올해 정보보호 분야의 화두는 당연 APT공격에 대한 방어에 관심이 쏠리고 있다. 오늘 12일 APT 보안 솔루션 벤더인 파이어아이(FireEye)가 기자간담회를 통해 한국 지사 설립을 발표하고 한국시장에 본격적인 솔루션 영업을 시작한다고 밝혔다.
 
초대 지사장으로 임명된 전수홍 지사장은 “초대 지사장으로 임명돼 매우 의미있게 생각한다”며 “최근 정보유출 사고는 대부분 해커의 악성코드 사용으로 발생했고 안티 바이러스 등 기존 시그니쳐 중심의 보안 대책들을 무력화시키는 APT 형태의 공격으로 진행된다. 파이어아이는 이미 국내에서 파로스 네트웍스를 통해 공공, 대기업, 금융 등에 도입된 솔루션이다. 지사 설립을 계기로 APT의 주요 타깃이 되고 있는 포털, 게임, 전자상거래 기업 및 금융시장을 중심으로 입지를 더욱 확대해 나가겠다”고 포부를 밝혔다.
 
더글라스 슐츠 파이어아이 APAC 세일즈 부사장은 “파이어아이는 2004년 설립초기부터 APT 공격에 집중 연구를 해왔으며 15개 이상의 특허기술을 기반으로 2년 연속 400% 이상 매출 성장을 이루고 있는 주목받는 기업”이라고 소개하고 “IT 선도 국가인 한국에 지사를 설립을 계기로 APAC에서 파이어아이의 입지를 더욱 확고히 해 나갈 것”이라고 말했다.
 
또 그는 “최근 APT 공격이 엄청난 속도로 증가하고 있다. 언론에 보도된 사고 내용들은 빙산의 일각이다. 타깃 회사를 직접 공격하는 방식도 있고 RSA를 공격해 갈취한 정보를 이용해 록히드마틴사를 공격하는 형태도 많다”며 “해커들은 이제 지능적이고 은밀하게 특정 인물이나 기업을 표적으로 공격을 하고 있다. 요 몇 년 사이에 APT 공격이 500% 이상 증가했다. 제로데이 공격을 넘어 제로아워, 제로미니웃으로 공격을 하기 때문에 전통적 보안제품들로는 이들의 지능적 공격을 탐지하고 차단하기가 힘든 상황”이라고 설명했다.
 
해커들은 주로 웹이나 이메일을 사용해 침투한다. 기업들을 지키고 있는 보안제품들이 대부분 시그니쳐 방식이기 때문에 공격자들은 기존 시그니쳐로는 전혀 차단이 안되는 새로운 우회 공격방식으로 침입을 한다는 것이다.
 
공격자들은 웹, 이메일, 파일 공격 등 다양한 백터를 이용해 공격을 하고 다단계 공격을 자행하고 있다. 그들의 조사에 따르면, 글로벌 컴퍼니와 정부기관 98% 이상이 알려지지 않은 새로운 공격에 매주 10차례 이상 공격을 받고 있다고 한다. 중견기업들은 매주 450건의 새로운 패턴의 공격을 받고 있다는 것이다. 이러한 알려지지 않은 미지의 공격을 막기 위해 파이어아이가 협력해 나가겠다는 것.
 
파이어아이에서 제공하는 솔루션은 크게 3가지다. WEB MPS, E-MAIL MPS, FILE MPS 등이다. 이들 솔루션은 가상화 환경에서 작동하는 파이어아이의 중앙관리 시스템인 맬웨어 프로텍션 클라우드(MPC) 시스템을 통해 새롭게 나온 위협분석 정보를 고객들에게 제공하게 된다.
 
더글라스 슐츠 부사장은 “MPC 시스템을 통해 공격정보를 받아 고객사들과 공유할 수 있다. 이러한 공유가 중요한 이유는 일반적으로 공격자들이 어떤 정부기관을 공격한 방식을 다른 정부기관을 공격할 때도 사용하고, 한 기업을 타깃해 공격했다면 비슷한 산업군에는 비슷한 공격패턴으로 공격을 하기 때문에 정보공유를 통해 유사한 공격에 미리 대비할 수 있다”고 강조했다.
 
이메일 MPS는 스피어피싱 공격에 대응할 수 있다고 한다. 공격자들은 대부분 표적기업의 표적 인물에게 악성 첨부파일이 포함된 이메일로 공격을 한다. 이때 악성 URL을 통해 감염되는 사례가 많기 때문에, 파이어아이 이메일 MPS를 통해 가상머신에서 모든 이메일 첨부파일을 열어보고 문제가 있는 첨부파일은 절대 열어보지 못하도록 조치한다는 것이다.
 
또 파이어아이는 여러 보안벤더들과 파트너쉽을 맺고 그들에게 정보를 제공하기도 하고 정보를 받아 서비스하기도 한다. 주니퍼, 시스코, 블루코트, HP 등 보안벤더들과 파트너로 일하고 있다. 국내에서도 보안벤더와 파트너쉽을 체결해 서비스할 예정이다.
 
한편 과거에서부터 장시간 이어져 오고 있는 APT공격을 어떤 식으로 탐지하느냐는 기자의 질문에 더글라스 슐츠 부사장은 “실시간 이루어지는 공격 정보를 다이나믹하게 고객들에게 보여주고 새로운 공격정보는 업로드해서 고객들이 공유하도록 한다”며 “과거에서부터 지속적인 공격은 데이터마이닝이나 포렌식 작업이 필요한데 이 또한 파트너사와 협업해 서비스하고 있다. 웹, 메일, 파일의 3가지 과거 로그를 가지고 중앙관리 시스템에 서치해서 상관분석을 통해 공격이 언제부터 진행됐는지 알려줄 수 있다”고 설명했다.
 
전수홍 지사장은 “파이어아이 제품은 블루코트의 웹게이트와 시스코 아이언포트와 전혀 다른 제품이다. 이들 제품을 사용하는 기업들도 파이어아이 제품을 사용해보면 추가로 탐지되는 많은 공격로그를 볼 수 있을 것”이라며 “파이어아이의 가장 큰 특징은 알려지지 않은 새로운 공격을 탐지하고 방지할 수 있다는 점이다. 가상엔진을 사용해 공격을 찾아내고 확인해 막아주는 솔루션이다”라고 강조했다.
 
파이어아이 국내 주요 레퍼런스로는 공공기관으로 정부통합전산센터, 사이버경찰청, ETRI 등이며 기업으로는 삼성, 삼성SDS, 테스코, SK텔레콤, SK브로드밴드, 포스코, 대한항공, 한화, 이베이쇼핑 등이다.
 
지사설립 이후 국내 타깃 시장으로는 금융, 포털, 게임, 전자상거래, 군, 공공기관 등을 타깃으로 하고 있으며 시장별 특화된 파트너사와 신규계약, 보안솔루션사와 신규계약, 보안 컨설팅 및 관제 서비스사와 동반제휴 등을 목표로 하고 있다.
 
한편 파이어아이의 한국시장 진입 관건으로는 한국에 특화된 APT나 제로데이 공격에 얼마나 신뢰성을 줄 수 있느냐다. 한국에서만 사용되는 소프트웨어의 취약점을 이용한 APT 공격에 얼마나 신속하게 대응할 수 있을지가 파이어아이의 한국시장 성공의 관건이 아닐까 생각한다.
[데일리시큐=길민권 기자]