랜섬웨어·APT 시대 “화이트리스트 기반 보안으로 방어해야”
“매달 새로운 악성코드가 1000만개 이상 생겨나 유포되고 있다. 하루 평균 33만개의 새로운 악성코드가 나오는 셈이다. 그런데 가장 많은 패턴 업데이트가 이뤄지는 백신(안티바이러스)이 하루 300개 정도다.”
김종광 인섹시큐리티 대표는 4일 서울 가산디지털단지에 위치한 본사에서 기자들과 만나 이같이 말하며, 기업 조직에서 랜섬웨어를 비롯해 수많은 신·변종 악성코드 위협을 막기 위해서는 화이트리스트 기반 엔드포인트 보호 솔루션이 필요하다고 강조했다.
사전에 인가된 프로그램만 허용하고 나머지는 차단하는 개념의 화이트리스트 기반 보안 제품은 그동안 산업용 제어시스템이나 판매시점관리(POS) 단말 등 특수한 환경에만 적용돼 왔다. 중요 시스템이지만 사용자나 애플리케이션이 기업 업무환경만큼 다양하지 않고 프로그램 업데이트도 빈번하게 이뤄지지 않은 경우에 활용돼온 방식이다.
기업 환경에서는 화이트리스트 기반 보안 제품이 사용자 불편을 유발할 수 있고, 관리자가 업무에 지장을 주지 않을 정도로 편의성을 지원하려면 부담이 너무 크다는 것이 장애요소로 여겨졌던 탓이다.
그러나 백신 등 보안 제품을 우회하는 지능적인 랜섬웨어나 신·변종 악성코드로 인한 지능형지속위협(APT) 공격 위협이 거세지면서 기업 환경에서도 화이트리스트 기반 보안 방안이 필요하다는 것이 김 대표의 얘기다.
이전에 화이트리스트 기반 보안 방식을 적용하는데 걸림돌이 됐던 요소도 크게 해소되는 수준으로 기술이 발전했다고 보고 있다.
패턴 업데이트가 필요 없는 실시간 악성코드 탐지 기능과 더불어 자동화된 방식으로 정책 설정·관리에 들어가는 관리자 부담을 해소할 수 있다는 주장이다.
김 대표는 “이전에는 새로운 파일이 들어오면 관리자가 수동 검증한 뒤 화이트리스트에 등록시켜 높은 관리 부담을 지운다는 단점이 있었지만 이제는 머신러닝 기술을 적용해 새로운 파일이 들어오면 여러 백신이나 샌드박스에 보내 분석하고 위협이 아닌 경우 자동으로 승인처리할 수 있는 프로세스가 지원된다”고 설명했다.
인섹시큐리티는 이처럼 자동화된 프로세스를 갖춘 화이트리스트 기반 엔드포인트 보안 솔루션인 ‘카본블랙 엔터프라이즈 프로텍션’을 국내 공급한다. 주요 금융사, 제조사, 공공기관, 의료기관, 포털사, 게임사 등에 적극 소개하고 있다.
카본블랙은 백신을 넘어서는 차세대 엔드포인트 보안 솔루션 시장에서 주목받는 엔드포인트 탐지·대응(EDR) 솔루션 시장 선두주자다.
카본블랙 엔터프라이즈 제품군은 침해사고 대응 솔루션인 ‘카본블랙 엔터프라이즈 리스폰스’와 ‘카본블랙 엔터프라이즈 프로텍션’으로 구성된다. ‘카본블랙 엔터프라이즈 프로텍션’은 화이트리스트 기반의 실시간 악성코드 탐지 솔루션이다.
인섹시큐리티는 지난 1년간 ‘카본블랙 엔터프라이즈 리스폰스’ 솔루션을 주축으로 국내에서 50여 고객사를 확보했다. 이 제품은 엔드포인트단에서 일어나는 모든 프로세스의 행위를 모니터링, 기록, 추적해 실시간 사이버위협이나 악성코드를 탐지해 신속하게 대응하는데 활용하는 솔루션이다.
최근 랜섬웨어 등 지능적인 위협으로 인한 기업 사용자 피해가 커지면서 보다 근본적인 방안을 마련하기 위해 화이트리스트 기반 보안 제품에 대한 관심이 커지고 있다는 게 회사측 설명이다. 최근 금융사와 기업 시장에 ‘카본블랙 엔터프라이즈 리스폰스’와 더불어 ‘카본블랙 엔터프라이즈 프로텍션’ 솔루션이 공급되는 사례도 확보했다.
카본블랙 제품군의 장점으로 인섹시큐리티는 56개 전세계 백신을 지원하는 ‘바이러스토털(VirusTotal)’을 비롯해 다양한 백신, 샌드박스 기반 행위 분석 솔루션, 네트워크 보안 솔루션 등과 연동이 가능하다는 점도 내세웠다.
김 대표는 “기존에 알려진 위협은 백신으로 차단하고 의심스러운 위협은 샌드박스와 연동해 확인한 후 화이트리스트로 자동 승인하거나 차단할 수 있어 탐지·대응 수준과 신뢰성을 높일 수 있다”며 “랜섬웨어 위협이 커지면서 네트워크단 보안 투자에 집중해온 곳에서 최근 EDR같은 지능형 엔드포인트 보호 솔루션을 고려하고 있다”고 밝혔다.
카본블랙 엔터프라이즈 제품군은 글로벌 보안 업체들과 최신 악성코드 및 위협들을 탐지하고 차단하는데 필요한 위협 인텔리전스 정보를 공유한다. 이 제품군은 보안 정책을 차등화해 설정하고, 설정된 정책을 그룹별, 개인별로 적용할 수 있다. 인터넷이 연결되지 않은 상태에서도 보안 정책이 실행되는 것도 특징이다.
‘카본블랙 엔터프라이즈 프로텍션’의 동작방식은 먼저 사용자 PC나 서버를 신뢰할 수 있는 상태로 만든 뒤, 에이전트를 설치한다. 설치 후 보안 환경 초기화 과정을 통해 설치돼 있는 프로그램 항목들과 함께 기존 정책에 포함된 화이트리스트 목록을 작성한다. 사용자 PC, 서버 등에서 실행되는 응용프로그램과 운영체제, 그리고 파일의 해시(Hash) 값을 화이트리스트 목록으로 생성한다. 그 뒤에 승인되지 않은 소프트웨어 설치, 악성코드실행, 휴대 저장매체의 접근 등을 화이트리스트 목록과 비교해 접근제어, 실행차단, 감사추적에 사용하면 된다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network