악성코드와의 싸움에서 이기는 기술




지난 11월 초, 시스코가 신규 솔루션과 서비스를 통해 자사 시큐리티 에브리웨어 전략을 확장한다고 발표했던 것 기억하시나요? 이로써 시스코 보안 고객들은 이제 클라우드에서 엔드포인트까지 더욱 뛰어난 가시성, 위협 인식 및 제어 기능을 이용할 수 있게 되었습니다. 


그리고 오늘은 이전에 미처 말씀 드리지 못했던 좋은 소식 몇 가지를 전해드리고자 합니다! 



이제 리눅스도 지원합니다!


첫번째로 전해드릴 소식은 이제 기업들이 윈도우(Windows), 맥(Mac), 모바일 및 가상 머신에서뿐만 아니라 리눅스(Linux)에서도 가시성을 확보할 수 있게 되었다는 점입니다. 


최근 고객 데이터, 비즈니스 애플리케이션들을 저장하고 있는 데이터센터를 공격하는 사건들이 부쩍 늘어나고 있습니다. 이에 기업들은 더욱 빠르고 효율적으로 공격을 방어, 감지, 완화, 개선할 수 있는 가시성이 필요합니다. 그러니 이 같은 리눅스 지원 발표는 더 없이 반가운 소식이겠지요? 


엔드포인트를 위한 시스코 AMP는 이제 별도의 리눅스 커넥터를 제공하는데요, 앞으로는 RHEL 6.5 및 6.6, 및 CentOS 6.4, 6.5 및 6.6용으로 제공됩니다. 이는 기존의 시스코 AMP 고객과 ELA v4 고객에게도 제공될 예정입니다. 



엣지에서 엔드포인트까지 꼼꼼한 악성코드 분석


이번 보안 업데이트의 또 다른 하이라이트는 바로 시스코의 첨단 악성코드 분석 및 위협 인텔리전스 솔루션, AMP 쓰렛그리드(AMP Threat Grid)의 확장 소식입니다. 


시스코는 자사의 ‘파이어파워 서비스 모델 지원 ASA(ASA with FirePOWER Services models),’ ‘파이어파워 NGIPS 어플라이언스(FirePOWER NGIPS appliances)’와 ‘네트워크를 위한 AMP(AMP for Networks)’ 솔루션에 AMP 쓰렛그리드를 통합했습니다. 


이 세 가지 통합 소식은 시스코가 쓰렛그리드 멀웨어 분석 엔진을 적극 활용해 AMP 솔루션 고객들의 보안 역량을 한층 강화하겠다는 시스코의 의지를 잘 보여주는데요. 2014년 여름에 인수한 쓰렛그리드의 기술을 시스코는 2015년 1월 자사 엔드포인트용 AMP에 통합했지요. 그 후 2015년 여름에는 AMP 쓰렛그리드의 샌드박싱 역량을 시스코 이메일 및 웹 보안 솔루션에 통합했습니다. 그리고 불과 몇 달 만에 하나의 플랫폼 상에서 엣지에서 엔드포인트까지 샌드박싱을 기능을 지원하겠다는 비전마저 달성했으니, 정말 네트워크 보안 강자다운 행보지요? 


클라우드 기반 플랫폼이기 때문에 프라이빗으로 분류된 것을 제외한 모든 잠재 악성코드(malware submissions)를 AMP 쓰렛그리드 데이터베이스에서 검색 가능합니다. 자사를 공격하는 악성코드 외에 전세계 다른 기업 또는 조직들을 공격하는 악성코드에 대해 알아보고 미리 준비를 할 수 있도록 제공되는 위협 인텔리전스인 AMP 쓰렛 그리드 지식 베이스는 25가지 변수를 이용해 검색이 가능합니다. 


이외에도 이 같은 통합 작업은 오늘날 평균 30여 곳의 보안 벤더들의 제품을 사용하는 기업들을 고충을 한층 덜어줄 것으로 기대됩니다. 엣지에서 엔드포인트까지 통합 보안 기능을 제공하는 시스코 보안 기술은 복잡하고 세분화된 보안 환경을 한층 간편하게 바꿔줍니다. 또한 AMP 쓰렛그리드는 기존에 사용되던 여타 보안 솔루션과도 쉽게 통합 가능한 강력한 REST API를 갖추고 있습니다.  



32비트 & 64 비트 분석


대부분의 악성코드 제작자들은 금전적인 이익을 목적으로 악성코드를 배포합니다. 바로 이런 이유 때문에 최근 랜섬웨어가 부쩍 늘어나고 있지요. 많은 사람들을 감염시키고 각자에게 조금씩의 비용을 요구해 거액을 챙기는 수법인데요. 잘 알려진 악성코드 중 Angler Exploit kit 같은 경우 연간 약 6천만 달러의 돈을 챙길 정도라고 하니 악성코드 배포가 줄어들리는 만무하지요? 


최근 64비트 시스템들이 늘어나면서 해당 시스템들을 침투하기 위해 더 많은 악성코드들이 작성될 것으로 예상됩니다. 이번에 새롭게 업그레이드된 AMP 쓰렛그리드는 윈도우 64비트 환경을 사용해 잠재 악성코드 샘플을 분석하는 옵션을 포함합니다. 또한 여러 표준 소프트웨어로 가상 환경을 구성해 실제 엔드포인트를 복제(replicate)하기 때문에, 정확하고 상황 정보가 풍분한 분석 자료를 제공할 수 있습니다. 



글로브박스


또한 스텔스형, 환경 인식 악성코드가 늘어나면서 ‘글로브박스(Glovebox)’라는 기능이 새롭게 추가되었습니다. 


생물학적 실험 시 위험한 병원균을 밀폐된 보관실에 보관하는 것처럼 글로브박스는 감염을 방지하기 위해 안전한 환경에서 악성코드와 상호작용할 수 있도록 돕습니다. 


특정 악성코드들은 사용자들이 브라우저를 열거나 대화창을 클릭하는 등 시스템과 직접 소통하도록 설계되었는데요. 이런 활동들을 하지 않을 경우 악성코드는 감지되는 것을 피하기 위해 휴면 상태에 있습니다. 하지만 이제 글로브박스를 이용한다면 안전하게 악성코드와 상호작용해 보다 효과적으로 악성코드를 감지할 수 있을 것입니다! 


시스코 AMP 쓰렛 그리드 솔루션에 대한 보다 자세한 정보는 본사 AMP 쓰렛그리드 웹사이트 또는 시스코 코리아 홈페이지를 통해 확인하시기 바랍니다. 



이번 포스팅은 시스코 쓰렛그리드 제품 마케팅 매니저 조 맬런펀트(Joe Malenfant)가 작성한 Pushing Security from Edge to Endpoint를 바탕으로 준비되었습니다.



저작자 표시 비영리 동일 조건 변경 허락
신고