본문 바로가기
AhnLab News

2013.01.10 안랩, APT 대응 차세대 원격관제 서비스 출시

by 보안세상 2020. 4. 13.

-네트워크는 물론 PC까지 모니터링 및 분석..정교하고 입체적인 대응

-관제 전용 장비 자체 개발..기술력 뒷받침된 서비스로 고부가가치 제공

 

글로벌 정보보안 기업 안랩(구 안철수연구소, 대표 김홍선, www.ahnlab.com) 10일 지능형 지속 보안 위협인 APT(Advanced Persistent Threat, 보충설명1)에 효과적으로 대응할 '차세대 원격관제 서비스'를 출시한다고 밝혔다. 이로써 안랩은 원격관제 분야의 새로운 패러다임을 주도하게 됐다. 지난해 융합관제 서비스로 파견관제의 패러다임을 제시한 데 이은 것이다.

 

안랩의 차세대 원격관제 서비스는 기존 탐지/대응의 기술적 한계를 극복함으로써 APT 공격, 탐지 우회, 알려지지 않은 공격 등 지능적 공격을 원격에서 모니터링해 신속히 대응한다. 기존 원격관제와 비교해 모니터링하는 범위가 더 확대됐으며 탐지/분석 기술도 진일보했다.

 

기존 원격관제는 네트워크 보안에 초점을 맞춰 주로 방화벽, IDS(Intrusion Detection System, 침입탐지시스템), IPS(Intrusion Protection System, 침입방지시스템) 등을 모니터링한다. 차세대 원격관제는 이에 더해 주요 서버와 엔드포인트 PC의 패킷, 트래픽, 악성코드까지 모니터링한다. 안랩은 이를 위해 자체 기술로 서비스 전용 장비인 세피니티 블랙박스(AhnLab Sefinity Black Box)’를 별도 개발했다.

 

세피니티 블랙박스는 악성코드 다운로드 모니터링, 시스템 정보 수집, 패킷 모니터링, 플로우(flow) 분석 등의 기능을 제공한다(보충설명2). 외진 골목마다 CCTV를 설치한 것과 같아서 네트워크 보안 장비를 우회하는 APT 공격에 입체적이고 완벽하게 대처할 수 있다.

 

이에 따라 안랩 차세대 원격관제 서비스는 APT 공격의 시도, 내부 침투 성공, 악성코드 확산, 정보 유출 등 각 단계에서 정교하게 모니티링해 정보 유출을 막아낸다(보충설명3). 

 

또한 안랩은 상반기 중에 APT 공격에 시나리오 대응 체계를 수립할 계획이다. 공격이 벌어지는 상황 별 시나리오를 작성해 미리 대비하고, 새로운 공격 내용을 수시로 반영해 보완해나갈 예정이다. 향후 발견되는 새로운 유형의 APT 공격이나 진화된 공격 기법에 대한 탐지/대응 능력을 지속적으로 강화하기 위해서이다.

 

안랩은 차세대 원격관제 서비스로 고객에게 고부가가치를 제공해나갈 것이다. 또한 국내는 물론 일본을 비롯한 글로벌 사업에서도 의미 있는 성과를 일구어나갈 계획이다.

 

김홍선 대표는 안랩은 1999년 국내외 최초로 보안관제 서비스를 시작한 퍼스트 무버이다. 지난해 파견관제 분야에 이어 올해 원격관제 분야에서 새로운 패러다임을 제시함으로써 또 한번 리더십을 증명하게 됐다. 앞으로도 양적 성장 못지않게 독보적 원천 기술을 바탕으로 서비스의 질적 향상을 주도해나가겠다.”라고 강조했다.

 

--------<보충설명>--------

 

1.   APT(Advanced Persistent Threat)

기업  조직 등 특정 대상을 타깃으로 선정하고, 내부의 취약한 시스템을 이용해 침투한 후, 장기간 다양한 공격 기법을 활용해 피해자도 모르게 주요 정보를 유출하고, 시스템을 무력화하는 등의 지능형 지속 공격을 일컫는다.

 

2.   세피니티 블랙박스의 기능

-악성코드 다운로드 모니터링 : 안랩의 클라우드 기반 악성코드 분석 시스템을 이용하여 외부에서 유입되는 악성코드 및 내부에 전파되는 악성코드를 모니터링한다.

-시스템 정보 수집 : 시스템에서 발생되는 악성 행위를 APT 전용 모니터링 에이전트로 모니터링한다.

-패킷 모니터링 : 네트워크 패킷을 수집하고 RAW 패킷을 분석하여 상세 분석을 한다.

-플로우 분석 : 이벤트에 따른 세션(session) 재구성, IP 별로 사용된 트래픽을 분석한다.

 

3.   APT 공격의 단계

1) 시도 : 외부 공격자가 사회공학적 방법 등을 비롯한 다양한 기법을 이용해 내부 사용자를 대상으로 공격을 시도하는 단계

2) 성공 : 외부 공격자가 내부 사용자나 시스템을 확보하여 내부 침투에 1차 성공한 단계

3) 확산 : 공격자가 성공 단계에서 확보한 사용자나 시스템을 이용해 내부의 다른 시스템(특히 관리자 시스템, DB 시스템 등)을 찾고, 악성코드를 전파하는 단계

4) 유출 : 내부 주요 시스템을 확보하여 목표했던 주요 정보를 외부로 유출하는 단계

 

4.   안랩 차세대 원격관제 서비스 개념도