안철수연구소의 ‘트러스와처(AhnLab TrusWatcher)’는 최근 사회적 물의를 일으키고 있는 좀비PC에 효율적으로 대응할 수 있는 네트워크 보안 장비다.
트러스와처는 분산서비스거부(DDoS) 공격의 근본적인 원인인 공격자가 퍼뜨린 악성코드에 감염된 ‘좀비PC’를 제거하기 위해 개발됐다.
이 제품은 우리나라가 초강력 DDoS 공격을 여러 차례 받은 가운데 실제 사이버 재난의 실전 대응 경험을 통해 축적한 역량과 기술, 대응 시스템과 프로세스를 종합해 신개념 보안 장비로 구성했다. 트러스와처는 안철수연구소의 20년 이상 축적한 악성코드 분석 기술과 네트워크 보안 기술이 융합돼 최상의 시너지 효과로 좀비PC를 탐지 및 대응할 수 있다.
트러스와처는 분산서비스거부(DDoS) 공격을 유발하고 좀비PC를 만드는 주범인 악성코드가 갈수록 더 빠르고 손쉽게 제작되는 상황에서 해당 악성코드를 사전 검출해 효과적으로 좀비PC를 예방하고 대응할 수 있는 전문 보안 장비이다.
트러스와처는 2단계 정밀 분석 검증 시스템 구축 및 적용에 따라 악성코드 감염 파일에 대한 진단 정확도가 탁월하다. 또 네트워크 상에서 전송되는 파일 및 DDoS 트래픽 상태를 분석해 좀비PC를 유발하는 악성 파일을 탐지한다. 이때 전송되는 파일은 2차에 걸쳐 정밀하게 분석된다. 타 제품이 단순 행위 분석에만 의존하는 반면, 트러스와처는 사전 분석과 실제 악성 행위 분석 등 초정밀 분석 기술을 구현했다.
안철수연구소의 클라우드 기반 악성코드 분석 시스템인 ASD(AhnLab Smart Defense)를 활용해 1차 분석을 거친다. ASD에는 2억개 이상의 악성 및 정상 파일 정보가 수록돼 있어 악성 파일 탐지 정확도가 높다. 이는 동종 제품에는 없는 트러스와처만의 독보적인 기능이다.
2차 분석은 트러스와처에 내장된 가상 머신(virtual Machine) 기반 기술이 악성 파일의 행위를 분석하는 단계다. 1차 분석에서 탐지되지 않은 새로운 파일을 가상 머신에서 실행해 이상 행위(레지스트리 값 변경, 파일 삭제 및 생성 등)를 하는지 검증하는 것이다. 이로써 좀비PC를 만드는 악성코드와, 디도스 공격을 실행하는 내부 좀비PC를 탐지해 대응할 수 있다.
또한 트러스와처는 안철수연구소의 매니지먼트 솔루션인 APC 어플라이언스와 연동해 악성 파일을 삭제하는 기능도 제공한다. PC를 좀비화하는 악성코드 및 DDoS 행위의 수집→분석→모니터링→대응에 이르는 종합적인 프로세스를 구축하는 셈이다.
안철수연구소는 2기가급 모델인 ‘트러스와처 ZPX 2000’과 10기가급 모델인 ‘트러스와처 ZPX 6000’을 출시했으며, 향후 고스펙 제품을 추가 개발할 계획이다. 우선 클라이언트 PC 1000대 이상 규모의 공공 및 교육 분야를 중심으로 공급하고, 일반 기업에도 확대해나갈 예정이다.
특히 기업·기관에서는 DDoS 공격 전용 방어 장비인 ‘트러스가드 DPX’와 ‘트러스와처’를 함께 사용함으로써 더욱 안전한 네트워크 환경을 구축할 수 있다. 자사가 DDoS 공격의 주체가 되는 것은 ‘트러스와처’로 예방하고, 들어오는 DDoS 공격을 방어하는 데는 ‘트러스가드 DPX’를 사용하면 된다.
장윤정기자 linda@etnews.com
