2024-03-29 10:21 (금)
Kaspersky Cloud Sandbox로 복잡한 위협 조사 및 침해 대응 능력 향상
상태바
Kaspersky Cloud Sandbox로 복잡한 위협 조사 및 침해 대응 능력 향상
  • 길민권 기자
  • 승인 2018.04.20 15:53
이 기사를 공유합니다

0420-1.jpg
2017년, 합법적 소프트웨어의 결함을 악용한 대규모 데이터 유출 사건이 발생하면서 고급 탐지 기술의 필요성이 어느 때보다 커졌다. 이에 카스퍼스키랩에서는 기업이 복잡한 위협을 조사하고 효과적으로 대응할 수 있도록 Kaspersky Cloud Sandbox라는 새로운 서비스를 시작했다.

클라우드 기반의 이 서비스는 기업이 하드웨어 인프라에 추가 비용을 들이지 않고 샌드박스를 이용할 수 있다는 장점이 있다. Kaspersky Cloud Sandbox는 Kaspersky 위협 인텔리전스 포털의 일부로 제공되며 서브스크립션 구매 방식으로 이용 가능하다. 또 파일 행동에 대한 전체 보고서를 제공하여 고객이 가상 환경에서 의심스러운 파일을 제거할 수 있도록 지원하며, 기업의 IT 시스템이 위험해질 염려없이 사건 대응 및 사이버 보안 포렌식을 효과적으로 수행할 수 있도록 설계됐다.

Kaspersky Cloud Sandbox를 사용하면 지능형 탐지 및 포렌식 기능이 Kaspersky 위협 인텔리전스 포털 내 서비스로 제공되므로 사이버 보안팀은 큰 예산을 투자하지 않고도 고급 기술의 혜택을 누릴 수 있다. 이 서비스로 사이버 보안팀과 SOC(보안 운영 센터) 전문가들이 악성 코드의 동작과 설계에 대한 상세 정보를 입수하여 아직 보고되지 않은 새로운 표적형 사이버 위협까지 탐지할 수 있을 것으로 기대된다.

◇고급 회피 방지 기술- 숨은 악성코드 찾아내기
악성 코드를 유인하여 그 위험성과 기능을 밝혀내려면 샌드박스 기술에 고급 회피 방지 기술이 포함되어 있어야 한다. 특정 소프트웨어 환경에서만 실행되도록 개발된 악성 프로그램은 '아무 활동이 없는' 가상 머신에서는 실행되지 않고 대부분 실마리를 남기지 않은 채 자폭할 가능성이 크다. 이를 방지하기 위해 Kaspersky Cloud Sandbox는 Windows 버튼 클릭, 문서 스크롤, 악성 코드가 정체를 스스로 드러내도록 하는 특수 루틴 프로세스를 사용하고 사용자 환경 매개변수를 무작위로 지정하는 등 다양한 에뮬레이션 기법을 적용한다. 

◇로깅 시스템- 완벽한 위장도 모조리 파악
악성 코드 중 한 조각이라도 파괴적인 활동을 실행하기 시작하면 Kaspersky Cloud Sandbox의 또 다른 혁신적 기술인 로깅 서브시스템이 악성 동작이 확장되지 않도록 차단한다. 예를 들어 어떤 워드 문서에서 컴퓨터 메모리에 문자열을 작성하거나 셸 명령을 실행하거나 페이로드를 드롭하는 등 텍스트 문서에 해당되지 않는 비정상적인 활동이 시작되면 해당 이벤트가 Kaspersky Cloud Security의 로깅 서브시스템에 등록된다. 이 로깅 서브시스템에는 DLL, 레지스트리 키 등록 및 수정, HTTP 및 DNS 요청, 파일 생성, 삭제 및 수정 등의 광범위한 악성 이벤트를 탐지할 수 있는 기능이 있다. 이벤트가 등록된 후에는 고객이 읽을 수 있는 형식의 샌드박스 로그를 비롯해 데이터 그래프와 스크린샷이 포함된 전체 보고서가 고객에게 제공된다.

◇탐지 및 사건 대응 성능- 최고 수준의 서비스 제공
Kaspersky Cloud Sandbox의 탐지 성능에는 KSN(Kaspersky Security Network)의 실시간 위협 인텔리전스 빅데이터가 지원되기 때문에 고객은 알려진 위협은 물론 신종 위협까지도 실시간으로 상태 정보를 제공받을 수 있다. 20년 간 고도로 정교한 위협과 싸워온 카스퍼스키랩의 위협 연구 경험에서 탄생한 고급 동작 분석 기능에 힘입어 이전에는 발견된 바 없는 악성 개체 또한 효과적으로 탐지할 수 있다. 

카스퍼스키랩코리아의 이창훈 지사장은 “오늘날 사이버범죄의 위협을 받는 기업이 늘어나면서 신속한 사건 대응과 디지털 포렌식의 필요성이 어느 때보다 커졌다. 카스퍼스키랩의 글로벌 위협 인텔리전스 포털에 Kaspersky Cloud Sandbox를 새롭게 추가함으로써 이러한 어려움이 상당 부분 해소될 것으로 보인다. Kaspersky Cloud Sandbox는 Kaspersky 위협 인텔리전스 포털 고객에게 제공되는 광범위한 위협 인텔리전스와 결합하여 파일 정밀 분석을 위한 독자적인 서비스로 자리잡고 있으며 사이버 보안 연구원들과 SOC 팀은 이 서비스를 이용해 IT 인프라를 위험에 빠뜨리는 일 없이 파일 동작에 대한 정보를 얻을 수 있을 것이다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★