트래픽 가시성 확보 및 실시간 차단성 필요
가상머신 기반의 솔루션은 실제 위협이라고 생각되는 트래픽이나 파일을 사용자와 유사한 가상머신 환경에서 실제로 실행시켜 본 이후, 그 결과를 기반으로 악성여부를 판단하는 ‘행위기반’의 탐지 모델을 기본 알고리즘으로 하고 있다. 이것은 그동안 10년 넘게 보안 장비들의 주된 탐지 알고리즘으로 사용돼 왔던 ‘패턴기반의 탐지’가 갖고 있는 한계를 뛰어 넘는 방식으로 시장에서 큰 호응을 얻고 있다. 기업들은 가상머신 기반의 솔루션을 이용해서 이제까지 볼 수 없었던 다양한 형태의 트래픽과 의심되는 파일들을 분석함으로써 지능형 지속 위협에 의한 악성코드의 침입을 사전에 탐지해낼 수 있는 방법을 찾을 수 있게 됐다.

하지만, 이러한 가상머신 기반의 탐지 및 대응 솔루션들도 2가지 정도의 문제점을 갖고 있다. 첫 번째는 SSL로 암호화된 트래픽에 대해서는 충분한 가시성을 가지지 못한다는 점이다. 이 때문에 APT를 수행하는 공격자들은 이러한 약점을 파고들어 SSL 통신을 통해서 악성코드를 침투 시키는 경우가 더 늘어나고 있다. 물론, 일부의 차세대 방화벽 업체나 해외 업체에서 SSL 복호화 기능을 탑재해서 판매를 하고 있지만, 이 기능을 사용했을 경우 기존 차세대 방화벽의 성능이 크게 떨어지는 등의 문제가 발생하거나 가격 자체가 매우 높아져 많은 기업들에서 이를 검토하기에는 무리가 있다.

두 번째는 가상머신이라는 기술 자체가 실시간 차단성을 보장하기 힘들다는 점이다. 가상머신에 의한 분석은 짧게는 1분에서 길게는 수십 분의 분석 시간이 소요되는데 이러한 시간적인 차이로 인해서 효율적인 차단 정책을 가져가는 것이 쉽지가 않다. 또한, 가상머신을 이용한 탐지 장비들은 URL에 의한 차단을 통상적으로 수행할 뿐, 중복제거나 IP, 포트 기반 차단과 같은 다양하고 유연하면서도 정교한 선별적 차단 정책은 지원하지 않는 경우가 있기에 기업들은 별도의 차단 장비를 구매해야 했다.

실시간 APT 전문 차단 플랫폼 넷쉴드(NetShield)

국내 보안 전문기업인 엔토빌소프트는 이처럼 기존 APT 장비들이 갖고 있는 문제점들을 일거에 해결하거나 보완할 수 있는 기능들을 탑재한 넷쉴드(NetShield) 제품군을 시장에 선보였다. 넷쉴드 제품군은 글로벌 APT 전문 업체인 파이어아이(FireEye)와 완벽히 연동되며, 인텔리전스 차단 기능의 ‘넷쉴드-AT(NetShield-AT)’, 전문 파일 추출기능의 ‘넷익스트랙터(NetExtractor)’, 암·복호화 기능의 ‘넷크립토(NetCrypto)’ 등 3가지 모듈이 하나의 하드웨어를 통해 제공된다. 각각의 모듈은 함께 구성될 수도 있고 별도로 제공될 수도 있다.

넷쉴드-AT는 파이어아이 APT 장비들과 연동되거나 사용자 기반의 블랙리스트를 받아 네트워크상에서 전문적으로 차단 기능을 수행한다. TCP-Reset 형태의 차단 기능을 제공하기 때문에 기존 네트워크 구성에 영향을 주지 않으면서도 높은 차단율을 제공한다. 특히, 기존 APT 장비의 차단 기능에서 아쉬운 점으로 꼽혔던 유연한 차단 정책들이 모두 지원된다는 특징이 있다. 레이어 3/4 기반의 차단 정책은 물론, 우선순위에 따른 화이트리스트/블랙리스트, HTTP Full-URL/URI의 특정 필드에 기반한 차단, 탐지한 이벤트에 대한 관리화면과 리포트 관리, 위험도 표시 등을 제공한다. 또한, 기업 내 다양한 보안 솔루션과의 연계를 통해 차단 역할의 기능적 단일화와 통합을 제공함으로써 운영 효율성도 높일 수 있다. 이미 국내 대기업과 통신사에 연이어 제품을 공급하면서 실제 환경에서의 안정성도 검증받았다.

SSL/TLS 암·복호화 플랫폼 넷크립토(NetCrypto)

SSL 기반의 암호화된 트래픽이 매년 52%씩 증가하는 것으로 나타나면서 SSL 트래픽에 대한 검사 없이는 APT 공격으로부터의 안전성을 담보하기가 어려워졌다. 2017년에 이르러서는 SSL을 이용한 암호화된 악성코드의 공격이 기존 대비 50% 이상 증가할 것이라는 보고서도 나오고 있는 만큼, SSL 트래픽에 대한 검사는 필수적인 요소가 되고 있다.

엔토빌의 넷크립토(NetCrypto)는 기존 네트워크 구성을 변경해야 하는 Routed-Mode로 구성되는 것이 아니라 레이어 2 기반으로 Full-Transparent하게 구성이 가능하다는 점이 가장 큰 장점이다. 이처럼 유연한 구성 방법 지원으로 기업들은 기존의 네트워크를 변경해야 하는 리스크 없이 손쉽게 SSL 트래픽을 처리할 수 있다.

