국내 APT 대응솔루션 시장은 현재 파이어아이, 팔로알토, 안랩, 트렌드마이크로 등이 80% 이상의공개입찰에 참여하는 등 주도적으로 시장을 형성해 나가고 있다. 하지만 APT 대응 솔루션은 ‘요란함’에 비해 시장 파이는 그리 크지 않은 상황이다. 업계는 아직 APT 시장이 초보적 수준에 머물러 있다고 보고 있으며 향후 성장 가능성에 주목하고 있다.
 
24일, 팔로알토는 미디어 간담회를 열고 APT 대응 솔루션 시장의 트렌드를 소개하는 시간을 가졌다. 이 자리에서 이창빈 이사(사진)는 “APT 대응 솔루션 시장은 아직 초창기 수준이다. APT를 둘러싼 요란한 시장 분위기에 비해 시장 규모는 작다”며 “이유는 아직도 APT 공격에 대한 인식이 낮고 APT 대응 솔루션에 대한 정확한 정의가 없어 혼란스럽기 때문이다. 또 각 벤더사 별로 서로 다른 대응방식에 고객들이 혼란스러워 하고 있다”고 설명했다.
 
◇APT 공격의 시발점…스턱스넷(Stuxnet)
APT 공격이 주목받기 시작한 것은 ‘스턱스넷’ 때문이다. 스턱스넷은 발전소 등 전력 설비에 사용되는 지멘스의 산업자동화제어시스템(PCS7)만을 감염시켜 오작동을 일으키거나 시스템을 마비시키는 신종 웜 바이러스다. 원자력, 전기, 철강, 반도체, 화학 등 주요 산업 기반 시설 중 지멘스사의 산업자동화제어시스템에 침투해 오작동을 일으키거나 시스템을 마비시킬 수 있다. 2010년 7월 동남아 지역에서 처음으로 발견된 뒤 이란 부셰르 원전과 관련된 컴퓨터 3만대와 중국의 주요 사회간접자본시설(SOC)까지 감염시켰다.
 
실제로 핵 정유 시설을 공격한 사례로서, MS OS를 사용하는 머신 및 네트워크, 지멘스 스탭7 소프트웨어를 타깃으로 공격하는 악성코드다. 공격 방법은 외부자가 USB로 내부 시스템에 꽂아 악성코드를 전파 시켰으며 네트워크를 스캔해 PLC를 제어하는 컴퓨터 상의 지멘스 스탭7 소프트웨어를 찾아 두 조건이 맞으면 감염시켜 루트킷을 전달했다. 코드를 수정해 예기치 않은 명령을 PLC에 내려 핵 원심분리기를 망가트린 것이다. 이러한 공격의 배후로는 미국과 이스라엘 정부가 지목되고 있으며 이란의 핵 시설을 파괴하기 위해 3년간의 계획 기간과 총 30억이 투입됐다.
 
◇APT 대응 솔루션, 왜 필요한가
이창빈 이사는 “알고 있는 공격(Known)은 방화벽, 안티바이러스, URL 필터링으로 막을 수 있다. 기존의 98~99% 공격은 이미 기존 선재적 보안 솔루션으로 제어가 가능하다. 하지만 나머지 2%알지 못하는 공격(unknown)은 APT 대응 솔루션이 방어해야 한다”고 설명했다.
 
그는 “실제 환경에서 특정 멀웨어의 첫 샘플이 발견되기까지 필요한 시간과 멀웨어 시그니처를 만들고 확인하기 위해 필요한 시간 그리고 안티멀웨어 및 바이러스 시그니처가 업데이트되기까지 필요한 시간이 공격에 노출되는 총 시간”이라며 “공격에 노출되는 총 시간이 하루에서 일주일 한달 이상까지 소요될 수 있다. 즉 실제 대응하기까지 걸리는 시간이 제로데이의 의미다. 이 제로데이를 최소화 시키는 것이 APT 대응 솔루션의 핵심이다. 이제 ‘제로 hour’라는 용어가 나오면서 몇 시간 안에 대응을 목표로 하고 있다”고 말했다.
 
