팔로알토네트웍스 “샌드박스 회피·C&C서버 수시변경하는 지능형위협 대응 강화”

팔로알토네트웍스가 선제방어 전략과 클라우드 보안 강화를 골자로 차세대 보안 플랫폼 기능을 대폭 확장하고 제품 라인업도 확대했다.

새롭게 선보인 차세대 보안 플랫폼 운영체제 최신버전인 PAN-OS 8.0에는 70여가지 신기능과 계정 탈취 방지 기능이 추가돼 있다. PAN-OS 8.0이 탑재된 차세대 방화벽 6종과 가상 방화벽 3종도 출시했다.

김병장 팔로알토네트웍스코리아 기술 총괄 전무는 2일 서울 무역센터에서 개최한 기자간담회에서 “이번 출시는 역사상 가장 혁신적인 발표”라며 “팔로알토네트웍스가 강조해온 ‘선제방어’를 더욱 효과적으로 지원하기 위한 기능이 대폭 강화됐다. 선택이 아닌 필수로 자리잡은 클라우드 환경 보안을 위한 사용 편의성과 성능도 제공한다”고 강조했다.

paloaltonetworks-korea-cto팔로알토네트웍스의 ‘방어(Prevention)’ 전략은 먼저 네트워크상의 애플리케이션과 사용자 가시성을 확보하고 공격이 들어오는 통로를 최소화한다. 그럼에도 알려진 공격이 들어오면 이를 막고 알려지지 않은 공격은 신속하게 분석해 알려진 공격으로 바꿔 자동 대응하는 단계로 이뤄진다.

지능형위협, ‘머신러닝+자체VM+베어메탈’ 다단계 분석

이번에 가장 두드러진 개선점은 이른바 ‘샌드박스’로 불리는 가상화 기반 행위분석 기술을 회피하는 공격 차단 기술과 명령·제어(C&C/C2) 시그니처 자동화 기능을 적용했다는 점이다.

알려지지 않은 위협을 탐지·대응하기 위해 방어자들이 ‘샌드박스’ 솔루션 사용이 늘어나면서 공격자들도 이를 우회하는 악성코드를 만들어내고 있다.

팔로알토네트웍스는 이같은 샌드박스 무력화 기술이 나온 주요 원인으로 오픈소스 기반의 가상화 기술을 사용하고 있다는 것에 주목했다. 이에 클라우드 기반 가상화 분석 플랫폼인 ‘와일드파이어’에 오픈소스 가상화 기술 사용을 중단하고 자체 구축(Custom) 방식의 하이퍼바이저 및 베어메탈 분석 환경을 적용했다. 이를 기반으로 회피형 공격을 자동으로 탐지하고 차단할 수 있다고 제시했다.

김 전무는 “회피형 공격을 자동 탐지하고 차단하기 위해 지난해 4월 ‘와일드파이어’에 스태틱 분석(Static Analysis) 기술에 머신러닝 기술을 적용했다. 그 다음 단계로 100% 자체 제작한 가상머신에서 다이내믹 분석 기능을 수행한다. 그럼에도 불구하고 동작하지 않은 악성코드를 잡아내기 위해 고객 환경과 동일한 서버 환경에서 ‘베어메탈 분석’을 수행하고 있다”고 설명했다.

페이로드 분석 기반 C&C 차단

C&C 차단 방식도 기존 IP, URL/도메인 차단 방식에서 페이로드(payload) 기반 시그니처 엔진 지원 방식으로 바꿨다.

김 전무는 “공격자들은 C&C 서버를 수시로 바꾼다. 보안업체들이 C&C를 차단하기 위해 URL을 DB 업데이트하는 것보다 더 빠르게 업데이트할 경우도 많다”고 지적하면서 페이로드 시그니처 방식으로 바꾼 배경을 밝혔다. 그는 “페이로드 시그니처 방식은 기존에는 분석가들이 직접 수동 분석해야 했지만 이를 자동화 방식으로 지원할 수 있게 돼 이번에 획기적인 혁신을 이뤘다”고 내세웠다.

