금융권을 비롯해 전 산업 군에서 최근들어 지능형 보안위협이 자주 발생한다. 상황이 이렇다 보니 관련 솔루션에 대한 기업의 관심도 더욱 높아지고 있다.
안랩(대표 권치중)의 ‘안랩 트러스와처 (해외출시명 안랩 MDS)는 지능형지속보안위협APT(Advanced Persistent Threat)과 같은 최신 지능형 공격 탐지 및 대응에 특화된 차세대 보안위협 대응 솔루션이다. 안랩의 오랜 보안 노하우가 집결된 제품이다.
안랩 트러스와처는 APT 공격 탐지·대응하기 위해 다차원 악성코드 분석·탐지 기능을 제공한다. 즉 기업 네트워크로 유입되는 파일에 대해서는 파일 DNA 기반의 ASD(안랩 스마트 디펜스)엔진으로 널리 알려진 악성코드를 효과적으로 탐지한다. 신종·변종 악성코드는 가상 머신 기반 엔진인 행위 기반 및 동적 콘텐츠 분석 기술을 활용한다. 신종·변종 악성코드에 대응하기 위한 안랩 트러스와처의 행위 기반 분석 기술은 단순히 해당 파일의 행위만 분석하는 것이 아니다. 클라우드, 시그니처, 평판, 파일 간 연관관계 분석으로 악성 여부 판정한다.
연관된 파일들이 접속하는 URL이나 IP의 위험도, 그리고 평판 정보 등을 종합적으로 판단해 다차원적으로 보안위협을 분석한다. 특히 최근 APT와 같은 지능형 보안위협에는 문서 파일과 같은 비실행형 파일에 잘 알려지지 않은 악성코드가 포함된 경우가 많다. 또한 최근의 악성코드는 점차 국가별로 두루 사용되는 소프트웨어(타사가 탐지 못하는 국내에서만 사용되는 특정 압축 포맷 및 문서편집 프로그램 등)를 노리면서 국지전 양상을 띠고 있기도 하다.
안랩 트러스와처는 MS 오피스(엑셀, 워드, 파워포인트), 어도비 PDF, 한글(hwp) 등과 같은 문서형 악성코드를 행위 발생 여부와 무관하게 분석 가능한 ‘동적 콘텐츠 분석(DICA: Dynamic Intelligent Content Analysis)’ 기능을 제공한다.
악성 행위의 발생 여부와 상관없이 취약점 공격의 ‘발현(exploitation) 단계’에서 악성 쉘코드(shellcode, 취약점을 이용해 시스템 내에서 특정 명령을 실행하도록 하는 기계어 코드)를 진단한다. 탐지된 악성 쉘코드의 내부 구조까지 제품 UI(사용자 인터페이스)로 직접 확인할 수 있다. 실시간으로 탐지된 신종 악성코드를 전용 에이전트를 통해서 삭제하는 기능은 물론, USB 또는 암호화 트래픽을 통해서 유입된 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능을 제공해 잠재적인 위협까지 사전 대응까지 가능하다.
안랩 트러스와처는 지난 2013년 정보보안 제품 및 기술 전문지인 ‘인포 시큐리티 프로덕트 가이드(Info Security Products Guide)’가 주최하는 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상했다. 또 안랩은 지난 7월 권위 있는 글로벌 독립 보안테스트 기관인 NSS Labs가 실시한 ‘정보유출 진단 제품 분석’ 테스트에서 94.7%의 정보유출 방지 및 진단율을 기록해 글로벌 회사들을 누르고 우수한 성적을 거둔바 있다.
안랩은 현재 금융권, 공공, 일반 기업 등 다양한 산업 군에 걸쳐 트러스와처를 제공하고 있다.
박소라기자 srpark@etnews.com
