Unique Life

http://hochul.net/blog/apache_flume_datacollector_1/

https://opentutorials.org/module/516/5558

http://egloos.zum.com/seoz/v/3887225

출처: 보안뉴스

 

Q. APT 공격 대응 솔루션이 나오기 전에는 악성코드 탐지 및 예방 솔루션, 좀비PC 탐지 솔루션 등이 있었고 APT 공격이 이슈가 되면서 현재의 APT 대응 솔루션들이 나왔습니다. 이러한 APT 대응 솔루션들이 이전 다른 솔루션들과 비교해 차별화된 점은 무엇이며, 최근 APT 공격유형과 이에 적절한 대응방안은 무엇인가요?

 

A-1. 기존에는 악성코트 탐지, 침입시도 탐지 등의 특정 기능에 포커스되어 있었다면 APT 솔루션들은 기존 개별 보안 솔루션들의 통합버전이라 할 수 있습니다. 대표적인 차별점으로는 ‘동적분석’과 ‘상관관계 기반의 위협정보 검증’을 강화했다는 점을 들 수 있는데, 최근 APT 공격 대응 솔루션은 실시간으로 네트워크 상에 오가는 파일에 대한 동적분석 기능을 더욱 강화해 나가고 있으며, IP 및 도메인 등에 대한 위험 여부를 판단할 때 평판기반으로 축적되어 있는 데이터와의 비교를 통해 위험성을 판단해나가는 것이 특징입니다.

 

한편, APT 공격의 주요 시작점이 되는 직원 PC, 웹서버 등 엔드포인트에 대한 모니터링 필요성이 커지면서 엔드포인트 APT 대응 솔루션들이 부각되고 있습니다. 엔드포인트에서 전개되는 공격과정을 실시간 기록 및 분석해야 되기 때문에 해커가 인지하지 못하도록 Stealth 방법을 사용하면서 악성행위를 탐지해 내는 기술이 필요합니다.

 

(황보성 한국인터넷진흥원 팀장/hbs2593@kisa.or.kr)

 

A-2. 네트워크단에서 분석하느냐, 엔드포인트단에서 분석하느냐

 

APT 솔루션은 크게 두 가지 종류로 나눠 생각할 수 있습니다. 악성코드 분석을 네트워크단(Network Level)에서 하는지, 아니면 엔드포인트단(Endpoint Level)에서 하는지. 네트워크단에서 악성코드를 분석한다는 것은 어플라이언스 형태로 사내 인프라에 유입되는 파일들을 샌드박스, 즉 가상머신(VM)에서 분석한 뒤 이상 유무를 점검하는 것을 의미합니다.

 

이 형태의 솔루션들은 악성파일로 의심되는 파일을 가상의 공간에서 실행시켜 실제 악성행위를 하는지 관찰합니다. 앤드포인트단의 악성코드 분석은 백신(AV)과 동작방식이 비슷합니다. 사용자 PC에 설치돼 악성행위를 하기 전에 직접 탐지, 차단, 치료를 합니다. 이 둘을 결합한 형태도 있습니다. 네트워크단에서 우선적으로 차단하고 사용자PC에 설치된 에이전트로 추가 탐지, 치료를 하는 형태입니다.

 

네트워크 제품의 장단점은?

 

네트워크단에서 알려지지 않은 악성코드를 탐지하는 APT 솔루션은 구축이 간편하고 관리가 수월하다는 장점이 있습니다. 네트워크 인프라 앞단에 어플라이언스가 설치되는 방식이기 때문입니다. 또 의심되는 파일을 가상환경에서 돌려봄으로써 본래 시스템에 대한 피해를 최소화할 수 있습니다. 하지만 단점도 존재합니다. 물리저장매체 등을 통해 전염된 악성코드에 대해 탐지가 불가능하며, 이에 대한 치료도 할 수 없습니다. 아울러 최근 등장한 ‘가상머신 상황을 인지해 악성행위를 하지 않는 악성코드’에 대한 탐지를 할 수 없으며, 일부 솔루션의 경우 실행파일(Execution File)만 차단할 수 있는 한계점도 있습니다.

 

엔드포인트 제품의 장단점은?

 

엔드포인트 제품의 가장 큰 장점은 실제 사용자PC에 감염된 악성파일의 행위를 기반으로 차단, 치료하기 때문에 제대로 구축될 경우 가장 안전한 방식이 될 수 있다는 점입니다. 가상머신에서 탐지되지 않는 악성코드, 가상사설망이나 시큐어 소켓 레이어(SSL)로 암호화돼 유입된 파일 등도 결국 악성행위를 위해 사용자 PC에서 복호화되는데, 이때 일망타진하는 방식입니다.

