카스퍼스키랩, 네트워크·EDR로 영역 넓힌다…지능형 통합보안 플랫폼 출시
안티바이러스(백신)로 유명한 카스퍼스키랩이 네트워크와 엔드포인트 탐지·대응(EDR)으로 영역을 확장한다. 머신러닝 위협 분석과 네트워크 가상화 기반 위협분석(샌드박스), EDR 기능을 통합 지원하는 새로운 보안 플랫폼을 선보였다.
이번 출시로 카스퍼스키랩은 사이버위협 인텔리전스와 연계해 네트워크단과 엔드포인트단으로 침투하는 정교한 위협을 탐지·분석·대응할 수 있는 지능형지속위협(APT) 보호 플랫폼 사업을 국내에서 본격 전개한다. 이를 기점으로 그동안 주력해온 중견중소기업(SMB) 시장을 탈피해 엔터프라이즈로 사업 영역도 본격 넓히겠다는 방침이다.
카스퍼스키랩코리아(지사장 이창훈)는 6일 서울 L7호텔에서 지능형 표적공격으로부터 기업을 보호하는데 특화된 ‘카스퍼스키 위협 관리·방어(KTMD)’ 플랫폼을 소개하면서 이같은 전략을 밝혔다.
KTMD는 ▲카스퍼스키 안티타깃티드어택(KATA) 3.0 ▲카스퍼스키 EDR(KEDR) 1.0 ▲카스퍼스키 사이버보안 서비스로 구성된다.
지능형 표적공격은 조직 내부 시스템에 침투해 오랜 기간 잠복하면서 데이터를 수집하고 악성코드를 설치하고 이동하며 권한을 획득해 최종적으로 공격을 실행한 뒤 흔적까지 제거하는 일련의 단계를 밟는다. KTMD는 이같은 정교한 공격을 인지·확인·조사해 빠른 조치와 복구를 수행하는 위협대응 프로세스 전반을 포괄한다.
본사에서는 2년 전 출시했지만 국내에서는 처음 선보이는 KATA(Kaspersky Anti Targeted Attack)는 머신러닝 위협 분석과 샌드박스, 네트워크 트래픽 분석 기능과 글로벌 위협 인텔리전스가 결합돼 있는 네트워크 기반 지능형 위협 탐지 플랫폼이다. 소프트웨어로 공급돼 네트워크 장비와 연결, 네트워크단 하드웨어 장비에 설치해 운영할 수 있다.
기업 보안팀은 제공되는 대시보드를 통해 주기적 점검 상태, 최신 이벤트, 침해 사건 정보 등을 확인할 수 있다. 이를 바탕으로 사고 대응 조치 결정할 수 있다.
이번에 카스퍼스키랩이 처음 선보인 KEDR은 엔드포인트에서 발생하는 모든 데이터를 수집하고 상태를 모니터링한다. 침해지표(IOC) 기반의 지능형 탐지기술을 활용해 효과적으로 위협을 탐지할 뿐만 아니라 그 출처와 경로, 행위 등을 분석하는 ‘위협 사냥’ 기능도 제공한다.
KEDR은 디지털포렌식 데이터를 수집한 뒤 알아보기 쉽게 시각화해 현재 시스템 보안 상태를 파악해 대응조치를 빠르게 판단할 수 있도록 지원한다. 사고대응(IR) 기능을 원격에서 빠르게 실행할 수 있도록 제공한다. 보안담당자는 의심스러운 파일을 격리하거나 삭제하고, 추가 분석을 위해 샌드박스로 이동할 수 있으며, 특정 엔드포인트도 격리할 수 있다.
카스퍼스키랩은 기존 백신 기반 엔드포인트 통합보안 제품인 ‘카스퍼스키 엔드포인트 시큐리티’와 EDR 기능을 하나의 에이전트로 사용할 수 있도록 통합했다. 기존 카스퍼스키 백신 사용자는 별도의 에이전트를 설치할 필요 없이 라이선스만 추가해 EDR 기능까지 확장할 수 있다.
사이버보안 서비스는 카스퍼스키 전문가들이 직접 제공하는 보안 교육, 사고 발생시 신속한 복구를 지원하는 IR 서비스, 선제적 표적공격·위협 평가 서비스, 아웃소싱 방식의 위협사냥 관리 서비스, APT·위협 인텔리전스 리포트와 포털 등이 있다.
이성식 카스퍼스키랩코리아 부장은 “전체 위협의 90%는 시그니처와 규칙 기반 탐지가 가능한 악성코드 위협이며, 정교한 공격은 9%, 표적공격은 1% 수준”이라며 “지능형 표적공격은 기존 솔루션으로는 탐지와 차단이 어렵다. 조직에 들어온 최초의 악성코드는 악성 행위를 하지 않아 즉각 피해를 입히지 않고 여러 절차에 따라 핵심 인프라에 접근하기 때문에 탐지하기 어렵다. 때문에 킬체인 기반의 지능형 위협방지 전략과 프로세스, 이를 지원하는 전용 솔루션이 반드시 필요하다”고 강조했다.
이 부장은 “카스퍼스키랩은 지능형위협과 표적공격을 빠르게 찾아내는 보안기업으로, KTMD는 의심스러운 징후를 선제적으로 예측하고 예방·탐지, 대응하는 적응형 보안모델을 구현하고 있다”고 덧붙였다.
스테판 노이마이어 카스퍼스키랩 아태지역 매니징 디렉터는 “기업들은 보안 투자의 80%를 침해 예방(prevent)에, 단 20%만이 공격 예측과 탐지·대응에 투입한다. 카스퍼스키랩은 40%를 침해 예방에 투입하고 60%를 예측과 탐지·대응에 투자할 것을 권고한다”고 말했다.
한편, 이날 카스퍼스키랩은 올해부터 미국, 스위스, 아시아태평양지역 3곳에 소스코드 공개를 ‘투명성센터(Transparency Center)’를 운영할 계획이라고 밝혔다.
지난해 미국 국토안보부가 러시아기업인 카스퍼스키랩이 러시아 정보기관과의 유착 의혹을 제기하면서 미국 연방정부기관에서 카스퍼스키 제품 사용을 금지하는 지침을 내렸다.
카스퍼스키랩은 미 법원에 해당 지침에 대한 이의를 제기하고 금지 명령을 신청하고, 신뢰성 회복 조치로 투명성센터 설립과 버그바운티 강화 등을 포함한 ‘투명성 이니셔티브(comprehensive transparency initiative)’를 발표했다.
노이마이어 매니징 디렉터는 “미국과 유럽, 아태지역에 세 곳의 투명성 센터 구축을 추진하고 있다”라면서 “투명성 센터는 고객이 원할 경우 소스코드와 내부 프로세스를 공개적으로 보여줄 것”이라고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
