좀비PC 미리 잡는 AhnLabTrusWatcher!

2011.05.08

 

DDoS(Distributed Denial of Service, 분산서비스거부) 공격은 지속적으로 발생하고 있을 뿐만 아니라 그 규모와 수법이 나날이 진화하고 있습니다.

이러한 DDoS 공격 위협의 근본적인 문제는 그 공격 기법의 진화뿐만 아니라 DDoS 공격을 유발하는 좀비 PC 확보를 위한 악성코드 유포의 고도화, 지능화되고 있어 기업에 더 위협적입니다. 즉, 이제는 DDoS에 대응하기 위해 좀비 PC(공격을 유발하는 악성코드 감염 PC) 를 비롯해 악성 파일에 대한 대응체계를 갖추는 것이 선택 아닌 필수인데요.

 안철수연구소는 최근 좀비PC 대응을 위한 사전 대응 플랫폼 AhnLab TrusWatcher(트러스와처)를 출시했다. 지금부터 트러스와처가 여타 좀비 PC 대응 솔루션과의 차별점은 무엇인지, 주요 기능을 상세히 살펴보겠습니다.

 

 7•7 DDoS 대란과 3•4 DDoS 공격을 통해 DDoS 공격 대응은 사후 대응이 아닌 사전 조치가 필요하다는 것을 확인하게 되었습니다. 이에 최근 좀비 PC 대응 솔루션이 주목을 받기 시작했는데요, 좀비 PC 대응 솔루션이란 중요 정보를 유출하거나 DDoS 공격을 유발하는 기업 내부의 좀비 PC를 사전에 탐지, 대응하기 위한 장비 등을 뜻한다. 그러나 DDoS 공격 대응에 있어서도 나타났지만 좀비 PC 대응 역시 단순한 장비 기반만으로는 제대로 된 효과를 얻을 수 없습니다. 이에 기존과 같은 단일 제품 기반의 단순한 탐지/대응이 아닌 프로세스 중심의 접근을 통한 사전 대응책으로서 제품과 프로세스, 그리고 서비스가 결합된 ‘플랫폼’이라는 틀에서의 좀비 PC 사전 대응이라는 관점으로 그 해결책이 대두되었습니다.

 

 트러스와처는 이러한 관점에서 7•7 DDoS 대란과 3•4 DDoS 공격에서 대응 역량과 기술력을 세계적으로 인정받은 안철수연구소의 종합적인 DDoS 대응 플랫폼을 제품화하였습니다.

 안철수연구소가 20년 이상 축적해온 악성코드 분석 기술과 네트워크 보안 기술이 융합돼 최상의 시너지 효과로 좀비 PC를 사전 탐지 및 대응할 수 있습니다.

특히 안철수연구소의 전문가 서비스와 가이드를 각 고객사의 환경에 따라 맞춤형 프로세스로 제공하는 좀비 PC 사전 대응 플랫폼이라는 점에서 여타 좀비 PC 대응 솔루션과 차별화된 강점을 보유하고 있다.

 

 

[그림 1] 좀비 PC 대응 플랫폼 AhnLab TrusWatcher 개념도

 

안철수연구소의 검증된 노하우와 전문성이 그대로!
TrusWatcher ZPX, 진단 정확도 극대화/오진율 최소화

  제품의 구성을 살펴보면, 어플라이언스 기반의 분석 시스템 트러스와처 ZPX(Zombie Prevention eXpress)를 기본으로, 통합적이고 효율적인 관리 및 모니터링을 제공하는 트러스와처 매니저(Manger), 악성 파일의 삭제 조치 등을 수행하는 APC Appliance for TrusWatcher로 구분되는데요,

 트러스와처 ZPX는 네트워크 어플라이언스 기술과 악성코드 분석 시스템이 결합된 하이브리드(Hybrid) 악성코드 분석 장비로, 좀비 PC 정밀 분석 및 탐지를 수행한다. 특히 기업 내부의 PC가 다운로드하는 악성 파일 정보를 실시간으로 모니터링한다. 트러스와처 ZPX는 네트워크 상에서 전송되는 파일 및 DDoS 트래픽의 상태를 분석해 좀비 PC를 유발하는 악성 파일을 탐지한다. 이때, 전송되는 파일은 2단계에 걸쳐 정밀하게 분석되기 때문에 여타 제품에 비해 악성 파일에 대한 진단 정확도가 탁월한 것이 특징이다.


2중 악성 파일 분석 단계를 상세히 살펴보면, 우선 안철수연구소의 클라우드 기반 악성코드 분석 시스템인 ASD(AhnLab Smart Defense)를 활용해 1차 분석을 수행한다. ASD에는 2억 개 이상의 악성 및 정상 파일 정보가 수록되어 있어 악성 파일 탐지 정확도가 높다. 이는 동종 제품에서는 기대하기 어려운 트러스와처만의 독보적인 기능이다. 이어 2차 분석은 가상 머신(virtual Machine) 기반 기술로 악성 파일의 행위를 분석하는 단계다. 1차 분석에서 탐지되지 않은 새로운 파일을 트러스와처에 내장된 가상 머신에서 실행해 이상 행위(레지스트리 값 변경, 파일 삭제 및 생성 등)를 하는지 검증하는 것이다. 이로써 좀비 PC를 만드는 악성코드와, DDoS 공격을 실행하는 내부 좀비 PC를 탐지해 대응할 수 있다.

이 밖에도 트러스와처 ZPX는 내부 PC의 DDoS 공격 트래픽 발송 정보를 실시간으로 통합 모니터링하여 내부 네트워크의 과부하로 인한 업무 불편 초래를 사전에 방지할 수 있다.

 

[그림 2] TrusWatcher ZPX 2000/6000

 

올인원 좀비 PC 대응 솔루션, 트러스와처

 

트러스와처는 트러스와처 ZPX와 더불어 안철수연구소의 매니지먼트 솔루션인 APC 어플라이언스와 연동되어 악성 파일을 삭제하는 기능도 제공합니다. 아울러 트러스와처 매니저로 불리는 ATM/ATL(AhnLab TrusGuard Manager / AhnLab TrusGuard Log Server)을 통해 다중 장비에 대한 통합 관리 및 모니터링이 가능하며 DDoS 트래픽 유발 정보와 악성 파일 정보 통합화를 기반으로 악성 행위를 하는 클라이언트 PC를 추출할 수 있습니다. 즉, PC를 좀비화하고 아웃바운드 DDoS 트래픽 유발의 원인이 되는 악성 파일의 수집→분석→실시간 모니터링→대응(악성 파일 제거)에 이르는 종합적인 프로세스를 구축하는 셈이 됩니다.

무엇보다 안철수연구소의 뛰어난 좀비 PC 대응 효과를 기업 내부에서 그대로 경험할 수 있어 좀비 PC로 인한 기업 정보 자산 유출이나 손실 등의 우려를 해소할 수 있습니다.  Ahn