 

네트워크 제품보다 저렴하고 다른 솔루션과 연동이 수월하다는 장점이 있으나 관리에는 다소 어려움이 있을 수 있습니다. 반대로 악성행위에 대한 정의가 완벽하지 않을 경우 악성코드를 제대로 잡아내지 못할 수 있다는 점이 가장 큰 단점입니다. 이는 오탐으로도 이어지거나 악성코드가 시스템 전체로 확산될 수 있습니다.

 

일반적인 형태와는 다른 네트워크 포렌식 제품도 있다?

 

앞서 소개한 두 종류의 솔루션은 악성코드를 어디서 탐지하는지에 초점이 잡혀있습니다만, 지금 소개하는 것은 네트워크 포렌식, 즉 네트워크 패킷 전수조사 제품입니다. 이 제품들은 네트워크 패킷 전부를 캡쳐, 분석합니다. 정상적인 패킷이 아닐 경우 이를 차단해 보안위협을 방지합니다. 최근에는 애플리케이션 레이어(L7)의 패킷까지 모두 분석해 악성파일이나 이상 애플리케이션을 탐지하는 기능도 추가된 상황입니다.

 

광의의 네트워크 포렌식 제품이라 할만한 몇몇 외산제품의 경우 내부로 유입되거나 외부로 유출되는 네트워크 패킷을 전수 조사하기 때문에 APT를 비롯한 다양한 보안위협에 대응할 수 있다는 장점은 있으나, 반대로 어마어마한 데이터로 인해 성능과 비용적인 이슈가 있는 것도 사실입니다. 이러한 이유로 관련 업체들은 빅데이터 분석 등 실시간 처리가 가능한 알고리즘 개발에 총력을 다하고 있습니다.

 

앞으로 APT 솔루션의 진화방향은?

 

사실 부제에 대한 답은 이미 나와 있습니다. 앞으로 APT 솔루션은 네트워크 제품과 엔드포인드 제품의 장점을 서로 결합하고 단점을 보완하는 형태로 진화할 것입니다.

 

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

 

A-3. 네트워크 기반의 APT 장비 네트워크 트래픽에서 이상정보를 VM 환경에서 분석후 정책을 반영해 차단하는 방식으로 이상 탐지되는 패턴을 만들기 위해 관리자들이 이상 탐지되는 악성코드를 업데이트 해서 패턴을 만들어야 하므로 운영자의 역량이 필요합니다. 각 엔트포인트(End Point)에 Agent를 설치해 수집된 정보를 VM환경(클라우드 환경) 분석을 통해 수집하고 차단하는 방식입니다.

 

정보수집을 하게 되는 End Point 기술 역량이 낮기 때문에 End Point에서 수집하 는 Agent의 성능에 따라서 수집되는 정보가 달라질 수 있는 구조입니다. 즉, 에이전트의 수집능력과 VM 환경의 분석능력이 낮아진다면 탐지능력도 같이 낮아지는 단점이 존재합니다.

 

(박찬주 노브레이크 수석/root.mahanaim@gmail.com)

A-4. 근래 APT 방어 솔루션은 기존의 악성코드 탐지에 비중을 두었던 다른 솔루션 과는 달리 행위기반의 분석에 중점을 두고 있습니다. 이는 근래의 APT 공격이 주로 특정 타깃을 정하고 메일 또는 SNS 기반으로 전파되고 있기 때문입니다. 그러다 보니 기존의 패턴 기반의 보안 솔루션으로는 방어가 어려운 상태이며 모든 파일 및 URL에 대한 전수조사가 필요한 상태입니다. 이러한 전수조사를 위해서는 가상화 기반의 행위 분석 시스템이 필요합니다. 국산 제품의 경우 아직은 가상화 기반 기술력 부족으로 인해 전체적인 성능이 떨어져 대량 분석에는 외산장비가 주로 사용되고 있습니다.

 

A-5. APT 대응 솔루션은 샌드박스 기술을 활용해 악성코드 직접 실행 등을 통해 이상행위 탐지하는 기능이 가장 차별화된 점이며, 효과적인 방어를 위해서는 APT솔루션 구축 뿐만 아니라, 기 구축된 보안시스템에서 축적된 보안이벤트(로그)의 상관관계를 분석하거나 보안관제 고도화 등 다각적인 방어체계를 구축하는 것이 중요합니다. 일부 기업에서는 네트워크 포렌식이나 SIEM 등의 제품과 병행해 APT공격을 대응하고 있습니다.