넷크립토는 강력한 SSL 정책도 제공한다. 단순히 암·복호화만을 진행하는 것이 아니라 SSL 연결 시 사용되는 인증서에 대한 유효성 검증은 물론, 특정 사이트에 대한 예외 처리 기능 등 유연하고 강력한 정책을 적용할 수 있도록 지원한다.

또한, 넷크립토 장비는 최대 20Gbps 트래픽을 처리할 수 있으며, SSL 암·복호화에 대해서는 4Gbps의 트래픽 처리가 가능하다. 따라서 SSL 암·복호화 솔루션 고려 시 기업들의 가장 큰 걱정거리였던 성능에 대한 부분도 완벽하게 지원한다.

넷크립토에 의해서 복호화된 트래픽은 파이어아이와 같은 APT 전문 장비나 IPS/방화벽/ WAF 등과 같은 보안 장비 및 모니터링 장비로 실시간 미러링을 통해 전달이 가능하다. 이러한 연동을 통해 기업은 트래픽에 대한 충분한 가시성을 확보함으로써 조직 내 보안을 한층 더 강화 시킬 수 있다.

송·수신 파일 추출 플랫폼 넷익스트랙터(NetExtractor)

넷익스트랙터(NetExtractor)는 강력한 DPI(Deep Packet Inspection) 엔진을 기반으로 네트워크상에서 움직이는 모든 파일들을 추출할 수 있는 솔루션이다. 기존 네트워크 구성에 영향을 주지 않도록 설치가 가능하며, 네트워크에서 주고받는 파일들을 추출해서 파이어아이와 같은 보안 장비로 전달해 자동으로 악성여부를 확인할 수가 있다.

최근 금융권이나 공공기관들에서 망분리 솔루션이 널리 사용되면서 넷익스트랙터와 같은 제품들이 더욱 주목 받고 있다. 망분리 솔루션을 적용하더라도 인터넷망과 내부망에서의 파일 교환은 지속적으로 생길 수밖에 없는데, 이 때 대부분의 기업이나 기관에서는 망연계 솔루션을 이용한다. 망연계 솔루션의 경우 물리적으로 나뉜 내부망과 외부망 사이에서 파일을 주고받을 때 백신 소프트웨어로만 검사를 진행해왔다.

하지만, APT 공격에 사용되는 악성코드가 백신에 탐지될 확률은 낮기 때문에 이에 대한 실효성 논란이 있기도 했다. 때문에 많은 기업이나 기관들이 망연계 솔루션이 있는 구간에서 파이어아이와 같은 가상머신 기반의 솔루션들을 적극적으로 검토·적용하고 있다. 백신 소프트웨어만으로는 APT 공격과 같은 지능형 악성코드를 잡아내는 것이 쉽지 않기 때문에 파이어아이와 같은 가상머신 솔루션으로 한 번 더 검사를 해서 지능형 악성코드에 대한 부분까지도 해결하도록 하는 것이다.

망연계 솔루션과 가상머신을 연동하는 것이 간단하지는 않지만, 엔토빌의 넷익스트랙터를 통해 연동을 할 경우에는 손쉽게 연동이 가능하다. 네트워크상에서 자동으로 파일을 추출하고 해당 파일을 파이어아이와 같은 보안 장비로 연결해서 안전성을 확인함으로써, 한층 더 강력한 보안성을 제공한다.

장비 하나로 3가지 기능을 한 번에

엔토빌의 넷쉴드 제품군은 SSL 복호화(넷크립토), 인텔리전스 차단(넷쉴드-AT), 파일 추출 (넷익스트랙터) 등 3가지 모듈을 모두 하나의 하드웨어에 동시 설치가 가능하다. 기업은 하나의 장비를 설치함으로써 SSL에 대한 가시성을 확보함과 동시에 유연하고 강력한 차단 정책을 적용하며, 강력한 DPI 장비를 통한 트래픽 저장 및 파일 추출까지 가능하게 된다.

여기에 파이어아이와 같은 지능형 지속 위협을 탐지 가능한 솔루션까지 연동할 경우 기업 내부에 존재하던 보이지 않는 영역들이 상당 부분 해소될 수가 있다. 특히, 넷익스트랙터 모듈을 사용할 경우에 트래픽에 대한 원시(Raw) 패킷을 저장하고, 이에 대한 분석과 추적이 가능하도록 하는 ‘네트워크 포렌식’ 기능까지 지원하기 때문에 그 효용성은 아주 크다. 네트워크 플로우에 대한 정보를 자동으로 저장하고 이에 대한 다양한 검색 기능까지 지원하므로, 만에 하나 사고가 발생하더라도 넷쉴드 솔루션을 이용해서 과거 네트워크 트래픽에 대한 검사/검색 및 추적이 가능하게 되는 것이다.

또한, 엔토빌소프트의 통합된 넷쉴드 솔루션은 지능형 지속위협을 탐지하는 가상머신 기반의 솔루션들이 가지고 있는 한계점을 보완하면서도, 동시에 사용자 편의성을 강화하는 다양한 기능들을 제공하기 때문에 기업 보안 담당자 입장에서 운영비용을 크게 떨어뜨릴 수 있는 장점이 있다.