대규모 사이버 공격이 발생했을 때 안랩이 뜨는 이유는 우리나라에서 악성코드 패턴 정보를 가장 많이 보유하고 있어서다. 암호·인증 회사를 제외하고, 보안관제나 침입탐지시스템(IDS)업체·백신업체 정도가 패턴정보를 갖는데 1995년 컴퓨터 바이러스 백신 회사로 출범한 안랩만큼 오랫동안 국내에서 말썽을 일으킨 악성코드를 직접 보면서 분석한 회사는 없다.
|
이상국 안랩 마케팅실장은 “예전에는 검증된 악성코드를 중심으로 대응했지만, 요즘에는 의심파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전에 차단하거나, (각 고객사 시스템과 연결된) 안랩 클라우드 분석센터에서 종합한 의심 파일에 대한 평판정보로 신규 악성코드를 분석하고 있다”고 말했다.
안랩 클라우드 분석센터에는 하루에 15~30만 개의 파일이 검출된다. 대부분 악성인가를 시스템이 판단하지만, 경험이 요구되는 상황에선 사람을 거쳐야 한다. 차민석 분석팀 책임연구원은 “클라우드 백엔드에 있는 파일을 DNA로 추출해 스캔하거나 해서 분석한다”며 “병원 응급실처럼 평소에는 24시간 교대 근무제를 하지만 지난 해킹 사건 때는 오랜 밤샘 근무로 혈압이 올랐다”고 했다.
올해 뜨거운 화두로 부상한 APT(Advanced Persistent Threat)에 대응할 수 있는 ‘안랩 트러스와처 (글로벌 제품명: 안랩 MDS)’도 글로벌 독립 보안테스트 기관인 NSS랩스의 정보유출 진단 제품 분석 테스트에서 높은 점수를 획득하는 등 세계시장에서 인정받고 있다. APT는 해커가 특정 대상을 목표로 정하고 보안 취약점을 찾아내 지속적이고 지능적으로 공격하는 방식이다.
이상국 실장은 “트러스와처는 네트워크와 엔드투엔드를 함께 보는 제품으로, 최근 미국 라스베이거스에서 열린 글로벌 보안 컨퍼런스 ‘블랙햇 2013’에 소개하기도 했다”고 말했다.
안랩이 APT 대응솔루션으로 주목하는 제품에는 망 분리 솔루션인 ‘트러스존’도 있다. 이 제품은 소프트웨어와 하드웨어를 융합한 방식의 솔루션으로서 PC 가상화 기술과 가상화 전용 장비를 활용했다. 차민석 연구원은 “개인적으로 집에서는 가상 데스크톱 소프트웨어인 VM웨어를 설치해 쓰면서 인터넷뱅킹을 할 때마다 프로그램을 깔고 있다”며 “공공기관이나 금융권 등 중요기관은 망분리를 통해 APT에 대응해야 한다”고 조언했다.
