- 범정부 DDoS 대응 사업에 대량 도입 예정, 파이어아이·시만텍·이세정보 공급 중

[디지털데일리 이유지기자] 최근 분산서비스거부(DDoS) 공격에 악용되는 좀비PC를 탐지·차단할 수 있는 전문 보안 솔루션에 대한 관심이 높아지고 있다.

지난 3일 조달청 입찰이 마감돼 현재 사업자 선정 작업이 한창 진행 중인 범정부 DDoS 대응체계 구축 사업에서 DDoS 방어 전용장비와 함께 좀비PC 탐지 장비가 대량 도입될 예정이기 때문이다.  

좀비PC 탐지·차단 전용 솔루션은 지난해 하반기부터 소개되기 시작한데다 공급되는 제품 가짓수나 도입사례도 아직 많지 않아 널리 알려져 있지는 않다.

하지만 이번 범정부 사업을 통해 대규모 도입이 이뤄질 예정이고, 최근 삼성그룹이 좀비PC 탐지·차단 전용 솔루션을 대거 구축해 주목받고 있다.

이번 범정부 DDoS 대응체계 구축 사업에서 좀비PC 탐지·차단 솔루션을 가장 많이 도입하는 분야는 교육과학기술부와 경찰청으로, 각각 33대와 17대가 구축될 예정이다.

현재 국내 공급되는 좀비PC 탐지 전용 솔루션은 파로스네트웍스가 공급하는 ‘파이어아이 봇월’, 시만텍코리아의 ‘시만텍 웹 게이트웨이’, 이세정보가 개발한 ‘헤제크’로, 이들 세 제품 모두 SI 업체들을 통해 범정부 DDoS 대응체계 구축 사업에 각각 제안돼 있는 상태다.

◆‘파이어아이 봇월’ 국내 최초로 소개=좀비PC 탐지 솔루션은 지난해 9월 파로스네트웍스(대표 황항수)가 국내 출시한 미국 파이어아이의 안티봇넷 방어시스템인 ‘파이어아이 봇월(FireEye Botwall)’ 어플라이언스 제품이 가장 처음 국내에 소개됐다.

이 제품은 네트워크 트래픽을 실시간 모니터링, 분석해 네트워크에 존재하는 좀비PC와 신·변종 악성 봇(Bot)을 실시간 탐지하고, 방화벽 등 다른 보안제품과 연동해 좀비PC가 공격 명령·제어(C&C) 서버와의 통신을 원천 차단하는 전문 악성봇, 봇넷 탐지·대응 전용 제품이다.

시그니처 기반으로 알려지지 않은 신·변종 악성 봇(Bot)에 감염된 좀비PC를 탐지하며, 실제 PC와 같은 가상머신(VM)에서 감염여부를 최종 확인하는 동시에 악성봇의 행위를 분석해 시그니처를 자동 생성해 배포해 대응한다.  

이 제품은 한국인터넷진흥원(KISA)의 인터넷침해대응센터에서 구축해 국내 봇 감염PC를 탐지·분석해 차단하기 위한 용도로 활용되고 있다.

또 제주대학교 등 몇몇 대학과 LG데이콤에 구축했다. 지난 9월에는 삼성네트웍스가 운영하는 삼성그룹 네트워크망에 구축을 완료했다.    

국내 총판 영업을 책임지고 있는 황항수 파로스네트웍스 사장은 “백신이나 네트워크접근제어(NAC) 솔루션은 알려지지 않은 봇 감염 PC를 찾아내기 어렵지만, ‘파이어아이 봇월’은 DDoS 공격에 이용되는 신종 봇을 검출해내고 봇에 의한 내부정보 유출이나 불필요한 리소스 고갈을 차단하는 전문 제품”이라며, “7.7 DDoS 공격이 발생한 후 정부나 기업, 대학 등에서 관심이 높아지고 있다”고 말했다.

◆‘시만텍 웹게이트웨이’ 최근 국내 출시=좀비PC 탐지 솔루션으로는 시만텍코리아(대표 변진석)이 지난 9월에 출시한 ‘시만텍 웹 게이트웨이’ 어플라이언스 제품도 있다.

