포티넷 "APT 방어, 샌드박스만으론 한계"

[김국배기자] "샌드박스(Sand) 방식의 솔루션이 지능형지속위협(APT) 공격의 주된 방어책으로 이해되고 있지만 이것만으론 한계가 있다. 다양한 각도에서 대응하는 다층적(multi layer) 방식이 포티넷 APT 전략의 핵심이다."

15일 서울 청담동 포티넷코리아 사무실에서 열린 기자간담회에서 포티넷의 보안 전략가인 데릭 맨키(Derek Manky)는 APT 전략을 소개하며 "APT 공격의 속성은 '위장-생존-위협'인 만큼 종합적인 대응이 이뤄져야 한다"고 강조했다. APT 공격의 속성상 한 가지 형태의 솔루션으로는 방어가 불가능하다는 것이다.

포티넷이 말하는 종합적인 대응이란 방어(protection)와 분석, 대응 능력이다. 특히 포티넷은 대응 능력을 향상시키기 위해 전 세계 침해사고대응센터(CERT)와 실시간 위협 정보를 공유하는 일에 힘쓰고 있다.

데릭 맨키 보안 전략가는 "전 세계 60여개 국가의 침해사고대응센터가 속해 있는 글로벌 보안정보 공유 단체 'FIRST'의 활동 중 하나"라며 "한국인터넷진흥원(KISA)와도 2년 전부터 정보를 공유하며 협력을 확대해오고 있다"고 설명했다.

방어와 분석 측면에서는 기존 샌드박스 방식이 가진 문제에 대한 해법으로 새로운 제품인 '포티샌드박스'도 소개했다. 포티샌드박스는 올해 안으로 출시될 예정이다.

그는 "악성코드가 샌드박스, 즉 가상의 공간임을 알아채고 행위 자체를 하지 않는 등 샌드박 우회 악성코드들이 등장하고 있다"며 "'타임밤(time bomb)' 형식의 악성코드 같은 경우 특정 시간이 되기 전에는 움직이기 않아 샌드박스 방식의 솔루션으로만으론 막기 힘들다"고 지적했다.

샌드박스 방식은 의심스러운 파일을 가상의 공간에서 동작하게끔 만들어 악성 행위 여부를 탐지하는 기술로 최근 등장하고 있는 APT 솔루션의 주된 기법이기도 하다.

포티넷 APT 솔루션의 핵심은 샌드박스로 가는 파일의 숫자를 줄인다는 점이다. 포티샌드박스는 우선 안티바이러스 엔진을 통해 시그니처 기반의 악성코드를 차단한 뒤 실시간 샌드박스(RTS)로 악성여부를 탐지하고 최종적으로 풀(Full) 샌드박스에서 알려지지 않은 보안 위협을 차단하는 것이다.

그는 "샌드박스로 가기 전 96~97% 이상의 파일은 실시간 샌드박스에서 먼저 걸러낼 수 있다"며 "이를 통해 악성코드 탐지 시간을 줄이고 속도도 높일 수 있다"고 설명했다.

포티넷이 APT방어를 위해 주력하는 솔루션에는 네트워크 단에서 공격 코드를 잡아내는 포티게이트(FortiGate) 장비, 메일 서버에 대한 공격을 차단하는 포티메일(FortiMail) 솔루션, 포티애널라이저(FortiAnalyzer), 포티매니저(FortiManager) 등도 포함된다.