2013.04.03 안랩, ‘3.20 APT 공격’관련 APT 대응 솔루션 지원 프로그램 운영

- APT 대응 솔루션 ‘트러스와처’ 및 보안관제, 희망 고객사에 한달 간 무상 지원

- 트러스와처, ‘3.20 APT 공격’ 악성코드 시그니처 없이 실시간 진단

- 안랩, 당일 긴급 대응부터 고객 정보보호 방안 지속 제공 중

 

글로벌 보안 기업 안랩(대표 김홍선, www.ahnlab.com)은 오늘, 지난 3월 20일 발생한 ‘3.20 APT 공격’과 관련해 고객사를 대상으로 APT(Advanced Persistent Threat, 지능형지속보안위협) 공격 대응을 위한 지원 프로그램을 실시한다고 밝혔다.

 

이번 프로그램은 ‘3.20 APT 공격’에 불안해하는 고객은 물론, 이번 사태로 국내에서도 심각성이 대두된 APT 공격에 대한 기업의 사전 방지 대책을 지원하기 위한 목적이다.

 

이번 프로그램에서 안랩은 자사의 자산 및 중앙 관리서버(AhnLab Policy Center, 이하 APC 서버) 사용고객 및 다른 희망 고객사에 APT 전문 대응 솔루션인 ‘트러스와처’를 1개월 간 개별적으로 무상 제공한다. 또한, 설치한 트러스와처에 대한 관제서비스도 함께 제공(1개월)한다. 참여를 원하는 고객사는 오는 4월 30일까지 각 사별 안랩 담당자에게 요청하면 된다.

 

트러스와처는 이번 ‘3.20 APT 공격’을 유발한 다수의 신종 악성코드를 사전에 알려진 악성코드의 진단 값인 ‘시그니처’ 없이 행위기반으로 실시간 진단했다.

 

안랩의 트러스와처는 알려지지 않은 신/변종 악성코드를 가상 머신을 기반으로 행위기반 분석 기술을 이용해 탐지 및 대응한다. 이때 해당 파일의 행위 분석뿐만 아니라, 해당 파일의 실행과 관련된 모든 연관 파일에 대한 시그니처 기반 악성 여부, 평판 정보 및 종합적인 행위를 다차원적으로 분석하는 것이 트러스와처의 가장 큰 특징이다. 또한 클라우드 기반의 악성코드 분석 시스템 ASD(AhnLab Smart Defense)를 기반으로 알려진 파일 및 알려진 악성코드에 대응하기 때문에 분석 시스템의 성능 부하는 최소화하고 분석 효율성은 극대화했다.

 

특히 최근에는 PDF 파일이나 MS 워드 파일 등에 악성코드를 삽입한 형태의 APT 공격이 증가하고 있는 추세다. 이에 대응하기 위해 안랩 트러스와처는 ‘동적 콘텐츠 분석 기술 DICA(Dynamic Intelligent Content Analysis)’를 탑재해 문서 파일 등 비실행형 파일(non-PE)을 이용한 교묘한 공격까지 탐지한다. DICA는 안랩의 악성코드 분석 노하우가 반영된 특허 기술로, 나날이 고도화되는 APT 공격 대응에 탁월한 성과를 보이고 있다. 또한 올해 초에는 메모리 보호 기능을 우회하는 ROP 공격 탐지 기술까지 적용, 세계 최대의 보안 컨퍼런스 RSA에서 첫 선을 보이며 많은 관심을 받았다.

 

안랩 김홍선 대표는 “한국을 강타한 이번 공격을 포함, 최근의 APT 공격은 아직 알려지지 않은 보안 취약점을 악용하는 제로데이 공격이나 비실행 파일을 악용하는 등 기법 및 수준이 고도화되고 있지만 모든 공격의 시발점은 여전히 ‘악성코드’다”라며 “트러스와처는 시그니처부터 행위기반까지 다차원 분석 엔진으로APT형 공격을 막는데 최적화된 솔루션이다. 안랩은 이번 공격에 대한 당일 긴급 대응부터 세가지 후속 방안과 추가 방지 방안까지 고객의 피해를 최소화하기 위해 모든 노력을 기울이고 있다”고 말했다.

 

한편, 안랩은 공격발생 당일인 3월 20일 17시 49분 긴급 V3 엔진 업데이트 및 18시 40분에 전용백신을 배포하고, 25일 고객사를 대상으로‘APT 트레이스 스캔(APT Trace Scan)'을 제공했다. 또한 25일 기업뿐 아니라 불특정 다수를 대상으로 한 변종악성코드 추가배포 징후를 포착하여 주의를 당부했다. 이후 27일 변종에 대비해 PC부팅영역인 MBR(Master Boot Record)’보호를 위한 MBR프로텍터(MBR Protector)를 고객사에게 전달한 데 이어, 오늘 트러스와처 지원 프로그램 운영을 발표했다. <Ahn>