파이어아이(지사장 전수홍) 엔드포인트 시큐리티 솔루션은 기존 지능형지속위협(APT) 시장에서 얻은 경험과 기술을 적용한 기업 환경 최적화 침해사고 분석 솔루션이다. 침해사고대응 전문가 조직 '맨디언트'가 세계에서 발생하는 침해사고 현장에서 효율적 대응을 위해 사용하던 컨설턴트 분석도구를 일반 기업환경에 맞도록 다시 정립했다.
파이어아이 엔드포인트 시큐리티는 기존 시그니처 기반 안티 바이러스가 탐지하지 못하는 위협에 대응하기 위해 여러 단계 탐지엔진을 제공한다. △머신러닝(멀웨어가드) △행동 기반(익스플로잇가드) △시그니처 기반(멀웨어프로텍션) △인텔리전스 기반(IOC) 4개 통합엔진으로 구성된다. 계층화된 방어를 통해 알려졌거나 알려지지 않은 위협으로부터 고객을 보호한다.
파이어아이는 침해사고 분석을 위해 필요한 모든 시스템 증적을 확보하기 위해 링버퍼를 이용한다. 의심스러운 시스템 행위가 발생한 순간 휘발성, 비휘발성 분석 증적 패키지를 자동으로 수집한다. 관리 화면에서 쉽게 확인해 감염 경로, 추가 확인 호스트 및 영향도 등을 즉각적으로 확인해 효과적으로 대응한다. 시스템 메타데이터 검색을 통해 기업 모든 호스트와 연계된 감염행위 또는 잠재적 위협을 쉽고 빠르게 확인한다.
파이어아이는 지속 정탐률을 높인 머신러닝 탐지엔진을 유지하고, 침해사고 현장에서 얻은 침해사고지표(IOC)를 통해 정확한 공격 원인을 확인하는 등 파이어아이 전문성을 계속 업데이트 발전시킨다.
2018년 7월, 엔드포인트 시큐리티 솔루션에 고급 머신러닝 엔진 '멀웨어가드'를 추가했다. 멀웨어가드는 세계 최대 보안 시장 최전선에서 터득한 기술 경험, 전문지식 및 파이어아이의 인텔리전스를 바탕으로 이전에 볼 수 없었던 위협을 포함한 사이버 위협을 감지 및 차단하도록 설계돼 이용 기업에게 한층 발전된 사이버 보안을 제공한다.
해외뿐 아니라 국내에도 2014년부터 엔드포인트 시큐리티 솔루션이 지원되면서 국내 다수 기업이 파이어아이 솔루션을 이용한다. 파이어아이 엔드포인트 시큐리티 비지니스는 금융, 인터넷, 게임과 같은 다양한 산업군을 지원한다. 파이어아이 엔드포인트 솔루션은 기업의 특성, 산업군에 따라 다양한 목적으로 운영된다. 익스플로잇가드 엔진 및 멀웨어가드, 멀웨어 프로텍션 엔진을 이용해 여러 위협에 대한 탐지 및 프로세스 실행 중단, 악성파일 탐지 및 격리를 통해 즉각적 위협에 효과적으로 대응한다. 위협인텔리전스를 통해 제공되는 침해사고 지표로 정상적 시스템 동작과 구분이 어려운 악의적 시스템 작동을 탐지한다.
해당 솔루션은 외부 기관, 미디어 등을 통해 확인되는 위협정보를 기반으로 기업 시스템 감염여부를 실시간으로 확인·대응한다. 각 기업 통제 기준을 통해 생성한 사용자 정의 IOC를 기반으로 보다 강력한 보안 통제 준수여부를 관리하는 일도 병행한다.
파이어아이 네트워크, 이메일 솔루션 등과 연동을 통해 위협에 노출된 호스트를 확인하고 감염경로, 영향 등을 분석하여 효율적인 보안 시스템 운영 업무를 수행하고 있다.
정영일기자 jung01@etnews.com
