by정시내 기자
2013.05.29 17:38:57
[이데일리 e뉴스 정시내 기자] 최근 국내 방송사와 금융사에 사이버 테러 사건이 발생하면서 보안 기술에 대해 관심이 쏠리고 있다.
국내외에서 발생하는 대형 보안 관련 사고의 공통점은 하나. APT(Advanced Persistent Threat) 공격 방식이란 데 있다.
APT는 해커(공격자)가 기업 정보, 국가 기밀 탈취 등을 위해 특정 대상을 목표로 정하고 보안 취약점을 찾아내 지속적이고 지능적으로 공격하는 방식이다. 따라서 개인이나 기업은 APT에 대한 정보를 습득하고 보안 인식을 강화하는 것이 반드시 필요하다.
APT 공격에서 가장 중요한 초기 침입에 대응하기 위해서는 ‘알려지지 않은 악성코드(Unknown Malware)’에 대한 대응이 무엇보다 중요하다.
안랩의 APT 대응 솔루션 ‘안랩 트러스와처 (글로벌 제품명: 안랩 MDS)’는 클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA Engine, Dynamic Intelligent Contents Analysis Engine) 등 세 가지 엔진으로 다차원 악성코드 분석/탐지 기능을 제공한다.
트러스와처는 기업 네트워크로 유입되는 파일 중 90% 이상을 차지하는 알려진 파일에 대해서는 클라우드 기반의 ASD(AhnLab Smart Defense)로 탐지하고, 나머지 10% 이하의 알려지지 않은 신·변종 파일은 가상 머신 상에서 행위 기반 및 동적 콘텐츠 분석 기술로 탐지한다.
또한 행위 기반 분석 시 해당 파일의 행위만 분석하는 것이 아니라, 연관 파일에 대한 시그니처 기반 분석을 통해 악성 여부 판정부터 연관된 파일들이 접속하는 URL/IP의 위험도, 그리고 평판 정보 및 종합적인 행위를 다차원적으로 분석한다.
특히 문서 파일과 같은 비실행형 파일을 사용하는 공격을 탐지하기 위해 트러스와처는 ‘동적 콘텐츠 분석 기술 DICA(Dynamic Intelligent Content Analysis)’를 탑재했다.
또 DICA는 안랩의 악성코드 분석 노하우가 반영된 특허 기술로 가상 환경 내에서 문서 등 비실행형 파일을 직접 검증할 뿐만 아니라, 점차 국가별로 많이 사용되는 소프트웨어(특정 압축 포맷 및 문서편집 프로그램 등)를 노리면서 국지전 양상을 띠는 비실행형 악성코드 탐지에 탁월한 성과를 보이고 있다.
이러한 기술의 우수성을 인정받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다.
’
APT 공격의 또 다른 특징은 외부에서 최초 침입해, 내부망을 타고 돌아다니며 악성행위를 한다는 것이다.
안랩의 망 분리 솔루션 ‘트러스존(AhnLab TrusZone)’은 소프트웨어와 하드웨어를 융합한 방식의 솔루션으로서 PC 가상화 기술과, 가상화 전용 장비(VTN; Virtual Tunneling Network)를 활용한 것이 특징이다.