시만텍이 인수한 Mi5네트웍스의 웹 게이트웨이 기술과 백신 엔진 등 다계층 악성코드 분석·차단 기술을 결합해 개발된 이 제품은 기업 네트워크와 사용자 PC 감염에 악용되는 웹 기반 주요 경로와 트래픽을 실시간 검사해 악성코드 감염과 공격 행위를 탐지·차단한다.

웹사이트에서 사용자 PC로 다운로드되는 바이러스, 스파이웨어 등 각종 악성코드를 탐지`차단할 뿐만 아니라 네트워크 핑거프린팅, 행위분석 등의 기술과 C&C 서버 호스트IP 목록 등의 정보를 기반으로 악성 봇에 감염돼 C&C 서버와 통신하거나 공격을 수행하는 좀비PC까지 탐지한다.

백신과 NAC 기능이 포함된 통합보안 제품인 ‘SEP(시만텍엔드포인트프로텍션)’과 연동하거나 타 백신 등 보안 제품을 연동하면 좀비PC를 기업 내부 네트워크와 격리시켜 필요한 보안 조치를 수행토록 할 수 있어 내부 좀비PC 예방과 악성코드 감염을 방지할 수 있는 효과도 누릴 수 있다.

윤광택 시만텍 기술이사는 “‘시만텍 웹게이트웨이’는 악성 봇과 좀비PC 탐지, 판별할 뿐 아니라 내부 네트워크상에서 격리되며 봇을 포함한 악성코드를 차단할 수 있는 기능을 제공해 차별화된다"고 설명했다.

◆국산 제품 ‘헤제크’도 공급 중=국산 좀비PC 탐지 전용 솔루션도 개발돼 있다. 이세정보(대표 이미옥)이 4년 여 동안에 걸쳐 개발한 ‘헤제크(HEZEK)’로, 지난 9월부터 충남대에 일부 적용돼 테스트를 수행 중이다.

‘헤제크(HEZEK)’는 PC에 설치된 에이전트를 통해 좀비PC에 설치된 악성코드를 패턴 시그니처 기반의 비교분석 방식이 아니라 악성코드가 동작하는 행동 유형을 감시해 알려지거나 알려지지 않은 악성프로그램을 탐지·차단하는 전문 보안 솔루션이다.

백도어, 트로이목마, 웜, 루트킷 등 악성프로그램의 실제 행동을 탐지, 동일하거나 비슷한 동작유형을 조합해 정책을 설정함으로써 이상행동을 실행하지 못하게 차단한다.

이를 통해 시그니처 기반으로 악성코드를 탐지·차단하는 백신, 패치관리시스템(PMS), 방화벽 등의 보안 제품을 보완한다.

이세정보는 총판사인 소프트와이드시큐리티를 통해 이 제품을 공급 중이다.

앞으로 이 제품에 악성코드가 C&C 서버 등과의 통신을 추적하는 기능을 추가할 예정이며, 현재의 에이전트 방식 이외에 네트워크 방식의 장비도 내년에 출시한다는 계획이다.

이 회사 양영모 영업본부장은 “기존 보안제품이 갖고 있지 않은 행동기반의 알려지지 않은 각종 악성프로그램 탐지·차단 기능을 보유하고 있어 타 보안제품과 연동하거나 통합하게 되면 더욱 차별화된 기능을 제공할 수 있을 것”이라며, “이를 위해 보안업체들과 협력방안도 검토하고 있다”고 말했다.

<이유지 기자>yjlee@ddaily.co.kr

    



네이버 뉴스스탠드에서 디지털데일리 뉴스를 만나보세요.
뉴스스탠드


  • IT언론의 새로운 대안-디지털데일리
    Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지
 
· [카드뉴스] 기업의 지속가능성 해법은 결국···
· [카드뉴스] B tv 서라운드, 거실을 영화관으로
· [이지크로] 안전하고 믿을 수 있는 에스크로
  • 동영상
  • 포토뉴스
핀란드 통신사 ‘엘리사’ CEO, LGU+ 찾은… 핀란드 통신사 ‘엘리사’ CEO, LGU+ 찾은…
  • 핀란드 통신사 ‘엘리사’ CEO, LGU+ 찾은…
  • 삼성전자, “시원한 여름은 인덕션과 함께”……
  • 5G 논란 불구 5G폰 ‘인기’…갤S10 5G 100…
  • 삼성전자, 美 생활가전 브랜드 점유율 1위