전문가 수준 악성코드 분석 솔루션 ‘조샌드박스’ 한국 상륙

스위스의 악성코드 분석 솔루션 전문업체인 조시큐리티가 한국 시장에 진출했다.

조시큐리티는 일명 ‘샌드박스’로 불리는 가상환경 악성코드 자동화 분석 솔루션 전문업체다. 샌드박스는 알려지지 않은 악성코드나 제로데이 공격을 효과적으로 탐지해 지능형지속위협(APT)·표적공격 대응하기 위한 보안 솔루션이다.

샌드박스 중심의 국내 APT 보안 솔루션 시장은 지난 3~4년 사이에 빠르게 성숙단계에 진입하고 있다고 평가되는 상황이다. 후발주자로 국내에 진출했지만 조시큐리티의 제품은 최근 군특수기관, 정부·수사기관 등에 잇달아 채택되면서 빠르게 공급사례를 확보해나가고 있다.

조시큐리티의 ‘조샌드박스’는 전세계 악성코드 분석가들 사이에서 높은 평가를 받고 있는 정밀분석 솔루션으로 알려져 있다. 주요 고객사는 정부기관을 비롯해 금융사·기업, 침해사고대응조직(CERT), 다양한 보안 솔루션·서비스 기업들이다.

지난 2011년 설립돼 유럽과 미국, 일본, 이스라엘까지 진출했지만 한국 시장에는 올해 하반기부터 인섹시큐리티가 판매와 기술지원을 맡으면서 본격 공급을 시작했다.

윈도우·안드로이드, 맥OS X·iOS 기반 악성코드까지 정밀 분석

joesecurity_1‘조샌드박스’ 제품군은 윈도우 운영체제(OS) 기반 데스크톱 PC부터 맥 OS X, 안드로이드와 iOS 등 다양한 모바일 OS까지 다양한 지원 제품군으로 구성돼 있는 것이 가장 큰 특징이다. 맥OS X 기반 악성코드를 분석할 수 있는 플랫폼을 최초로 선보인 이후 최근 iOS 악성코드 분석까지 지원하는 제품까지 내놨다.

윈도와 안드로이드, 맥OS X를 통합 분석할 수 있는 제품도 갖추고 있다.

악성코드 탐지 우회 기법을 방지하기 위해 가상머신뿐 아니라 실제머신 환경에서 분석할 수 있는 기능도 지원한다.

데스크톱용 조샌드박스 제품은 가상 제어 환경 내에서 파일 및 URL을 실행시키는 한편 의심스러운 활동에 대한 모니터링을 실시한다. 전체 작업 내용은 종합적이고 광범위한 분석 리포트로 제공한다. 담당자들은 분석 리포트에 기술된 잠재적인 위협 요인에 대한 주요 정보를 참고해 맞춤형 방어체계를 구축할 수 있다.

가상화 우회기법을 포함해 기존에 알려진 951개 이상의 악성코드 행위 패턴과 브라우저 플러그인, 악성 쉘코드(shellcode), URL, 약 5000개 이상의 파일 타입 분석이 가능하다.

조샌드박스 모바일 제품은 안드로이드용 확장자 파일포맷(APK)을 비롯해 의심스러운 활동에 대한 APK 런타임 모니터링을 수행한다. 가상머신과 실제 모바일 기기를 연결해 분석할 수 있다.

맥OS X용 샌드박스는 기존에 알려진 165개 이상의 악성코드 행위 패턴과 모든 파일, URL, 5000개 이상의 파일 타입 분석이 가능하다.

대표제품인 ‘조샌드박스 얼티메이트’는 윈도우, 안드로이드, 맥OS X까지 다양한 OS 기반 악성코드에 대해 정밀하고도 심층적인 분석을 수행한다. 사용자가 원하는 분석기능도 추가 적용할 수 있다.

이 제품은 악성으로 분류되는 경우에만 분석 샘플을 전송하는 방식을 채택, 지능형 분석 시스템에서 대규모 샘플을 단시간에 분석·처리할 수 있다.

김종광 인섹시큐리티 대표는 “조시큐리티는 샌드박스 분야에서 오랜 역사를 가지고 있다. 보안 전문가들이 많이 사용하고 있는 솔루션”이라며 “최대규모의 분석환경 지원과 정밀한 분석 역량을 바탕으로 전문가 수준에서 필요한 세부 분석정보를 제공하며, 가상환경뿐만 아니라 실제환경 분석 기능도 지원한다”고 강조했다.

API·SDK 제공해 다양한 보안 솔루션과 연동 지원  

joesandbox조샌드박스는 개방형 애플리케이션프로그래밍인터페이스(API) 지원과 소프트웨어개발키트(SDK)를 제공해 다양한 보안 솔루션과 연동할 수 있도록 지원한다.

안티바이러스(백신)와 이메일·웹프록시·네트워크 보안 시스템과 연계해 신·변종 악성코드를 더욱 정밀분석하는 동시에 최신의 지능형 통합대응형 보안 시스템을 구현할 수 있도록 지원한다.

인섹시큐리티는 ‘조샌드박스’ 제품을 ▲40여개 멀티백신 엔진을 기반으로 악성코드를 진단·검사하는 옵스왓의 ‘메타디펜더’ ▲화이트리스트 기반 엔드포인트 보안 솔루션(EDR)인 ‘카본블랙’과 연동해 최신 악성코드·랜섬웨어·APT 위협 탐지·대응체계를 구축할 수 있도록 제공하고 있다.

김 대표는 “어떠한 우수한 솔루션도 단독으로 지능형 사이버공격을 100% 막을 수 없다”며 “다양한 백신엔진으로 알려진 악성코드를 잡아내고 화이트리스트 정책을 기반으로 강화된 엔드포인트 보호체계를 운영할 필요가 있다. 이같은 시스템을 뚫고 침투하는 지능형 위협은 가상 샌드박스에서 분석해낸다면 보안체계를 더욱 강화할 수 있다. 이들 솔루션들이 서로 부족한 점을 보완할 수 있을 것”이라고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다