파이어아이(지사장 전수홍)는 사이버 보안에 소요되는 시간을 단축할 수 있도록 분석 속도가 3배 증가된 차세대 멀티 벡터 가상 실행 엔진, MVX™(MultiVector Virtual Execution) 아키텍처를 발표했다. 업계 최초로 사이버 위협 탐지를 위한 가상 실행 엔진 ‘MVX’기술을 개발해 기존의 위협 탐지 체계를 뒤바꿨던 파이어아이가 콘텍스트를 포함한 인텔리전스 및 빅데이터 기반 기술을 추가한 이번 업그레이드를 통해 다시 한번 사이버 위협 탐지 체계의 새로운 모멘텀을 제시할 계획이다.
 
최신 버전의 MVX 아키텍처를 통해 파이어아이는 고객들에게 한층 향상된 속도와 정확도 그리고 확대된 지능형 공격 방어 범위를 제공한다. 전체 공격 맥락을 고려한 풍부한 인텔리전스(contextual intelligence)와 빅데이터 기반 기술인 동적 위협 인텔리전스(DTI, Dynamic Threat Intelligence) 적용과 함께 네트워크 최전방에 있는 인텔리전스의 자동 탐지 기능이 추가됐다. 기존 가상 머신 기술들이 모두 윈도우즈 계열 장비에 대한 탐지/대응에 초점이 되어 있던 것과는 별개로, 향상된 파이어아이MVX엔진은 단일 장비에서 모바일 디바이스에 대한 콜백 트래픽을 탐지/차단하는 기능을 제공한다.
 
또한, SSL 트래픽에 대한 탐지/분석에서 가지고 있었던 문제점을 해결하는, SSL 복호화 장비를 자체적으로 제공한다. 이를 통해 암호화된 대상을 검사하고, SSL 암호화된 트래픽에 대한 가시성을 확보할 수 있는 자사 역량이 확대됐다.
 
더불어, 파이어아이는 자칫 지능형 위협으로 이어질 수 있는 솔루션의 애드웨어(adware)와 PUP(Potentially Unwanted Program, 유해 가능 프로그램)로 인해 생기는 노이즈를 줄임으로써, 보안 팀의 운영비용을 줄이는데 일조하고 있다. 새롭게 업그레이드된 버전은 2015년 11월에 상용화될 예정이다.
 
-탐지 시점에서 해당 인텔리전스 콘텍스트(context) 제공 능력 10배 증가: 파이어아이의 MVX엔진은 탐지 시점에서 공격 그룹의 콘텍스트를 제공하는 유일한 지능형 위협 솔루션이다. 새로운 업데이트와 함께 파이어아이는 이 역량을 대폭 강화했으며 이로써 기업들은 보다 신속하고 빠르게 위협에 대응할 수 있을 것이다.
 
-빅데이터 기반 기술 ‘DTI’ 적용을 통해 네트워크 최전방의 인텔리전스 자동화: 의심스러운 패턴을 식별한 뒤 그 연관성을 파악하고, 이해하는 것은 오늘날 지능형 공격을 탐지하는데 기본적인 과정이다. 탐지 프레임워크(framework)로 작동되는 파이어아이의 인텔리전스는 동적 위협 인텔리전스, DTI를 통해 새로운 탐지 모듈을 빠르게 동작시키고, 전환할 수 있도록 한다. DTI는 전 세계 최대 규모의 사이버 보안 전용 빅데이터 기반 기술이다.
 
DTI의 빅데이터 분석과 머신 러닝 기술을 파이어아이의 네트워크 보안 제품인 NX 장비에 적용함으로써, 기존 파이어아이 장비에 비해 매일 수 백 만개 이상의 악성코드에 대한 대응 속도를 수 배 이상 향상시켰다. 또한, 파이어아이는 진화하는 멀웨어(malware)를 탐지하고 공격 그룹에 의해 만들어지는 변종을 식별하여 위협 대상의 고유 특성을 조사한다. 이러한 독보적인 기술은 수 백만개의 센서를 가진 파이어아이 네트워크와, 실제 보안 사고 대응 과정에서 얻은 인텔리전스, 파이어아이가 시행한 위협 관련 리서치, 새로운 멀웨어 변종을 밝히는 빅데이터 분석 및 기계 학습를 통해 실행된다. 파이어아이의 고객들은 변화하는 공격 그룹의 공격 도구와 전략, 그리고 공격 과정에 대해 보다 빠르고 정확하게 대응할 수 있다.
 
-MVX플랫폼과 모바일 보안의 통합: 새로워진 MVX엔진은 보안이 검증된 와이파이 네트워크에 연결 시, 안드로이드와 iOS 기기 대상 공격에 이용된 콜백(callback)을 탐지하고 예방한다.
 
기존에는 윈도우즈와 맥OS와 같이 PC레벨의 탐지에 중점을 두었던 것에 반해 모바일 기기가 악성코드에 감염되어서 발생하는 콜백 트래픽을 탐지하고 차단할 수 있는 기능이 추가됐다.
 
