[APT특집]트루컷시큐리티 `트로이컷`

“지능형지속위협(APT) 솔루션은 선제적 차단이 아니면 무용지물입니다.”

심재승 트루컷시큐리티 대표 철학이다. 이미 기밀정보가 빠져 나가고 시스템이 파괴된 후라면 아무리 빠른 대응도 소용없다는 의미다.

[APT특집]트루컷시큐리티 `트로이컷`

악성 행위 차단 개념은 그동안 전통적 보안 개념에 밀려 공감을 얻지 못했다. 지난해 한수원 사태로 사이버 보안 최후 보루인 망분리까지 뚫린 이후 급격히 공감을 얻는 상황이다. 막고, 거르고, 암호화하고, 망분리까지 했지만 사이버공격을 막아내지 못했다. 이에 고객 스스로 전통적 보안 방식에 문제를 제기했다.

트루컷시큐리티는 APT 선제 대응을 위해 트로이컷을 개발했다. 악성코드가 아닌 악성행위를 차단한다는 개념으로 설계됐다. 해킹 피해를 막기 위해 침입보다는 유출에 초점을 맞춘 신개념 솔루션이다. 해커가 숨겨둔 악성코드를 통해 기밀 자료가 외부로 빠져나가는 것을 막는다. 외부 유출 순간 시스템이 탐지해 차단한다.

지금까지 해킹 피해가 발생하면 방법이 나중에 공개됐다. 백신업체가 해킹 프로그램 분석으로 적합한 백신을 제작·보급한다. 일명 시그니처 레퍼런스라는 패턴 비교 방식이다. PC에 저장된 파일이나 트래픽을 일일이 비교 분석해 해킹 프로그램 여부를 가리기 때문에 사전 등록 패턴이 아니면 방어가 어렵다.

트로이컷은 시그니처 데이터베이스(DB) 없이 해커가 자료를 훔치는 순간을 노린다. 공격 유형에 상관없이 해커가 자료를 빼가는 순간(On Active) 스스로 탐지(Detect)하는 ‘DOA 알고리즘’을 구현했다. 기존 솔루션이 공격 형태만 탐지했던 한계를 극복했다.

트로이 목마 유형 해킹으로 발생하는 자료 유출은 모두 탐지 가능하다. 전체 사용자 행위를 통합 관제할 수 있을 뿐 아니라 다양하고 이해하기 쉬운 보고서 기능도 담았다. 방화벽이나 IPS 등과 연계해 유출 자료 차단 기록도 분석할 수 있다. 감시 대상 파일도 제한이 없다. 실행파일(EXE)·동적라이브러리(DLL)뿐 아니라 원격제어 프로그램 형태 해킹도 막을 수 있다.

행위가 악성인지 구별하는 ‘비접촉 명령 차단’ 기술은 국내에서 유일하게 트루컷시큐리티가 확보한 특허다. 사용자가 정상 실행을 했는지 해커가 실행한 악의적 공격인지 판단한다. 트로이컷은 굿소프트웨어(GS) 인증과 정보보호제품 평가(CC) 인증도 획득했다.

심 대표는 “트로이컷은 어떻게든 내부로 침투한 악성코드가 실제로 기밀정보를 유출하거나 시스템을 파괴하려는 순간에 행위를 차단해 기밀정보와 시스템을 보호한다”며 “최근 기승하는 랜섬웨어 공격도 사용자 모르게 문서를 암호화되려는 순간에 이를 차단해 막을 수 있다”고 강조했다.

권동준기자 djkwon@etnews.com