◇APT 대응 솔루션의 3가지 접근 방법
현재 시장에 출시된 APT 대응 솔루션은 크게 3가지 방식으로 구분할 수 있다.
첫째, 기존의 네트워크에 샌드박스를 붙이는 방식이다. 게이트웨이 단에서 보안 솔루션을 설치해 문제가 있는 패턴을 보이는 것들을 리포트로 뽑아 사용자에게 전송한다. 문제가 있는 시스템에 가서 관리자가 직접 대응해야 하는 번거로움이 있다. 즉 탐지는 하지만 방어하는 매커니즘이 없는 것이다. 그래서 파이어아이가 최근 IPS 업체를 인수해 이 부분을 강화한 이유다.
 
둘째, 추가적인 대응 솔루션을 탑재하는 방식이다. 샌드박스 행위기반 분석을 통해 멀웨어라고 판단이 되면 문제가 있는 PC단에 직접 안티바이러스 기능을 사용해 멀웨어를 제거하는 방식이다. 주로 안랩, 트렌드마이크로 등 백신기반의 업체들이 선호하는 방식이다.
 
세번째, 네트위크 장비 내에 방어 솔루션을 탑재하는 방식이다. 위협 리포트를 관리자에게 전송하면 리포트를 가지고 네트워크에서 직접 차단해 정보유출을 막는 것이다. 주로 네트워크 보안업체인 팔로알토 네트웍스에서 사용하는 매커니즘이다.
 
◇현재 APT 대응 솔루션의 근간은 ‘샌드박스’
APT 대응 솔루션들은 샌드박스에 중점을 둔 행위 기반 분석이 중심이 되고 있다. 이에 대해 이창빈 이사는 “샌드박스가 행위기반의 분석을 한다고 하지만 업체마다 차별화를 주지는 못하고 있다”며 “차별점은 팔로알토는 네트워크 상의 모든 트래픽을 확인할 수 있고 타사는 보통 이메일과 파일 서버 등을 확인한다”고 설명했다.
 
또 “공격자들이 샌드박스를 회피하는 방법도 최근 사용하고 있다. 실제 사용되고 있는 시스템인지 확인한 후 샌드박스로 판단되면 공격작업을 하지 않는다”며 “하지만 최근 APT 대응 솔루션은 이를 다시 회피할 수 있는 방법을 적용하고 있어 공격자와 계속되는 두뇌싸움을 펼치고 있다”고 덧붙였다.
 
◇팔로알토 네트웍스 APT 대응 솔루션 ‘와일드파이어(WildFire)’
팔로알토 네트웍스는 가상화 환경을 기반으로 악성코드를 실시간으로 탐지하고 제어할 수 있는 APT 대응 솔루션인 ‘와일드파이어(WildFire)’를 제공하고 있다.
 
이창빈 이사는 “와일드파이어는 의심스러운 파일을 가상의 샌드박스로 전송 및 행위기반 분석을 진행하며, 악성코드로 최종 확인되는 경우 30분 내에 해당 악성코드를 탐지 및 차단할 수 있는 시그니처를 자동 생성해 상세한 분석 리포트를 제공하고 있다”며 “와일드 파이어는 현재 국내 20여 곳의 레퍼런스를 확보하고 있다. 라이선스 형태로 제공하고 있으며 차세대 방화벽과 함께 제공하고 있어 일반적인 보안 위협뿐만 아니라, APT 공격, 신종 멀웨어 등 알려진 공격과 알려지지 않은 공격에 모두 대응이 가능하다”고 소개했다.
 
지능화된 공격자들을 샌드박스 기술만으로 막는 것은 힘든 상황이다. 애플리케이션 인식, 시그니처 매칭, 행동기반 분석 등 다양한 기술들이 동원되어야 한다. 유기적인 보안을 구현해야 한다. 위협 요소로 판단해 리포트하고 감염된 PC단을 찾아 멀웨어를 제거하고 네트워크단에서도 공격을 차단하는 등 벤더사별 APT 대응 솔루션의 기술적 차별점은 이제 줄어들고 있다. 향후 시장이 어떤 식으로 재구성될지 귀추가 주목된다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com