팔로알토네트웍스가 익스플로잇 취약점 공격 보호, 알려지지 않은 멀웨어까지 다계층 방어를 통한 선제 대응, 보안 플랫폼 연동을 차세대 엔드포인트 보안 솔루션이 갖춰야 할 필수조건으로 제시했다.

최근 기승을 부리고 있는 랜섬웨어 공격을 엔드포인트단에서 예방하고 대응하기 위해서는 지능형지속위협(APT)과 마찬가지로 안티바이러스(백신)로 대변되는 기존(레거시) 엔드포인트 보안 솔루션으로는 한계가 있다는 점도 지적했다.

팔로알토네트웍스코리아(대표 최원식)는 20일 개최한 기자간담회에서 다중보안을 지원하는 지능형 엔드포인트 보안 솔루션인 ‘트랩스(Traps) 4.0’이 제공하는 기능을 기반으로 최근 급증하는 랜섬웨어와 지능형위협 대응 방안을 제시했다.

Paloalto traps1이 자리에서 팔토알토네트웍스는 먼저 클라우드 기반 APT 방어·대응 솔루션인 와일드파이어(WildFire)를 기반으로 전세계적으로 수집된 악성코드를 분석한 결과, 전세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달한다고 제시했다.

시그니처 기반 패턴매칭 보안 솔루션은 알려진 공격 대부분을 빠르고 확실하게 차단하고 있지만 이를 회피하기 위한 지능형 멀웨어로 진화하고 취약점 기반 공격도 급증하면서 한계에 도달했다는 얘기다.

회사측에 따르면, 실행파일 뿐만 아니라 문서나 스크립트 파을 통한 감염의 경우 관리 범위가 광범위하다. PDF, 이메일 첨부파일, 웹 다운로드 파일 등으로 하루에도 수천 건에 달하는 파일이 이동하고 있다.

동적 액션 트리거, 원격 데이터 검색, 랜섬웨어 감염, 키로거(Keylogger), 루트킷, 봇(Bot) 등의 다운로드 설치와 같은 내장형 스크립트의 동적 요소를 사용하기 때문에 기존 알려진 시그니처 기반의 대응은 코드를 분석하거나 런타임 행위를 분석할 수 없다. 안티바이러스나 IPS의 시그니처와 위협의 시그니처가 일치하지 않는 한 탐지가 불가능하다.

따라서 지능형 엔드포인트 보안을 위해서는 다양한 방식의 취약점(익스플로잇) 공격 보호와 방어 역량, 해시 제어, 악성 프로세스 활동 통제, 보안 플랫폼과의 상관분석 등이 필수라는 것이 팔로알토네트웍스의 견해다.

조현석 팔로알토네트웍스코리아 부장은 “취약점 공격으로 운영체제(OS)에서 발생할 수 있는 이상 현상을 다중 보안정책을 사용해 모니터링하고 차단해야 한다”라면서 “익스플로잇킷에서 사용하는 취약성 프로파일의 자동 예과 공격자가 시스템 애플리케이션을 조작하는데 사용하는 익스플로잇 기법 차단, 운영체제 커널 악용을 방지해야 한다”고 지적했다.

또한 “다계층 방어 역량을 제공해 알려진 위협과 알려지지 않은 위협에 선제 방어할 수 있어야 한다”라면서 “해시 제어 등으로 기존 알려진 멀웨어는 자동 차단하고 머신러닝과 자동 샌드박스, 악성행위를 유발하는 프로세스 행위를 정책 기반으로 차단해 알려지지 않은 멀웨어 공격까지 제공해야 한다”고 강조했다.



최근 출시된 트랩스 4.0은 파일 해쉬 기반의 빅데이터를 운영해 알려진 멀웨어 공격을 차단하고, 알려지지 않은 공격에 대해서는 5분 내에 신속하게 차단할 수 있는 시그니처를 자동 생성해 트랩스에 배포한다.

더불어 머신러닝을 활용, 악성 행위를 차단하며  랜섬웨어와 같은 악의적 목적의 프로세스 행위를 정책적으로 차단한다고 설명했다.

이밖에도 통합 보안 플랫폼과 연동해 외부에서 처음 발견된 랜섬웨어와 악성코드를 자동으로 차단하고, 로컬 분석의 효율성을 증대시킬 수 있다는 점도 강조했다. 팔로알토네트웍스는 차세대 보안 플랫폼과 엔드포인트 보안을 연동시켜 이같은 조건을 충족시킨다.

트랩스 4.0은 멀웨어와 익스플로잇 차단 기능을 강화하는 한편, 맥OS와 안드로이드 등 지원하는 OS를 확장했다.

paloalto-traps_170720최원식 팔로알토네트웍스코리아 대표는 “랜섬웨어는 최근 제로데이 취약점 공격이나 알려지지 않은 멀웨어 등 기존의 보안 시스템을 회피하기 위한 형태로 진화하고 있다. 단순한 해킹 유형의 범주를 벗어나 공격자들이 전문화, 조직화돼 금전적 수익을 목적으로 수백만 달러 규모의 효과적인 사이버 범죄 모델로 진화했다”고 말했다.

이어 최 대표는 “악성코드는 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는 ‘제로데이’ 기간이 늘어나고 있어, 관리자들의 불안감이 날로 커지고 있다”라면서 “이러한 위협으로부터 비즈니스를 보호하기 위해서는 적절한 관리자와 사용자 교육, 기존 IT 환경에 적합한 조치와 더불어 엔드포인트 보안 고도화로 랜섬웨어 예방·대응 전략을 구축해야 한다”고 견해를 밝혔다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network


[바이라인플러스 7월 무료 웨비나 ]
  • 진화된 클라우드 보안 방안과 제로트러스트 업무환경 구현
    날짜 : 2022년 7월 6일 (수)
    시간 : 13:10 ~ 17:35
    자세히보기