Offcanvas

악성코드

‘전송 중 파일서 악성코드 검출’… 딥 인스팅트, 새 안티 맬웨어 발표

2022.08.08 Michael Hill  |  CSO
사이버 보안업체 딥 인스팅트(Deep Instinct)가 새 맬웨어 방지 소프트웨어 ‘애플리케이션 포 딥 인스팅트 프리벤션(Deep Instinct Prevention for Applications)’을 출시했다. 시스템에 업로드되거나 다운로드되는 파일 중 악성코드가 심어진 파일을 탐지해 해킹을 사전 중단시키는 것이 핵심 기능이다. 

회사에 따르면 이 소프트웨어는 고객 환경 내 컨테이너에서 구축되며, 클라우드에 연결하지 않아도 작동한다. API를 를 기반으로 작동해 모든 시스템 및 장치에서 구동될 만큼 유연하며, 전송 중인 파일을 검색해 엔드포인트를 넘어 위협 보호 기능을 한층 더 향상시킨다고 업체 측은 설명했다. 

딥 인스팅트의 제품 솔루션 담당 이사 카렌 크롤리는 기업에서 매우 널리 사용되고 있는 PDF 및 오피스 파일은 여전히 해커들의 대규모 공격 대상이라고 전했다. 그는 "PDF 문서의 텍스트, 이미지 및 코드에 악성 스크립트가 심겨 있을 수 있다. 이런 스크립트는 탐지되기 쉽지 않으며, 기업의 보안에 해를 가할 위험이 있다”라며 "이러한 파일은 사이버 범죄자에게 백도어를 열어줘, 그들이 기기의 접근 권한을 탈취해 네트워크의 다른 영역까지 침투할 가능성도 있다”라고 말했다. 
 
크롤리는 새 솔루션이 20분 이내에 수백만 개의 파일을 검색한다고 밝혔다. 그는 “솔루션의 ‘브레인(brain)’은 도커 컨테이너 형식으로 배포되며, 웹 애플리케이션과 웹 게이트웨이 관련 파일까지 스캔할 수 있다. 스캔이 완료되면 애플리케이션은 ‘악성 코드 발견’ 혹은 ‘안전함(’이라는 검사 결과를 송출한다. 만일 악성 코드 발견이 뜨면, 애플리케이션은 사용자에게 격리, 삭제 그리고 샌드박스 이렇게 3가지의 유연한 대응 방식을 제공한다”라고 설명했다.

새 솔루션은 위협 유형을 분류하고 탐지 및 대응을 개선하고자 업체의 클라우드 기반 데이터 애널리틱스 서비스로 파일을 전송할 수도 있다고 크롤리는 덧붙였다. 그는 "악성코드를 판별하는 과정에서 클라우드 연결은 여전히 필수가 아니다. 예방 효과는 온라인과 오프라인 모두에서 똑같이 효과적이다”라고 말했다.

크롤리는 기존 솔루션은 악성코드가 이미 실행된 후 그 작동 방식을 파악해야만 (파일 실행을) 중단시킬 수 있으며, 그때쯤이면 이미 침해됐을 가능성이 높다고 지적했다.  

“해커들은 날이 갈수록 교묘해지고 있다. 점점 샌드박스와 AV(안티 바이러스) 솔루션을 우회하는 데 성공하는 경우가 많아지고 있으며, 그 결과 악성코드가 담긴 여러 파일이 탐지되지 않은 채 고객의 시스템에 잠입되고 있는 실정이다”라고 그는 말했다. 

새 솔루션은 해시 파일만 고객의 환경 외부로 전송하여 개인 정보를 온전히 보호하도록 설계되었다고 업체 측은 밝혔다. 여기에 더해 업체는 AI 모델을 학습하거나 업데이트 하는 데 고객 데이터는 전혀 사용되지 않는다고 덧붙였다.

한편 이는 모든 기업에서 쓸 수 있는 독립실행형 솔루션이며, 구체적인 비용은 고객의 환경과 매일 스캔해야 하는 파일의 개수에 따라 달라진다고 업체 측은 설명했다.