타사 위협 인텔리전스, 네트워크·엔드포인트 로그 통합

아울러 팔로알토네트웍스는 자사 위협 인텔리전스 서비스인 ‘오토포커스’에 위협 인텔리전스 프로세싱 프레임워크인 ‘마인멜드(MineMeld)’를 통합해 타 보안업체들의 위협 인텔리전스 정보까지 합쳐 고객들이 사용할 수 있도록 지원한다. 프루프포인트, SOLTRA, STIX, TAXII 등 위협정보 공유를 위한 규격을 지원하면 모두 통합할 수 있다.

이로 인해 기업 보안운영팀은 여러 데이터 피드를 손쉽게 취합하고 모든 위협 인텔리전스에 빠르게 적용할 수 있도록 돕는다고 회사측은 설명했다.

이밖에도 팔로알토네트웍스는 네트워크 보안관리 플랫폼 ‘파노라마’에 기존 방화벽 로그 외에도 엔드포인트 보안 제품인 ‘트랩스’에서 나오는 로그를 통합 제공한다. 이로 인해 공격 지표간 상관관계를 분석하고 위협 인텔리전스 정보를 차세대 방화벽에 업데이트해 자동 대응할 수 있도록 지원한다.

계정 탈취 공격 대응, 고성능 차세대 방화벽 6종 출시

팔로알토네트웍스는 차세대 보안 플랫폼에 계정(Credential) 탈취로 인한 데이터 침해를 방지하기 위해 피싱사이트 자동 탐지·차단, 피싱사이트에 사용자 계정 입력 방지 기능을 제공한다.

또한 탈취 계정 오남용 방지를 위해 차세대 방화벽을 활용, 네트워크단에서 정책 기반 멀티팩터 인증 프레임워크를 지원한다.

pan_infographic-final팔로알토네트웍스는 이번에 6가지 신규 차세대 방화벽 제품군(PA-5260, PA-5250, PA-5220, PA-850, PA-820, PA-220)을 출시해, 기존에 16개에서 하드웨어 제품군을 대폭 확대했다. 회사측은 이들 제품군이 암호화된 트래픽(SSL)을 포함한 모든 트래픽을 제어할 수 있다는 점을 강점으로 내세웠다.

퍼블릭·프라이빗 클라우드 지원 강화…가상방화벽 7종으로 확대

팔로알토네트웍스는 선제방어 전략이 물리적인 네트워크, 엔드포인트 환경뿐 아니라 클라우드 환경에서도 동일하게 작동될 수 있도록 이번에 클라우드 보안 지원을 대폭 강화했다.

최적화된 워크플로우 자동화 기능과 네이티브 클라우드 서비스를 통합해 물리적 환경의 보안 모델을 퍼블릭 클라우드와 프라이빗 클라우드 환경에 동일하게 적용할 수 있도록 지원한다.

아마존웹서비스(AWS), 마이크로소프트 애저(Azure), VM웨어 NSX, 오픈스택 등을 모두 지원한다.

팔로알토네트웍스는 이번에 3종의 가상 방화벽 신규 모델(VM-50, VM-500, VM-700)을 추가하고 기존 제품군의 성능을 향상시켜 200Mbps에서 최대 16Gbps의 성능을 지원하는 가상 방화벽 제품군 총 7종을 확보하게 됐다.

최원식 팔로알토네트웍스코리아 대표는 “플랫폼 방식의 접근법을 통해 고객들이 총체적인 보안 전략을 마련할 수 있도록 지원하기 위해 역사상 가장 방대한 업데이트를 실시했다”며 “퍼블릭, 프라이빗, 하이브리드 클라우드는 물론 서비스형 애플리케이션(SaaS)까지 전체를 아우르는 지속적인 가시성과 효율적인 운영에 대해 새로운 기준점을 제시하며 시장에 새로운 반향을 가져올 것으로 기대한다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다