[2013 하반기 인기상품]고객만족-안랩 APT 솔루션 `트러스와처`

국내 대표 보안 기업인 안랩(대표 김기인)은 `트러스와처(해외 출시명:안랩 MDS)`로 고객만족상을 받았다.

이 솔루션은 올해 화두가 된 지능형지속위협(APT131·Advanced Persistent Threat) 공격과 같이 점점 지능화되는 보안 위협에 효과적으로 대응하기 위해 안랩의 오랜 보안 노하우가 집결된 제품이다.

알려지지 않은 신종 악성코드를 탐지하기 위해서 내장된 가상 운용체계(OS) 환경에서 다차원 기반의 동적 행위 분석을 수행하고 비실행형 파일에 대한 동적 콘텐츠 분석(DICA·Dynamic Intelligent Content Analysis) 기능을 제공하는 것이 특징이다.

특히 다차원 기반 동적 행위 분석은 실행 파일의 단순 개별 행위를 분석하는 데서 진일보해 연관 파일과 접속하는 URL/IP의 위험도, 평판 정보 및 종합적 행위를 다차원으로 분석한다.

최근 APT 방식 공격의 가장 두드러진 특징은 문서 파일과 같은 비실행형 파일(non-executable file)을 사용한다는 것이다.

즉, 악성코드가 삽입된 PDF 파일이나 MS 워드 파일을 이용하는 것으로 DICA는 안랩의 악성코드분석 노하우가 반영된 특허기술로 문서 등 비실행형 파일을 직접 검증한다.

또 국가별로 점차 많이 사용되는 소프트웨어(국내에서만 사용되는 특정 압축 포맷 및 문서편집 프로그램 등)를 노리면서 국지전 양상을 띠는 비실행형 악성코드 탐지에 탁월하다.

안랩 트러스와처는 기획 초기부터 APT 대응은 네트워크 레벨 및 엔드포인트 레벨 양단 간에서 긴밀히 협력해 이뤄져야 한다는 관점에서 개발돼 전용 에이전트를 제공하고 있다.

안랩의 전용 에이전트는 실시간으로 네트워크 레벨에서 탐지된 신종 악성코드를 삭제하는 기능은 물론이고 USB 또는 암호화 트래픽을 통해서 유입된 잠재 악성코드의 실행을 차단하고 분석하는 `실행 보류(execution holding)` 기능까지 제공한다.

최근 기능적으로 단순 네트워크 단계에서의 수집·분석만이 아닌 에이전트를 통한 엔드포인트 (조직 내 개인 PC 등) 레벨의 실질적인 대응을 요구하는 고객사가 늘고 있다. 이에 자체 에이전트를 제공하지 않는 제품들은 국내 엔드포인트 보안업체와 협력하여 제안하는 중이다. 그러나 이 경우 네트워크와 엔드포인트 간 연계 범위에 한계가 있다. 즉, 네트워크 장비로 출발한 장비는 네트워크에 유입된 신종 악성코드를 정확하게 탐지했다 하더라도 이미 다운로드된 악성코드를 조치할 방안이 없다.

독자적인 엔드포인트 레벨 보안 기술을 가지지 못한 업체는 다른 엔드포인트 보안 솔루션과 연계해 해결하고 있으나, 이기종 보안 장비 간의 협력 시도가 원활하게 이뤄진 사례가 없어서 고객도 주저한다.

이와 관련해 안랩은 지난 7월 권위있는 글로벌 독립 보안테스트 기관인 NSS Labs가 실시한 `정보유출 진단 제품 분석` 테스트에서 94.7%의 정보유출 방지 및 진단율을 기록해 글로벌 회사들을 누르고 우수한 성적을 거두는 등 고무적이다.

안랩은 하반기에만 금융권, 공공, 일반 기업 10여곳에 트러스와처를 공급하는 성과를 거뒀다.

윤건일기자 benyun@etnews.com