로벌 인텔리전스 네트워크(GIN)를 기반으로 신·변종 악성코드 위협을 탐지할 수 있도록 훈련과정을 거쳤다.

대규모 사이버 위협 인텔리전스인 GIN을 바탕으로 시만텍은 매일 80억건에 달하는 보안 요청을 처리하면서 전세계 1억7500만개의 엔드포인트, 1억6300만 이메일 사용자, 8000만 웹 프록시 사용자를 보호하고 있다. 최근 인수한 블루코트의 보안 위협 텔레메트리(telemetry)를 통합해 위협 인텔리전스 역량을 한층 강화했다

sep14_gin훈련된 시만텍의 머신러닝 엔진은 네트워크에 연결돼 있지 않은 인터넷 망분리된 클라이언트 환경에서도 그대로 동작한다.

‘SEP 14’의 또 다른 특징은 제로데이 위협에 대응하는 메모리 익스플로잇 공격 차단 기능과 맞춤형 다형성 패커에 숨은 악성코드를 탐지해내는 에뮬레이션 기능을 제공한다는 점이다.

외부에 공개되지 않은 취약점 또는 취약점은 발견됐지만 아직 패치가 개발·적용되지 않은 상태에서 발생하는 제로데이 공격을 차단할 수 있다. 공격 코드가 숨겨진 오피스, PDF 등 문서 파일과 웹브라우저, 자바 등에서 동작하는 익스플로잇 기법을 시그니처에 의존하지 않고도 효과적으로 잡아내 대응할 수 있다.

에뮬레이션 기능은 다형성 패킹 툴을 사용해 탐지를 회피하는 악성코드의 원본파일을 추출하는 기능이다. 에뮬레이터가 가상머신 환경에서 악성코드 패킹을 해제해 백신 우회 기술을 무력화한다. 이 기능은 경량화된 솔루션으로 밀리초 단위로 빠르게 실행된다.

클라우드 실시간 조회, 엔진 용량 감소·성능 향상 

‘SEP 14’는 클라우드 위협 인텔리전스와도 실시간 연결된다. 의심스러운 모든 파일을 클라우드에서 실시간 검사해 악성 여부를 확인하는 기능을 제공한다. 실시간 검색 특허 기술을 적용한 이 클라우드 조회 기능을 적용하면서 엔드포인트 보안 제품 엔진 성능은 높이고 용량은 줄이는 효과를 거뒀다.

SEP 기존 버전보다 머신러닝 엔진 수가 추가됐지만 경량화에 성공해 용량이 커지지 않았다. 엔진을 무겁게 만드는 악성코드 정의파일(시그니처) 수도 줄일 수 있게 된다. 시그니처 업데이트를 위한 네트워크 대역폭 사용량도 크게 절감시킨다는 것이 시만텍의 설명이다.

‘SEP 14’는 새로운 머신러닝, 메모리 익스플로잇 공격 차단, 에뮬레이션, 안티바이러스 기능 외에도 네트워크 방화벽·침입차단, 애플리케이션·매체 제어 기능이 단일 에이전트로 통합 제공한다.

알려지지 않은 악성코드 탐지·대응력을 높이기 위한 기능으로는 머신러닝, 평판분석, 행동 모니터링과 클라우드 조회 기술까지 활용된다.

더 나아가 ‘SEP 14’는 악성코드를 이용해 내부로 침투해 내부 시스템을 감염시켜 중요 정보를 유출하거나 시스템을 파괴하는 단계로 진행되는 기업 표적공격 체인을 끊어 실제 피해를 막기 위한 ‘킬체인’ 전략이 가동될 수 있도록 동작한다.

sep14_1악성 파일이 내부 망으로 유입돼 실제 실행되기 전까지의 단계에서는 네트워크 방화벽·침입차단부터 평판 검사, 실시간 보호, 휴리스틱, 머신러닝 엔진이 담당한다. 악성코드가 이 단계를 모두 뚫더라도 실행 이후 단계에서는 행동 기반 분석과 익스플로잇 탐지, 침입방지시스템(IPS) 등이 담당하는 방식이다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 “악성코드를 사용해 내부 침투, 감염, 침입·유출로 이어지는 공격체인을 어느 한 단계에서라도 끊어낼 수 있다면 표적공격으로 인한 피해를 막을 수 있다. 이것이 바로 킬체인 전략”이라며 “SEP 14의 각 엔진은 악성파일이 실행되기 전·후, 각 공격체인 단계별, 시간대별로 동작하도록 설계돼 있다”고 말했다.

API 지원, 다양한 보안 솔루션 쉽게 연동·통합

시만텍은 엔드포인트 보안 제품만으로 지능화된 모든 공격을 100% 막을 수 없다는 점에서 ‘SEP 14’를 다양한 보안 솔루션과 손쉽게 연동할 수 있도록 구현했다. SEP 매니저에서 애플리케이션프로그래밍인터페이스(API)로 네트워크·웹 보안 솔루션 등과 손쉽게 연동해 자동화된 대응 정책을 적용할 수 있다.

시만텍이 인수한 블루코트 시큐어 웹 게이트웨이(SWG)과도 통합돼 기업의 엔드포인트와 네트워크까지 동시에 보호할 수 있다.

‘SEP 14’는 시만텍의 통합대응형 지능형위협보호(ATP) 솔루션의 엔드포인트 탐지·대응(EDR) 기능으로도 활용된다. SEP 사용기업은 ATP 솔루션 구축을 위해 엔드포인트단에 에이전트를 추가 구매, 설치하지 않아도 된다.

EDR은 악성코드가 설치되는 엔드포인트단에서 비정상 행위를 분석해 알려지지 않은 위협을 탐지하고 침해흔적을 실시간 검색하고 찾아내 피해 확산을 빠르게 막을 수 있도록 격리하거나 조치할 수 있도록 지원한다. PC상에 존재하는 정상 또는 악성 파일 정보를 식별하고, 조직 내 해당정보 사용 현황이나 활동 시점, 구체적인 행위를 조사 분석해 위협을 탐지한다. 해당 악성파일의 실행중지·차단, 파일수집과 삭제, 엔드포인트 감염 확산방지 등의 포괄적인 공격 탐지와 침해사고 대응 기능을 제공한다.

박희범 시만텍코리아 대표는 “‘SEP 14’는 기존과는 확연히 차별화된 진일보한 다계층 보호를 제공해 새로운 엔드포인트 보안 2.0 시대를 선도할 제품”이라며, “지능형 위협 대응에 필요한 통합형 사이버 보안 역량을 제공해 기업 고객들이 표적공격이나 제로데이 보안 위협에 효과적으로 대응해 비즈니스에 전념할 수 있도록 지원할 것”이라고 강조했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network



Categories: 기사

Tags: , , , , , , , , , ,

댓글 남기기