머신러닝에 공격자 속이고 격리까지…시만텍, 엔드포인트 통합보안 더 고도화
시만텍이 엔드포인트 탐지·대응(EDR), 머신러닝(ML) 기반 보호 기술에 더해 공격자를 속여 악성 행위를 무력화하는 ‘디셉션(Deception)’, 의심스러운 애플리케이션은 격리하고 공격 행위는 차단하는 ‘하드닝(Hardening)’ 신기술까지 장착한 통합 엔드포인트 보안 제품군을 내놨다.
보다 정교해지는 사이버위협에 대응하면서도 엔드포인트 보안 운영 효율성을 제공하기 위해 다계층의 심층 방어, 탐지·대응, 적응형 보안 등 다양한 보안요소를 단일 에이전트에서 통합 제공한다.
EDR과 인공지능(AI) 기반 차세대 엔드포인트 보안 제품군이 다양하게 시장에 소개되고 있는 가운데, 글로벌 엔드포인트 보안 플랫폼 선두업체로 기술격차를 벌리는데 공들인 모양새다.
시만텍코리아(대표 이석호)는 22일 기자간담회를 열고 ▲시만텍 엔드포인트 프로텍션(SEP) 14.1 ▲지능형위협보호(ATP) 3.0 ▲시만텍 EDR 클라우드 ▲SEP 모바일 등 구축형(온프레미스), 클라우드, 모바일에 이르는 새로운 통합 엔드포인트 보안 제품군을 공개했다.
시만텍은 기존 다계층 보호 전략으로 제로데이 위협과 지능형 표적공격을 차단하기 위해 대표 엔드포인트 보안 제품인 ‘SEP’에서 ▲네트워크 방화벽과 침입차단 ▲애플리케이션·매체제어 ▲메모리 익스플로잇 공격 차단 ▲평판분석 ▲머신러닝 ▲에뮬레이션 ▲안티바이러스(백신) ▲행동 모니터링 ▲호스트 무결성 기술을 제공해 왔다.
이번 SEP14.1 신제품은 이전 버전 대비 메모리 익스플로잇 공격 차단, 평판 분석, 머신러닝 탐지, 행동 모니터링 기능을 고도화했다.
여기에 새로운 디셉션, 하드닝같은 새로운 기능까지 추가했다. 이같은 기능은 모두 SEP14.1 단일 에이전트에서 지원된다.
EDR 기능은 SEP 에이전트를 그대로 사용하고 지능형 이메일과 웹까지 포괄적인 지능형공격 보호 기능을 제공하는 ATP 3.0과 연동해 활용할 수 있다.
시만텍은 EDR 기능만 별도 사용하길 원하는 기업들을 위해 EDR 전용 서비스형소프트웨어(SaaS) 제품인 ‘EDR 클라우드’도 이번에 출시했다. 이 제품은 시만텍이 아웃라이어시큐리티 인수로 확보했다.
공격자를 속이는 디셉션 기술 탑재
‘SEP 14.1’은 공격자들을 속여 무력화하는 ‘디셉션’ 기술을 탑재했다. 디셉션 기술은 공격자들을 성공적으로 조직에 침투한 것처럼 속이고 실제로는 인공으로 만들어진 환경에 보내 공격자들이 가짜 자산과 정보에 접근하는 사이 보안팀이 침투를 식별해 빠른 초기 대응으로 공격을 무력화할 수 있도록 하는 기능이다.
윤광택 시만텍코리아 최고기술책임자(CTO)는 “디셉션은 예전에 기업의 DMZ에 취약한 시스템을 임의로 만들어 공격자가 들어오도록 한 ‘허니팟’과 비슷한 기능”이라며 “허위 프로그램이나 정보를 PC에 심어 공격자를 유인해 공격 활동을 식별하고 모니터링하는 것으로, 시만텍 엔드포인트 보안 제품에 적용된 혁신적인 기술”이라고 설명했다.
시만텍은 자체 보유하고 있는 전세계 1억7500만대의 엔드포인트를 이용해 유연하게 대규모로 디셉션 기능을 구축할 수 있다.
‘SEP 14.1’은 고급 머신러닝 기술과 행위기반 분석을 적용해 고객 환경에 최적화할 수 있는 집중 보호 기능도 실행한다. 기존에 머신러닝 엔진을 고도화한 것은 물론, 의심스러운 파일 등을 각 기업의 보안관리자들에게 제공하고 심층 조사와 분석을 수행할 수 있도록 지원한다. 머신러닝 엔진에서 악성으로 가중치를 매겨 분류한 의심스런 파일 분류와 화이트리스트 등록도 각 기업마다 설정 처리할 수 있다.
