시만텍, '보안의 핵심은 엔드포인트에 있다'

[IT동아 이상우 기자] 지난 2014년의 보안 사고 동향을 보면 공격자는 빠르게 진화하고 있다. 대기업 6개 중 5개가 공격을 받았으며, 3억 1,700만 개의 신종 악성 코드가 발생했다. 공격의 60% 이상은 중소기업을 대상으로 했으며, 랜섬웨어가 113% 증가했다. 사용자의 기기를 인질로 잡는 사례는 무려 45배나 증가했다. 특히 악성코드의 28%는 샌드박스(가상 머신)을 우회하는 방식으로 진화했다. 2014년 발견된 제로데이 공격(알려지지 않은 취약점을 노린 공격)은 24건으로 사상 최대치를 기록했다. 실제로 시만텍이 조사한 결과에 따르면 2015년 2월부터 2016년 1월까지 특정 표적을 겨냥한 스피어 피싱은 하루 평균 최소 10.8건에서 최대 102.7건까지 발생했다.

기존의 지능형 위협 보호 솔루션은 네트워크 단의 보호에 초점을 맞춘 형태였으나, 지능형 지속 공격(APT) 방식이 진화하면서 샌드박스를 우회하는 공격 기법이 새롭게 등장하기 시작했다. 멀웨어가 침투한 곳이 가상 컴퓨터인지 아니면 실제 공격 대상인 사용자의 컴퓨터인지 구분하고, 가상 머신에서는 활동을 멈춘 뒤 안전한 파일인 것처럼 위장한다는 의미다. 기존의 보안 솔루션은 네트워크에 침투한 공격을 가상 머신에서 구동해 탐지하는 방식인 만큼 이를 차단하기 어려워졌으며, 특히 샌드박스를 통과해 사용자 컴퓨터(엔드포인트)에 도달한 공격을 직접 대응하기 어려운 문제도 있다.

이런 상황에 대응하기 위해 시만텍이 제안하는 보안 솔루션은 이메일 게이트웨이부터 엔드포인트까지 아우르는 지능형 통합 보안 솔루션이다. 특히 시만텍은 공격자의 최종 목표는 엔드포인트인 만큼 엔드포인트에서 공격을 차단하고 알려지지 않은 멀웨어를 격리/제거하는 것이 필요하다고 강조했다.

시만텍의 통합 대응형 ATP(지능형 위협 보호) 솔루션은 기존에 엔드포인트, 네트워크, 이메일 게이트웨이 등 각각의 지점에서개별 보안 제품으로 대응하던 방식에서 발전한 솔루션이다. 단일 콘솔에서 모든 영역의 APT 공격을 탐지하고, 위협의 중요도에 따른 해결 우선 순위를 결정해 보다 효과적인 보안 위협 대응 능력을 제공한다.

상관관계 분석 기술인 시만텍 시냅스를 탑재해 각 보안 지점에서 발생하는 이슈에 관한 정보의 상관관계를 분석해 보여주고, 즉각적으로 대응해야 할 위협의 우선 순위를 알려준다. 또한, 클라우드 기반 샌드박싱 기술인 시만텍 시닉을 탑재해 가상 샌드박스 환경에서 분석을 통해, 알려지지 않은 악성코드와 지능형 위협을 신속하게 탐지한다. 여기에 시만텍의 대규모 글로벌 위협 인텔리전스를 로컬 고객 데이터와 조합해 IT 인프라에서 어떤 위협이 가장 큰 위험한지 보다 정확한 시각을 제공한다.

오탐지 및 과탐지 비율도 0%를 기록했다. 시만텍 ATP 솔루션은 ICSA랩의 ATD 인증을 획득했으며, 마이어컴이 실시한 테스트 결과 보고서에서 우회 공격 및 APT 공격에 대해 100% 탐지율을 달성했다. 엔드포인트 보안과 관련해서는 지난 2015년 AV-TEST의 최우수 부안 제품에 선정되기도 했다.

시만텍 코리아 박희범 대표는 "네트워크 복잡성이 증대되고, 기업에서 사용하는 애플리케이션이 다양해진 상황에서 공격 경로 및 방법이 다양해진 만큼 네트워크 보안만으로는 방어가 어려워졌다"며, "탐지와 차단만으로는 알 수 없는 위협에 대응/조치가 어려우며, 무엇보다 해커의 목표인 지적 재산은 엔드포인트에 모여있는 만큼 엔드포인트 보안을 통해 공격을 탐지하고 차단해야 한다"고 말했다.

글 / IT동아 이상우(lswoo@itdonga.com)