2020-03-30 03:15 (월)
APT 공격 방어, 악의적 링크와 파일 효과적 차단이 관건
상태바
APT 공격 방어, 악의적 링크와 파일 효과적 차단이 관건
  • 길민권
  • 승인 2015.11.02 16:54
이 기사를 공유합니다

모니터랩 류봉현 부사장 “악성코드 탐지시 평판탐지와 행위기반 기법 협업 필요해”
정보보안 대표 미디어 데일리시큐가 주최한 PASCON 2015(2015년 공공기관-기업 개인정보보호&정보보안 컨퍼런스)가 10월 28일 양재동 더케이호텔서울 가야금홀에서 공공, 금융, 의료, 교육기관, 일반 기업 개인정보보호 및 정보보안 실무자 600여 명이 참석한 가운데 성황리에 개최됐다.
 
이날 컨퍼런스에서 모니터랩 류봉현 부사장(사진)은 ‘알려지지 않은 APT 공격-방어전략’을 주제로 발표를 진행했다.

 
류봉현 부사장은 “APT 공격은 이메일 첨부파일 혹은 웹을 이용한 공격이 주를 이루고 있으며 웹 취약점을 이용한 악성코드 자동 다운실행(드라이브 바이 다운로드)을 통해 악성코드를 유포한 후 정보를 탈취해 개인정보 및 기밀자료 유출 및 금전적 피해를 발생시키고 있다”며 “APT 공격은 제로데이 공격 및 스피어 피싱, 워터링 홀 공격 등 정교한 방법으로 목적이 달성될 때까지 새로운 공격기술로 조용히 오랜기간 공격작업을 진행하고 국가 및 기업의 기밀을 탈취하거나 시스템 파괴 및 DDoS(디도스) 공격 등을 수행하는 사이버 위협을 말한다”고 정의했다.
 
공격 방법에 대해 그는 “스피어피싱은 중요 업무 담당자에게 흥미를 끌만한 이메일 등을 통해 클릭을 유도하고 악성코드에 감염되면 민감한 정보를 유출하는 공격방법이다. 또 드라이브 바이 다운로드는 웹 브라우저, 플러그인 등의 취약점을 이용해 악성코드 삽입 후 일반 사용자가 웹 접속 만으로도 악성코드에 감염되도록 하는 공격방법”이라고 설명했다.
 
특히 그는 제로데이(ZERO-DAY) 대처 방법과 문제점을 지적했다. “평판탐지는 블랙리스트 기반으로 기존에 공격을 당했던 사이트에 대한 DB를 업데이트해 대처하지만 이는 알려지지 않은 웹사이트에 대한 대처가 불가능하다. 또 네트워크 트래픽에 대한 전수검사로는 발생하는 이벤트가 너무 많기 때문에 실제 공격을 탐지하기가 불가능하며 휴리스틱 방식은 오탐 발생이 많다”며 “행위기반(샌드박싱)은 악성으로 의심되는 스크립트와 바이너리에 대해 직접적으로 가상환경에서 실행을 통해 행위를 분석해 공격에 대응할 수 있기 때문에 효율적인 제로데이 대응을 위해 악성코드 탐지시 평판탐지 뿐만 아니라 행위기반 기법의 협업이 필요하다”고 강조했다.
 
그는 또 “공격은 이메일과 웹을 통해 이루어진다. 이때 악성 URL와 악성 파일을 탐지해 내는 것이 방어의 핵심이다. 악성 URL을 분석해 유포지 및 경유지를 차단하고, 정적, 동석 분석과 바이러스 토탈 등 외부 시스템과 연계를 통해 샌드박스에서 분석된 파일의 해쉬값을 기준으로 악성코드에 대응하는 것이 중요하다”고 덧붙였다.

 
모니터랩 AISEG(APPLICATION INSIGHT SEG)는 악성 URL 보호 시스템인 MUD(Malicious URL Detection)를 통해 악성여부 판별, 경유지 및 유포지 파악, 공격코드 추출 등이 가능하도록 서비스하고 있으며 MAD(Malicious Attachment Detection)를 통해 실행파일에 대한 악성여부 검사, 수집된 악성코드의 유사도 분석, UI를 통한 분석 결과 및 정보조회, 가상환경을 통한 파일 분석, AI솔루션과의 연동 등이 가능하도록 서비스 하고 있다.
 
모니터랩 류봉현 부사장은 “MUD 샌드박싱 기술을 통한 악성 링크 차단, 첨부파일을 포함한 이메일 내의 악성 링크 차단, C&C 센터 공격 차단 등이 가능하며, MAD 샌드박싱 기술을 통해 악성파일 차단과 정적 평판기반 분석과 동적 행위 기반 분석을 통해 악성코드 검출 및 차단이 가능하고 PC에 설치된 악성코드의 상세 정보도 제공하고 있다”고 설명했다.
 
한편 모니터랩(대표 이광후)은 유퀘스트(대표 강종철)와 악성코드 URL 탐지/차단 및 유해사이트 차단 그리고 웹 DLP기능이 통합된 차세대 시큐어 웹 게이트웨이 솔루션인 ‘AISWG'와 이메일 보안 솔루션인 ‘AISEG’ 제품군에 대한 총판 계약을 맺고 본격적으로 관련 시장 공략에 나서고 있어 외산을 대체할 수 있는 APT 대응 솔루션으로 기대를 모으고 있다. 

모니터랩 류봉현 부사장의 PASCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
한편 데일리시큐는 2016년에도 실무에 필요한 핵심적인 정보보안 컨퍼런스를 개최한다. 항상 실무자 중심의 교육 및 정보공유 차원에서 개최되며 정보보호 기업 비즈니스에도 도움이 될 수 있도록 준비하고 있다. 그래서 공공, 금융, 의료, 교육, 기업 개인정보보호 및 정보보안호 실무자들의 참석률이 가장 높은 컨퍼런스로 유명하다.
 
◇데일리시큐 2016년 컨퍼런스 개최 안내
①2016년 1월: 2016년 모바일 정보보호 컨퍼런스(MISCON 2016)
②2016년 2월: 제4회 금융정보보호 컨퍼런스(SFIS 2016)
③2016년 3월: 제4회 공공-기업 개인정보보호 컨퍼런스(G-Privacy 2016)
④2016년 5월: 제3회 의료기관 개인정보보호&정보보호 컨퍼런스(MPIS 2016)
⑤2016년 9월: 제2회 대한민국 정보보호 인텔리전스 컨퍼런스(K-ISI 2016)
⑥2016년 10월: 제4회 공공-기업 개인정보보호&정보보안 컨퍼런스(PASCON 2016)
위 컨퍼런는 데일리시큐 사이트에 시기별로 등록사이트 배너가 올라간다. 참가업체 및 참관문의는 데일리시큐 길민권 기자(mkgil@dailysecu.com)에게 하면 된다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com