이전 버전인 ‘SEP 14’는 파일리스 악성코드 탐지 기능을 탑재해 전세계 엔드포인트에서 10억건 이상의 워너크라이 감염 시도를 사전에 선제적으로 차단한 바 있다고 회사측은 설명했다.
의심스러운 공격을 격리하는 ‘SEP 하드닝’
‘SEP 하드닝’은 모든 애플리케이션을 평가`분류해 안전성을 확인한 애플리케이션을 보호하고, 의심스러운 애플리케이션은 격리(isolation)한다. 제로데이 공격 등 취약점을 이용한 공격을 예방하고, 보편적으로 사용하는 애플리케이션을 겨냥한 의심스러운 악의적인 공격을 차단하고, 안전하지 않은 애플리케이션은 원클릭으로 격리시킴으로써 피해를 완화한다.
윤 CTO는 “오피스 등 문서파일과 애플리케이션 취약점을 악용하는 공격은 취약점을 패치하거나 업데이트하면 되지만 패치하는데 평균 12주가 걸리는 조사결과도 있듯이 빠르게 대응하는 것이 쉽지 않다”라면서 “‘하드닝’은 이메일이나 웹을 통해 들어오는 실행파일이 의심스러운 경우 격리해 활동을 못하게 만들고, 설사 문서파일에 있는 취약점을 악용한 공격도 다른 정상 기능은 수행토록하고 악성 행위만 못하도록 가둬놓는 기능”이라고 말했다.
EDR 성능 향상, ‘ATP 3.0’에 통합
시만텍은 ‘SEP 14’에 성능이 대폭 향상된 EDR을 통합해 ‘ATP 3.0’을 발표했다. ATP 3.0은 FDR(Flight Data Recorder) 기능을 이용해 엔드포인트에서 발생되는 모든 기록을 지속적으로 저장해 가시성을 확보하고, 침해사고 분석 시 저장된 기록을 기반으로 상관관계를 분석함으로써 침해사고 대응에 도움을 준다.
지능형 공격에 대응하는 ‘EDR 클라우드’
클라우드 기반의 엔드포인트 분석과 대응을 지원하는 ‘시만텍 EDR 클라우드’는 SEP를 설치하지 않은 엔드포인트로 EDR을 확장해준다.
시만텍 EDR 클라우드는 단 몇 분 안에 구축이 가능하며, 엔드포인트 자산을 통합 모니터링해서 탐지하고, 숙련된 보안 분석가의 기술과 모범 사례를 제공해 사전 구축된 사고 대응책을 통해 보안 사고처리의 생산성을 높이고 비용을 절감할 수 있다. 또한 시각적 분석 기능이 강화돼 복잡한 사이버 데이터를 간단하게 분석할 수 있다.
모바일 위협 방어 위한 ‘SEP 모바일’
시만텍이 스카이큐어(Skycure) 인수로 새롭게 출시하게 된 ‘SEP 모바일’은 시만텍의 글로벌 네트워크 인텔리전스(GIN)를 기반으로 모바일 엔드포인트를 보호한다.
‘SEP 모바일’은 검증된 효과적인 모바일 위협 방어 기능을 포괄적으로 제공하면서 기업이 iOS, 안드로이드 등 현재 사용되는 다양한 모바일 운영체제에서 BYOD(Bring Your Own Device)와 기업 소유 기기를 모두 보호할 수 있도록 돕는다.
윤 CTO는 “시만텍 엔드포인트 보안 라인업은 변화하는 기업 환경 속에서 고객이 원하는 보안역량을 정확하게 반영한 제품으로, 단일 에이전트에 동급 최강의 기능이 통합돼 효율성 향상과 비용 절감은 물론 APT, 악성코드와 랜섬웨어에 효과적으로 대응할 수 있다”고 강조했다.
이어 윤 CTO는 “이미 시장에서 경쟁우위에 있는 주요 보안 기술들이 하나의 시만텍 플랫폼 상에서 유기적으로 통합돼 고객에게 기존 보안 제품들과는 완전히 차별화되는 고도의 엔드포인트 보안을 제공할 수 있게 됐다”라면서 “시만텍은 지속적으로 엔드포인트 보안 혁신을 이어나갈 것”이라고 덧붙였다.
시만텍은 이번 발표를 기점으로 국내 엔드포인트 APT 대응 솔루션과 EDR 시장 공략을 크게 강화한다는 전략이다.
기존 SEP 정식 라이선스 사용 고객으로 유지보수 계약이 체결돼 있으면 SEP14.1 새제품으로 버전을 업그레이드 할 수 있다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