 

(강정훈 11번가/jhkang@sk.com)

 

A-6. 표적 공격(Target Attack)과 APT(Advanced Persistent Threat) 공격은 모두 기술이나 기법을 의미하기 보다는 공격의 유형이나 방법을 의미합니다. 그럼 표적 공격과 APT 공격의 차이는 무엇일까요? 표적 공격은 APT 공격보다 이전에 나온 개념으로 불특정 다수가 공격 대상이었던 이전과 다르게 특정 개인이나 조직을 대상으로 한 공격으로 2000년도 중반에 많이 발생했습니다.

 

표적 공격은 특정 대상을 선정해 공격하는 행위로 보통 피싱 메일, 피싱 메시지, 제로데이 취약점 등을 이용합니다. APT 공격은 표적 공격이 발전한 것으로 특정 대상이 목적이기 보다는 좀 더 구체적으로 대상의 특정 데이터 혹은 특정 피해를 목적으로 합니다. 표적 공격보다 목적이 구체적이다 보니 보다 많은 시간이 소요되고, 목적을 이루는 동안 발각되지 않기 위해 고급 기법을 주로 사용합니다. 얼마 전까지만 해도 APT라는 용어가 생소했지만 기존 공격보다 이슈 거리가 많다보니 최근에는 널리 일반화되었습니다.

 

공격을 막을 수 없다면 어떻게 해야 할까요? 막을 수 없다면 첫째, 가능성을 최소로 낮추고, 둘째 공격 인지 시 신속한 대응으로 피해를 최소화 해야 합니다. 정책 측면에서는 획일화된 정책으로 예외사항 축소, 정책위반 패널티 적용, 비업 무용 프로그램 차단 등이며, 솔루션 측면에서는 Unknown 악성코드 탐지, Web및 응용프로그램 차단, IPS, IDS, WAF, WIPS 등을 복합적으로 사용하고 인적 측면에서는 악성코드 지식을 보유한 분석능력 보유 인력의 활용으로 복합적으로 혼용해야 합니다.

 

과거의 APT 대응 솔루션은 주로 시그니처나 행위 둘 중 하나에만 중점을 둔 분석엔진을 사용했습니다. 이러한 방식은 처리해야 할 데이터의 크기가 증가하고 알려지지 않은 악성코드의 수가 급격히 증가함에 따라 데이터처리와 분석에 관한 많은 한계점이 발견되었습니다. 최근 APT 보안 솔루션들은 이러한 한계점을 극복하기 위하여 클라우드를 이용해 대용량의 악성코드 관련 정보를 효과적으로 처리하고 있으며, 가상화 기반 기술을 사용하여 제로데이와 같은 취약점들을 탐지하고 있습니다. 이는 사이버보안 기술이 다른 IT 기술의 발전과 서로 영향을 주고받는 주요 사례로 평가받고 있습니다.

 

(안상수 ISMS인증심사원·ISO27001선임심사원/ssahn@nuriins.com)

 

A-7. 이전의 APT 대응 솔루션은 Client PC단에서의 보안에만 집중했다면, 최근의솔루션들은 N/W 트래픽, 외부와 연결된 시스템에서 들어오는 파일들에 대해서도 모두 관리하는 기능을 갖춘 것이 차이점이라 할 수 있습니다. 일반적으로 APT 공격은 특정기관을 공격하려는 목적으로 시행되는 것이라 알려져 있지만, 꼭 특정기관/기업만을 노리고 공격하진 않습니다. 주로 빈번하게 나타나는 APT 공격 유형은 메일 또는 웹하드 등을 통해 다운로드하면서 사용자들에게 악성코드를 배포하고 감염된 PC와 사용자의 정보를 수집한 후 중요 인물의 계정을 탈취하여 내부시스템에 접근하는 방식입니다.

 

이처럼 APT 공격은 누구나 감염될 수 있고 기업/기관의 많은 구성원 중 1명만 감염되더라도, 감염된 PC의 사용자가 접근 가능한 모든 정보가 유출되거나, 내부 시스템이 파괴되는 사고까지 일어날 수 있습니다. 이러한 APT 공격에 대응하기 위해서는 Client/Server 등 내부 시스템과 연결되어 내부로 들어오는 모든 파일들에 대해 악성코드를 탐지하고 악성코드가 발견되지 않아 외부에서 내부로 유입된 파일들도 내부에서 이상행위를 하지 않는지 감시해야 합니다.

