안랩 지능형 위협 대응
솔루션(MDS)
뉴딜코리아 솔루션사업부
최근 최대 보안 이슈로 손꼽히는 ‘랜섬웨어’. 랜섬웨어에 대해 효과적인 대응 방안을 제공하는 AhnLab MDS가 알려지면서, 고객 문의도 이어지고 있다.
안랩 랜섬웨어 보안센터와 영업대표를 통해 접수된 고객의 주요 질문을 Q&A로 정리해 보았다. 안랩 MDS는 어떤 제품이며, 어떤 특장점을 제공하는지 살펴보자.
Q: 안랩 MDS는 어떤 제품인가?
A: 최근 보안 사고 사례의 핵심은 신종 위협이다. 이 가운데 ‘알려지지 않은 신?변종
악성코드’가 핵심적인 역할을 수행하고 있다.
안랩 MDS는 신,변종 악성코드에 대한 효과적인 대응을 위해
의심파일 ‘수집,탐지,분석,모니터링,대응’ 프로세스를 시스템적으로 구현한 보안
솔루션이다.
그림
[1] 안랩 MDS 주요 기능
그림
[ 2] 안랩 MDS의 랜섬웨어 대응 프로세스
Q: 안랩 MDS는 소프트웨어(SW)
제품인가?
A: 안랩 V3 포함한 안티바이러스 솔루션은 엔드포인트 기반의 전통적인
소프트웨어 타입의 보안 솔루션이다.
반면, 안랩 MDS는 어플라이언스 타입의 하드웨어와 엔드포인트
레벨의 대응을 위한 소프트웨어 타입의 에이전트로 구성된다.
구체적으로, 기존의 전통적인 보안
솔루션(Firewall, IDS/IPS, Web Gateway 솔루션, AV 솔루션 등)에서 사용하는 시그니처 기술 외에 신종 위협을 수집,
탐지,분석하기 위한 시그니처리스 방식의 기술을 접목한 탐지,분석 용도의 하드웨어 기반 샌드박스(Sandbox)와 PC 등 엔드포인트 레벨에서
적극적인 대응을 위한 소프트웨어 기반 에이전트 혼용을 통해 신종 위협에 대한 효과적인 대응 체계를
제공한다.
[그림 3] 안랩 MDS 제품 구성
Q: 대부분의 기업에는 별도 보안 관리자 없이 전산 담당자가
보안까지 책임지고 있다. 이런 상황에서 MDS와 같은 보안 솔루션 운영이 어렵지 않을까?
A: 안랩 MDS 포함하여 신종 위협을 분석,대응하는 솔루션은 보안
담당자들이 기존에 운영해 왔던 시그니처 기반의 솔루션과 비교 시 운영상에 많은 어려움을 느끼고 있다.
특히, 별도의 보안 담당자가 없이 시스템 혹은 네트워크 담당자가
병행 운영 시에는 더욱 많은 어려움을 느낄 것이다.
신종 위협 대응 솔루션에 요구되는 다양한 기능 요구사항이 있지만
운영 측면에서 담당자가 무엇을 중점적으로 모니터링하고 어떤 대상을 우선적으로 분석,대응 해야 할 지 등 직관성과 운영 효율성을 제공해야 한다.
예를 들어 수집, 탐지,분석된 결과를 기준으로
Critical(신변종 악성코드)-High(알려진 악성코드)-Low(의심스러운 행위파일)-Normal(정상) 등 4개의 카테고리로 구분하며,
Critical과 Low로 구분된 위험 등급에 대해 추가 분석 및 대응할 수 있도록 가이드를 제시해야 한다.
안랩 MDS는 직관적 모니터링을 바탕으로 무엇을 우선적으로
대응해야 할지를 명확히 제시함으로써 운용 효율성을 높일 수 있다.
Q:
랜섬웨어 대응에 효과적이라고 알려진 안랩 MDS의 실행보류 기능이란 무엇인가?
A: 안랩 MDS의 실행 보류(Execution Holding) 기능은 전용
에이전트(MDS Agent)를 이용해 악성 여부가 확인되지 않은 파일의 실행을 엔드포인트 레벨에서 보류시키는
기능이다.
예를 들어, 사용자 PC에 랜섬웨어로 의심되는 파일 유입 시
악성코드가 실행되는 시점에 MDS 에이전트는 ‘악성 여부가 확인되지 않은 신규 실행 파일’이라고 판단하여 실행 보류 기능을 가동시킨다.
즉, 랜섬웨어로 의심되는 파일에
대해 선 실행 차단 및 탐지∙분석 후 악성으로 판정 시 파일 삭제 등 2차 대응 기능을 제공함에 따라 랜섬웨어를
포함한 신∙변종 악성코드에 대한 선제적∙능동적 대응 방안을 제공한다.