옴디아의 수석 애널리스트 릭 터너(Rik Turner)는 딥 인스팅트의 새 솔루션 기반 기술이 기존 안티바이러스 솔루션과 다르고, 비용 측면에서도 샌드박스 기반의 데이터 탐지 솔루션 요금 체계보다 낫다는 점에서 흥미롭다고 말했다. 그는 "또한 사용되는 AI 모델을 훈련하거나 업데이트하기 위해 고객 데이터가 필요하지 않다고 회사 측은 언급하는데, 이는 솔루션의 딥러닝이 신경망 기술 기반이라 가능한 듯 하다"라고 설명했다.

다만 터너는 새 솔루션이 암호화된 트래픽을 처리하는 방식에 대한 의문점을 드러냈다. “해독에 관한 언급이 없었다. 업체는 단지 ‘사용자 환경 외부로 전송되는 (leaving the environment)’ 것은 해시 파일이라고 했을 뿐이다. 암호화된 트래픽으로 결과를 추론하는 방식인지 궁금하다. 만약 그렇다면 단지 조금 지능적이고 증거를 기반으로 한 추측에 불과한 게 아닌가 하는 생각도 든다”라고 그는 평가했다.

높은 공격 노출에 비해 보안 대책이 취약한 금융 서비스  
이 밖에 딥 인스팅트는  매일 대량의 데이터가 전송되는 금융 서비스 및 기타 산업이 업로드된 악성 콘텐츠로 높은 위험에 처해 있다고 언급했다. 다시 말해, 거래 데이터, 주택 담보 신청, 보험 청구 및 기타 중요한 정보 등 매일 수천만 개의 파일이 전송되는 금융 기관의 시스템은 특히 악의적인 업로드 및 다운로드로 인해 위험에 노출되어 있다.

최근 팬데믹 여파로 핀테크 거래량이 증가하면서 공격자가 끊임없이 새로운 취약점을 발굴해내 위협이 불어났다고 업체 측은 설명했다. 딥 인스팅트는 "실제로 한 연구에서 마이크로소프트 오피스 및 PDF 파일에 '전혀 알지 못했던(never-before-seen)’ 악성 프로그램 파일의 25%가 숨겨져 있다는 점이 밝혀졌다"라고 덧붙였다.

글로벌 보안기업 카스퍼스키(Kaspersky)가 최근 200명의 IT 의사 결정권자를 대상으로 실시한 영국 금융서비스 분야 사이버 보안 실태조사에 따르면 업계가 당면한 가장 큰 과제로 ‘끊임없이 변화하는 위협 환경에 대처하는 일’이 꼽혔다. ‘회사가 잠재적 사이버 공격에 대처할 만한 준비를 충분히 갖췄다’라는 문항에 ‘크게 동의함’을 선택한 응답자는 29%에 불과했으며, 절반 이상이 사이버 위협을 막을 수 있는 회사 내의 역량과 지식이 부족하다고 답변했다.

캐스퍼스키의 수석 보안 연구원 데이비드 엠은 "금융 서비스 산업은 지속적으로 라자루스(Lazarus) 같은 해커 부대의 표적이 되고 있다"라며 “해커들이 새로운 도구를 개발하고, 인공지능과 자동화를 활용하면서 위협 환경은 상당히 진화했다.” 이어 그는 금융 분야는 해커들의 주요 표적이 될 수밖에 없다고 설명했다. 은행 네트워크에 침투하기만 하면 바로 돈과 데이터를 탈취할 수 있기 때문이다. 

"게다가 금융 부문은 엄격한 규제를 받고 있으며 사이버 보안 규칙을 준수해야 하는 부담을 안고 있다. 만약 데이터 유출 사태가 발생하면 벌금 및 복원 비용을 감당해야 함은 물론 부족한 정보 보안 규정 준수가 고객 손실로 이어지기 때문에 사이버 보안은 더욱 더 골치 아픈 문제다”라고 그는 덧붙였다. ciokr@idg.co.kr
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.