 

(조태희 소프트캠프 R&D 기획조정실 차장/thcho@softcamp.co.kr)

 

[김태형 기자(boan@boannews.com)]

 

 

기술개요
1. 시장동향
2. 기술동향
3. 각 사별 솔루션 특징(안랩, 트렌드마이크로, 파이어아이)

1. 시장동향  

APT, 대기업 보안도 쉽게 관통

과거 데이터 유출과 사용자 환경을 무력화 시키는 디도스(DDos), 안티 바이러스 등이 해킹에 대한 대비 방법이었다면, 소수/ 알려지지 않은 공격/ 원하는 시기에 특정한 데이터만 유출하는 공격으로 진화된 것이 바로 APT다.
즉 알려지지 않은(unknown) 행위기반들이 정상 트래픽으로 인지돼 사용자 네트워크 환경에 들어와 기존 대응 방안으로는 대처할 수 없기 때문에 수요 시장 역시 상승하고 있는 것이다. 관련 업계 전문가들은 APT대응 솔루션 시장이 올해 100억 원대 규모에서 내년 200-300억 원대로 커질 것으로 내다보고 있다.
APT공격의 전형적인 수법은 특정 기업의 특정 개인에게 바이러스가 첨부된 표적형 메일을 보내는 공격이다. 이를 위해 공격 대상 기업을 정한 후 첩보 활동을 통해 수개월에 걸쳐서 타깃이 되는 기업의 정보를 수집하고 협력업체의 제안서 등을 가장해 바이러스를 첨부한 메일을 송부하게 된다.
만약 PC사용자가 이 파일을 열어 백 도어 프로그램 등을 설치하게 되면 공격자는 사내 정보를 추가적으로 수집하며 사내 중요 DB 등에 침투할 수 있는 것이다. 이는 점차 해커들이 실질적인 이득, 즉 ‘money’를 직접 창출할 수 있는 가치 있는 정보자산에 집중하고 있기 때문이다.
여기서 정보자산이란 마케팅을 위해 암암리에 거래되는 고객 개인정보와 경쟁사에게 직접적인 혜택을 줄 수 있는 특허기술과 같은 지적 재산권 정보가 대표적이다.
과거 구글, RSA, 어도비, 인텔, 모건 스탠리 등 해외 유명기업들을 포함해 국내에서 역시 작년 발생한 대형 보안 사고가 이러한 APT공격에 의해 발생됐으며 향후 비슷한 공격 또한 예상되고 있다. 또한 APT 공격의 심각성은 상대적으로 보안 인력 및 보안 시스템이 잘 갖춰진 대기업에서 역시 속수무책으로 뚫릴 수 있다는 데 있다.
이러한 해킹이 성공할 수 있었던 가장 큰 이유는 해커가 알려지지 않은 OS 및 애플리케이션의 취약점을 이용하거나 백신(AV)에서 탐지하지 못하는 해로운 패턴의 악성코드와 보안패치가 이뤄지기도 전에 공격 목표에 접근하는 제로데이(zero-day) 취약점을 사용하기 때문이다.

2. 기술동향  

기존 시그니처 기반으로 대응 미흡

APT 공격은 타깃을 정확히 하는 목표를 띠고 있기 때문에 다양한 공격기법을 이용하는 것이 특징이다. 이는 공격자의 목표가 설정되면 끊임없이 공격을 받게 돼 불특정 다수를 노린 해킹 공격과는 다르다.
보안업계 측은 APT가 신종 기술과 장기간에 걸친 공격 전략을 통해 접근하기 때문에 단일 솔루션 몇 개로는 막을 수 없을 것으로 전망하며, 이미 알려진 공격을 철저히 대비함과 동시에 장기적 관점에서의 대응 태세가 필요하다고 강조하고 있다.
APT공격에 의한 시스템 파괴 및 정보유출의 심각성으로 이에 대한 대응이 절실하지만 기존 시그니처 및 평판 기반의 보안 솔루션으로는 지능적인 표적 공격인 APT를 막을 수 없기 때문이다.
이에 따라 동적인 분석을 제공하는 가상실행환경(비시그니처 기반)의 솔루션으로 알려지지 않은 공격을 방어하는 필요성도 커지고 있다.
한편 APT에 대한 대응 솔루션 적용이 우선시 돼야 하는 점도 중요하지만, 사용자 기업의 관련 인력 및 프로세스 등 보안 영역의 전반적인 업그레이드도 요구되고 있다.

