[금융정보보호 특집] 안랩 '트러스와처' - 차세대 보안 솔루션 ‘각광’

금융권에 최적 APT 솔루션

안랩 MDS 6000

아주경제 장윤정 기자 =최근 금융권을 비롯해 전 산업 군에서 지능형 보안위협이 발생함에 따라, 관련 솔루션에 대한 관심이 높아지고 있다.

안랩 트러스와처(해외출시명 안랩 MDS)는 APT(Advanced Persistent Threat)와 같은 최신 지능형 공격 탐지 및 대응에 특화된 차세대 보안위협 대응솔루션이다.

안랩 트러스와처는 APT 공격 탐지 및 대응하기 위해 다차원 악성코드 분석 및 탐지 기능을 제공한다. 즉 기업 네트워크로 유입되는 ‘알려진 악성코드’에 대해서는 파일DNA 기반의 ASD(안랩 스마트 디펜스)엔진을 통해 효과적으로 탐지하며, 신종ㆍ변종 악성코드는 가상 머신 기반 엔진이 행위 기반 및 동적 콘텐츠 분석 기술로 탐지한다.

신종ㆍ변종 악성코드에 대응하기 위한 안랩 트러스와처의 행위 기반 분석 기술은 단순히 해당 파일의 행위만 분석하는 것이 아니라 클라우드, 시그니처, 평판, 파일간의 연관관계 분석을 통해 악성 여부 판정을 한다. 또한, 연관된 파일들이 접속하는 URLㆍIP의 위험도, 그리고 평판 정보 등을 종합적으로 판단해 다차원적으로 보안위협을 분석한다.

특히, 최근 APT와 같은 지능형 보안위협에는 문서 파일과 같은 비실행형 파일에 알려지지 않은 악성코드를 포함시키는 형태가 많다.

안랩 트러스와처는 MS 오피스(엑셀, 워드, 파워포인트), 어도비(adobe) PDF, 한글(hwp) 등과 같은 문서형 악성코드를 효과적으로 분석 가능한 ‘동적 콘텐츠 분석(DICA: Dynamic Intelligent Content Analysis)’ 기능을 제공한다.

특히, 악성 행위의 발생 여부와 상관없이 취약점 공격의 ‘발현(exploitation) 단계’에서 악성 쉘코드(shellcode, 취약점을 이용해 시스템 내에서 특정 명령을 실행하도록 하는 기계어 코드)를 진단하며, 탐지된 악성 쉘코드의 내부 구조까지 제품 UI(사용자 인터페이스)로 직접 확인할 수 있다.

실시간으로 탐지된 신종 악성코드를 전용 에이전트를 통해서 삭제하는 기능은 물론, USB 또는 암호화 트래픽을 통해서 유입된 악성코드의 실행을 차단하고 분석하는 ‘실행 보류(execution holding)’ 기능을 제공해 잠재적인 위협까지 사전 대응이 가능하다.
 

안랩 로고