[그림
5] 안랩 MDS 실행보류 기능
Q:
안랩 MDS와 유사한 다양한 솔루션이 출시되어 있다. 고객은 왜 안랩 MDS를 도입해야 하는가?
A: 최근 IT 환경의 변화와 함께 사이버 보안 위협도 다양한 변화가
일어나고 있다.
특히, 신∙변종 악성코드와 같은
APT(Advanced Persistent Threat) 및
랜섬웨어(Ransomware) 공격 관점에서 생각해 보자.
APT 공격 및 랜섬웨어의 핵심은
다양한 위협 요소가 있겠지만 흔히 가장 많이 떠 오르는 것이 신∙변종 악성코드이다.
신∙변종 악성코드에 대한 대응 방안으로 기존 보안 솔루션으로는
한계점이 있고 이를 해결하기 위해 많은 노력을 하고 있다.
신∙변종 악성코드를 대응하기 위해
‘수집-탐지∙분석-로그관리∙모니터링 및 대응’ 프로세스 및 기능은 기본이다.
안랩 MDS를 도입해야 구체적인 이유는 아래
4가지로 설명할 수 있다.
첫째, 악성코드가
유입되는 ‘네트워크와 엔드포인트’ 경로에서 수집
웹, 이메일과 같은 네트워크 경로와 더불어 USB 등 매체를 통해
PC 등 고객의 정보자산에 엔드포인트 레벨을 통해 직접 유입되는 케이스를 생각해 볼 수 있다.
안랩 MDS는 트래픽 미러링 기반의 의심파일 수집과 함께
에이전트를 통해 엔드포인트 레벨에서 유입되는 악성 의심 파일에 대한 수집 기능을 제공한다.
둘째, 악성코드
탐지∙분석 과정에서 ‘시그니처와 시그니처리스 기술’ 병행
예를 들어, A기업으로 유입되는 파일이 일일 기준
10,000개라고 생각해 보자.
이중 대부분의 파일은 정상 파일이고, 일부 알려진 악성코드가 있을
것이고 극히 일부 신∙변종 악성코드가 유입될 수 있다.
이미 확인된 정상파일 및 알려진 악성코드에 대해서는 시그니처 및
평판정보를 이용한 탐지∙분석 기술, 알려지지 않은 신종 파일에 대해 시그니처리스 기술을 이용한 분석 장비의 가상 OS 환경에서 직접 악성 행위의
발현 여부를 검증하는 기술이 필요하다.
안랩 MDS는 시그니처 기술과 시그니처리스 기술을 함께 사용하여
정상, 알려진 악성, 신∙변종 악성 및 의심파일로 구분하는 기술을 제공한다.
셋째, 직관적
모니터링을 통한 운영 효율성 제공
안랩 MDS는 수집 및 탐지∙분석 결과를 기준으로
정상(Normal), 알려진 악성코드(High), 신∙변종 악성코드(Critical), 의심파일(Low) 등으로 직관적인 대시보드를 제공한다.
이에 따라 운영자 입장에서는 전체 수집, 탐지∙분석 결과 중
무엇을 중점적으로 우선 대응해야 할지 명확하게 알 수 있다.
넷째, 적극적인
대응 방안 제시
신∙변종 악성코드가 탐지되었다면 대응 즉, 악성코드 치료, 삭제
등의 기능은 기본이다. 어떤 고객이든 신∙변종 악성코드를 탐지하고 모니터링만 하기 위해 솔루션을 도입하지는 않는다.
혹은 솔루션 벤더 입장에서도 탐지∙분석만을 강조하는 것은 결국
악성코드에 대한 대응은 고객에게 알아서 하라는 것과 마찬가지다.
안랩 MDS는 네트워크 레벨의 C&C 통신 및
안티-멀(Anti-Mal)사이트에 대한 차단 기능과 엔드포인트 레벨의 치료, 삭제 및 복원 기능을 통해 선제적∙능동적 대응 방안을
제공한다.
결론적으로 안랩 MDS는 지능형 위협, 신종 위협 및 APT 공격으로
대변되는 신∙변종 악성코드에 대해 네트워크 및 엔드포인트 레벨의 유기적 연계를 기반으로 수집-탐지∙분석-로그관리∙모니터링-대응 체계를
제공한다.
안랩 MDS에 대해 자세한 내용을 알고 싶다면
:
뉴딜코리아 솔루션사업부
(070-7867-3721, ismsbok@gmail.com)
댓글 없음:
댓글 쓰기