예를 들어 일부 기업/기관에서는 악성코드에 대한 이해자체가 충분하지 않은 인력이 보안을 담당해 APT에 대한 일차적 대응이 늦어지는 사례가 발생하고 있다.
APT의 주요 타깃이 대기업, 금융/인터넷, 하이테크, 정부기관 순으로 집중되며 총 산업군을 망라한 대응 방안 모색이 시급한 실정이다.
국내 APT대응 솔루션을 취급하는 기업들을 살펴보면 안랩과 트렌드마이크로, 파이어아이, 윈스테크넷 등을 들 수 있다.
안랩은 올해 초 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 악성행위 분석기술을 탑재한 ‘트러스와처 2.0’을 선보이며, 사회공학적 해킹을 초기단계부터 근원적으로 차단할 수 있는 것을 강점으로 삼고 있다.
트렌드마이크로는 ‘TMS’로 알려진 악성코드와 의심스러운 악성코드를 탐지해 위협을 조기에 탐지하며 전용 엔진과 샌드박스로 정밀 분석해 위협을 감지한다.
감염된 PC를 자동으로 치료해 좀비PC로 인한 정보유출 사고를 방지하며, 모니터링을 통해  잠재된 위협을 조기에 대처하고 탐지, 분석해 치료와 보고서를 제공하고 있다. TMS는 탐지, 분석, 치료와 보고까지 원스톱으로 제공해 종합적인 APT 보안이 가능하다.
파이어아이는 APT 공격에 대응하는 기술로 웹메일 파일 멀웨어 프로텍션 시스템(MPS) 상에 실제와 같은 가상 PC애플리케이션 환경을 구현하는 ‘가상실행엔진(Virtual eXecution Engine, VXE)’ 기술을 내놓고 있다.
이는 해커의 명령제어(C&C)서버를 추적해 악성코드에 감염된 PC와 C&C서버의 접속을 차단하는 기능까지 제공하며, 파이어아이는 올해 3월 한국지사를 설립하고 본격적인 구축사례 확보 경쟁에 뛰어들고 있다.

3. 각 사별 솔루션 특징

안랩 - “클라우드 기반의 사전 분석 기술”

안랩은 ‘트러스와처 2.0’을 통해 시장을 공략하고 있으며 여기에 APT공격 대응 신기술을 탑재했다. 신기술인 ‘DICA (Dynamic Intelligent Contents Analysis) 기술’은 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술이다.
이상국 안랩 팀장은 “최근 악성코드가 문서 파일에 포함되어 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다”며 “또한 주의를 기울이지만, 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 사례가 빈번하다”고 설명했다. 안랩이 장기간 심혈을 기울여 개발한 DICA 기술은 바로 이러한 악성 문서 파일(Unknown Document Malware)를 정밀하게 검사하고 지능적 탐지 알고리즘에 의해 차단한다는 설명이다.
이 팀장은 “DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관없이 악성 문서 파일을 검출한다”며 “향후 발견될 취약점을 이용한 변종 악성 파일에도 근본적으로 대응할 수 있을 것이다”라고 전망했다.
그는 “APT방어 솔루션은 아직 제품의 형상이 완성되지 않고 진화중인 제품으로 실제 다양한 APT사례를 경험하는 고객 욕구사항이 반영된 기능 SET들이 추가될 것으로 보인다”며 “defence-in-depth 전략의 연장선상에서 기존 보안 솔루션들과의 연계를 얼마나 효과적으로 수행할 수 있을지 고민해 봐야 한다”고 설명했다. 

관련 솔루션 - ‘트러스와처 2.0’
안랩의 악성코드 분석 기술과 네트워크 보안 기술이 융합된 보안 솔루션으로 세계 최초로 APT(Advanced Persistent Threat) 공격 대응 신기술을 탑재했다.
신기술인 ‘DICA(Dynamic Intelligent Contents Analysis)’는 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술이다.

