한국EMC `RSA 넷위트니스(NetWitness)`는 기업이 네트워크 상에서 발생하는 모든 상황을 인식해 광범위한 정보 보안 이슈를 해결하도록 지원하는 네트워크 보안 모니터링 플랫폼이다. 개인정보 유출 방지를 위한 지능형지속위협(APT) 대응 솔루션으로 매우 정교하고 은밀한 공격을 탐지하고 이에 대응하기 위해 개발됐다.
EMC RSA 넷위트니스는 네트워크상의 모든 트래픽을 수집〃저장하고 연결 세션 단위로 재조립해 분석한다. 프로토콜 분석으로 비정상 트래픽을 판별, 악성코드에 감염된 내부 PC가 외부 해커에 의해 원격 조종되는 현상을 탐지할 수 있다.
또 EMC RSA 넷위트니스는 수집한 모든 트래픽에서 외부로부터 유입된 실행파일을 추출해 파일 속성 분석, 유입 경로 그리고 평판 분석 등으로 파일 위험도를 판별하고 악성코드 확률이 높은 파일을 선별한다. 이와 더불어 파일의 유입 경로 및 감염된 PC의 트래픽 상세 분석으로 유입 경로 차단, 원격 조종 경로 차단을 가능하게 한다.
넷위트니스와 함께 컴플라이언스 솔루션인 `EMC RSA 아처(Archer)`를 함께 구축하면 APT 공격을 방어하는 보안 정책 수립에 도움이 된다. EMC RSA 아처 eGRC(Archer enterprise Governance, Risk and Compliance) 솔루션은 IT, 금융, 운영, 법 도메인(legal domain)에 대해 효율적인 eGRC 프로그램을 구축할 수 있도록 해준다. 고객들은 RSA 아처로 위험 관리, 컴플라이언스 입증, 비즈니스 프로세스 자동화와 더불어 기업 리스크 및 보안 제어 가시성을 확보할 수 있다. RSA 아처는 9가지 주요 솔루션이 아웃오브박스(Out-of-Box) 형태로 제공된다. 플랫폼에 기반하고 있어 고객은 자유롭게 자사의 기업 환경에 맞춰 솔루션을 사용할 수 있다.
APT공격은 전문화된 인력과 조직에 의해 매우 정교하게 이루어지기 때문에 이러한 공격을 효과적으로 탐지하고 대응하기 위해서는 기존의 보안 정책, 운영 인력 및 프로세스, 보안 솔루션 전반에 걸친 개선이 필요하다. 이에 가장 먼저 전문 인력 확보 및 능동적 대응 체계를 갖춰야 한다. APT는 자동화된 도구에 의해 행해지는 패턴화된 공격이 아닌 상대방의 가장 취약한 부분을 능동적으로 파악해서 최적화된 공격을 수행한다.
한국EMC RSA사업부 김종덕 상무는 “APT가 이슈가 되면서 국내에서도 다양한 대응 솔루션들이 소개되고 있지만 이러한 정교한 공격은 자동화된 탐지를 제공하는 솔루션만으로는 해결이 어렵다”며 “따라서 최신 공격 기법 및 전략을 능동적으로 파악하고 이에 대한 적절한 대응 체계를 운영할 수 있는 전문 침해 대응 인력을 확보하는 것이 중요하다”고 말했다.
김 상무는 “EMC RSA사업부는 APT의 주 공격대상이 되는 주요 대기업, 금융 및 정부 기관들이 네트워크 포렌식을 통한 보안 모니터링 및 관리 체계의 고도화로 APT에 실효적인 대응체계를 구축할 수 있도록 노력할 것”이라고 강조했다.
장윤정기자 linda@etnews.com
