코마스 '포티OS(FortiOS) 버전 파이버(5)'
진보된 APT 공격에 맞서는 가장 효율적인 방안으로 전문 보안 벤더인 포티넷은'다각도의 포괄적인 방어 시스템'을 제시하고 있다. 포티넷이 내세우는 차세대 APT 차단 솔루션의 핵심 기술인 포티OS(FortiOS) 버전 파이버(5)는 악성코드를 방어하는 기술에 있어서 뛰어난 성능을 자랑한다. 대표적으로 지능적인 샌드박싱 기능을 통한 의심스러운 파일의 행위 분석 기능, 봇넷 IP주소에 대한 블랙리스트 샌드박싱 기능을 통한 의심스러운 파일의 행위 분석 기능, 봇넷 IP 주소에 대한 블랙리스트 데이터 베이스의 관리 및 활용 기능 등을 들 수 있다. 또한 여기에 덧붙여 특허 출원 중인 '클라이언트 평판 분석'기술을 활용해 한층 더 개선된 위협 분석 및 조절 능력을 통해 기업의 보안 관리자들이 손쉽게 네트워크를 보호할 수 있도록 도와준다. 포티넷의 포티OS 버전5는 코마스가 총판을 맡고 있다.
포티OS는 다음과 같은 악성코드 차단 기술을 지니고 있다.
1) AV 시그니처
알려진 악성코드는 물론 그와 관련된 변종까지도 검사 및 차단할 수 있다. 매우 낮은 오탐률을 자랑하는 정확한 시스템이다. 시그니처 기반의 접근은 다형성 악성코드까지도 걸러낼 수 있는 능력을 가진 매우 정교한 안티 바이러스 엔진에 의해서 완성된다. 이러한 시그니처 엔진은 매우 지능적이다.
예를 들어 한 개의 단일 시그니처는 무려 50000개의 다형성 바이러스를 검색할 수 있다.
2) 행위 기반 및 어트리뷰트 기반의 휴리스틱 검색
악성코드의 일반적이고 공통적인 행위 및 특성에 따라 점수를 매기고 이를 바탕으로 악성코드 여부를 판단하는 방식이다. 비록 시그니처 비교 검사를 통과하기는 했지만 알려진 악성코드와 유사한 의심스러운 행동을 하는 악성코드를 걸러내는 과정이다. 로컬 혹은 클라우드 기반에서 더 자세한 분석을 하기 위해서 파일에 표식을 한다.
3) 파일 분석
의심스러운 파일들을 장비 내부에 마련된 에뮬레이터에서 실제로 실행해 봄으로써 그들이 악성코드인지 아닌지를 결정할 수 있다. 이러한 기술을 실제로 제로데이 공격이나 이전에 알려져 있지 않은 위협에 대한 가시성을 높이기는 하지만 시스템 리소스를 많이 요구하기도 해 성능이나 네트워크의 지연에 영향을 미치기도 한다. 또한 최근의 악성코드는 이러한 실행 기반의 샌드박싱 분석엔진의 존재를 인식할 수 있도록 설계되기도 한다. 하지만 포티넷의 파일 분석 엔진은 악성코드들의 이러한 역 탐색 시도를 무력화 시키는 많은 새로운 기법들이 채택되어 있다.
4) 애플리케이션 컨트롤
게이트웨이를 거쳐서 통과하는 트래픽을 조사함으로써 알려져 있는 봇넷 서버와의 통신을 차단할 수 있다. 또한 감염된 좀비 PC들이 데이터를 유출시키거나 혹은 C&C 서버로부터 명령을 지시받는 행위를 차단한다. 이 행위를 이른바 'Chatter'(수다)라고 부른다.
채터들을 인식하고 차단함으로써 이러한 위협들의 위험도는 많이 감소하게 되는데 포티게이트는 이러한 연결 호스트가 어떤 URL, 도메인, 혹은 IP 주소를 사용하더라도 상관없이 차단할 수 있다.
5) 봇넷 서버의 블랙리스트 필터(Blacklist Filter)
봇넷 서버들의 IP 주소를 실시간으로 업데이트해서 데이터베이스로 구축한다. 이후에 알려진 봇넷 서버와 통신을 시도하는 모든 트래픽을 인지해서 차단한다.
<이하 상세 내용은 컴퓨터월드 6월 호 참조>
최승호 기자
midas@itdaily.kr