또 안드로이드OS뿐 아니라 애플의 iOS까지 포함하는 광범위한 규모의 콜백 탐지/차단 기능을 제공해 BYOD(Bring Your Own Device) 환경에서 가장 안전한 회사 네트워크를 유지할 수 있도록 지원한다.
 
-암호화된 트래픽에서 SSL 가시성 확보:  파이어아이는 10G의 로드 밸런싱(road balancing) 기능과 SSL 복호화 기능을 하나의 어플라이언스에서 사용할 수 있는 ‘SSL 인터셉트 10150(SSL Intercept 10150)’을 소개했다. 최근 들어, 점점 더 많은 애플리케이션이 암호화 보안을 선호하고 있다. 캐나다의 네크워크 회사, 샌드바인(Sandvine)사에 따르면, 2016년까지 북미 인터넷 트래픽의 2/3가 암호화 될 것이라고 밝혔다.
 
SSL을 이용한 ‘암호화 트래픽’의 사용은 이미 널리 이용되고 있지만, 파이어아이는 자체적으로 제공하는 SSL 인터셉트 10150 장비 출시를 통해 회선 당 10G의 암호화된 트래픽에 대한 완벽한 가시성과 탐지 기능을 보장한다. SSL 인터셉트 어플라이언스는 보안 기능을 강화하고, 암호화된 트래픽의 가시성을 확보하며, 전체적인 보안 시스템을 형성한다. 성능 저하 없이 초당 20 기가바이트를 측정하는 SSL 복호화 기능을 가진 하드웨어를 제공한다. 또한 URL 분류를 통해 개인정보보호 정책과 규정 조건이 있는 기관은 선별적으로 신뢰할 수 있는 사이트로 파악해 SSL 분석에서 제외시킬 수 있다.
 
-향상된 속도와 정확도, 지능형 위협 방어 범위 확장: 현재, 많은 단계에서 다양한 벡터를 통해 지능화된 공격이 발생하고 있다. 이번 업그레이드로 고객들은 다음과 같은 효과를 볼 수 있다.
 
-애드웨어와 PUP로 인한 노이즈를 감소시키는 기술:  파이어아이는 탐지 역량을 강화하고 애드웨어와 PUP로 인해 생기는 노이즈를 감소시켜 보안팀의 운영 비용을 낮추는데 일조한다. 기존의 시그니처 기반 IPS(Intrusion Prevention System, 침입 방어 시스템)와 MVX엔진을 결합시킴으로써 IPS의 탐지 오류를 제거해 보안팀이 신뢰성이 높은 경보에 집중할 수 있게 하는 등 보안 분석가의 효율성을 증대시키며 노이즈 감소 분야에 있어 업계를 선도하고 있다.
 
시장조사기관 프로스트앤설리번(Frost & Sullivan)의 수석연구원 프랭크 딕슨(Frank Dickson)은 “파이어아이는 2014년에 시장에서 발생한 수익의 약 2/3을 장악하며 샌드박스(sandbox)형 네크워크 보안 시장을 선도했다”라고 전하며 “파이어아이는 샌드박스형 네트워크 보안 기능과 높은 시장 점유율로 시장의 리더 자리를 공고히 하며, 계속적으로 선점 효과를 누리고 있다”라고 전했다.
 
프로스트앤설리번의 시장분석보고서 ‘샌드박스형 네트워크 보안 시장 분석: APT, 필수적인 보안 기술을 만들다(Network Security Sandbox Market Analysis: APTs Create a “Must Have” Security Technology)’에 따르면, 네트워크 샌드박스 분야는 2014년 5억 달러 규모였지만, 2014년에서 2019년까지 연평균 45.6%의 성장률을 기록하며 2019년도에는 35억 달러로 성장할 것이라고 예측했다. 통제된 환경에서 의심되는 소프트웨어를 실행하고, 분석하는 샌드박스형 네트워크 보안 기술은 첨단 알고리즘을 이용해 시그니처 기반의 탐지 기술이 놓친 새로운 종류의 공격을 탐지하고 식별한다.
 
파이어아이 제품담당 수석 부사장인 매니쉬 굽타(Manish Gupta)는 “오늘날의 지능형 위협 공격 그룹은 계속해서 공격 방법을 바꾸고 있다. 이러한 환경에서 보안팀은 변화하는 위협 양상에 탄력적이고, 정확하게 대응할 수 있도록 구조화된 적응형 방어 역량 필요하다”며 “파이어아이는 새로운 탐지 기능을 갖춘 MVX 아키텍처를 업그레이드함으로써 새로운 형태의 지능형 공격을 방어함과 동시에 주요 위협을 대응?탐지하는 과정을 단축해 보안 운영의 비용을 축소할 수 있도록 도울 수 있게 됐다”이라고 강조했다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com