트렌드마이크로 - “전용엔진과 샌드박스 통한 정밀 분석”

트렌드마이크로는 ‘TMS(Threat Managment Solution)’를 통해 알려진 악성코드뿐 아니라 네트워크 행위 기반으로 의심스러운 통신 및 알려지지 않은 악성코드를 탐지해 은밀하게 침입해오는 예상할 수 없는 위협에 조기에 대응한다는 방침이다.
유승주 트렌드마이크로 팀장은 “TMS는 악성 트래픽을 탐지 및 분석하는 TDA, 치료를 위한 TMTM, 정밀 분석 시스템 DTAS, 보안 포탈 TMSP로 구성된다”며 “탐지서버인 TDA (Threat Discovery Appliance)는 네트워크 전반에 대해 APT 또는 유사 타깃 공격에 대한 탐지 및 모니터링 기능을 제공하며, 미러링을 통해 전체 트래픽을 수집하고 상관관계를 분석해 악성사이트 접속/악성코드 다운로드/좀비PC의 C&C서버 접속 및 악성코드 행위를 탐지한다”고 설명했다. 또한 치료서버인 TMTM(Trend Micro Threat Mitigator)는 TDA를 통해 탐지 및 분석된 정보를 기반으로 엔드 포인트에 설치돼 있는 에이전트에 치료 명령을 전달한다.
유 팀장은 “분석서버인 DTAS (Dynamic Threat Analysis System)의 경우 수집된 악성코드와 의심파일을 1차적으로 멀티 AV 엔진을 통해 분석하며, 2차적으로 샌드박스 기능(Virtual Analysis)을 통해 가상환경에서 시뮬레이션 해 검증 및 분석된다”며 “TMSP(Threat Management Service Potal) 역시 TDA와 TMTM을 통해 탐지되고 차단된 로그를 분석해 TMSP로 전송하며 이를 통해 현재 기업의 악성코드 감염 상태 및 감염 경로, 치료 현황을 요약해 파악할 수 있다”고 설명했다.

관련 솔루션 - ‘트렌드마이크로 TMS’
이미 알려진 악성코드뿐 아니라 네트워크 행위 기반으로 의심스러운 통신 및 알려지지 않은 악성코드를 탐지해 예상할 수 없는 위협을 조기에 제거한다. 전용 엔진과 샌드박스를 통한 정밀 분석으로 실질적인 위협을 검증하고, 이를 바탕으로 감염된 PC를 자동으로 치료해 좀비PC로 인한 정보유출 사고를 미연에 방지한다.

파이어아이 - “가상실행 엔진으로 더 빠른 대응 신속성”

파이어아이는 ‘MPS(Malware Protection System)’를 통해 기존 보안 솔루션의 시그니처 기반으로 탐지하지 못하는 알려지지 않은 공격들을 적은 오탐율로 정확히 탐지 및 차단한다는 방침이다.
전수홍 파이어아이 지사장은 “시그니처 기반 방어 기능을 교묘히 빠져나가 대다수 네트워크를 공격적으로 손상시키는 목표 공격들에 강력히 대응 하고자 한다”며 “특히 가상 환경 내 있는 제로데이 공격의 상태 저장 분석은 로컬 네트워크를 보호하기 위한 실시간 악성 프로그램 보안 콘텐츠와 파이어아이 Malware Protection Cloud 가입자들에게 공유할 수 있는 정보를 제공한다”고 전했다.
파이어아이의 대표 APT대응 솔루션으로는 웹/이메일 MPS가 있다. 웹 MPS는 인터넷 관문에서의 APT공격을 방어하며, 악성코드 탐지 및 C&C를 차단한다.
또한 이메일 MPS는 이메일 서버 앞단에 위치해 이메일 첨부 파일 및 본문 URL 등 이메일에 의한 APT공격에 대응하게 된다.
전 지사장은 “파이어아이 APT 장비에 대한 로그 통합 및 상관관계 분석 솔루션인 CMS(Central Management System) 및 파일/URL분석을 위한 포렌식 솔루션인 MAS(Malware Analysis System)으로 APT 공격에 대응할 전략이다”라고 설명했다.
파이어아이는 가상실행 엔진(VXE: Virtual Execution Engine)을 기반으로 실시간 탐지 및 차단할 수 있는데 초점을 맞추고 업계를 공략한다는 방침이다.

관련 솔루션 - ‘MPS시리즈’
웹MPS(MPS: Malware Protection System), 이메일MPS는 VXE와 콜백 필터 기술을 사용한다. 또한 MPC(Malware Protection Cloud)를 통해 글로벌 보안 인텔리전스(악성코드 및 C&C 패턴 정보)의 실시간 업데이트로 이러한 형태의 APT 공격을 가장 효과적으로 탐지 및 차단할 수 있다.