[Industry Review]DDoS 공격 대응 장비-한국트렌드마이크로

　한국트렌드마이크로(자시장 박상현)의 분산서비스거부(DDoS)대응 시스템 TMS는 DDoS공격에 가담한 좀비PC를 찾아내 차단하는 좀비PC탐지 및 치료 솔루션이다. 이 제품은 네트워크를 분석해 분산서비스거부를 유발하는 내부 좀비PC를 탐지해 자동으로 치료하는 것이 특징이다.

　좀비PC에 침투한 악성프로그램인 봇(Bot)은 바이러스와 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 돌아갈 때 편승해 활동한다. 봇은 일반적인 바이러스 스캔 방식으로는 탐지하기가 어려워 최신 백신으로 업데이트를 하는데도 좀비PC 피해가 생긴다. 비정상적인 트래픽을 탐지하는 침입방지시스템(IPS)의 경우에는 일부 정상적 웹 접속을 통한 봇 통신을 탐지 할 수 없는 한계도 존재한다.

　트렌드마이크로의 솔루션은 사용자 PC에 설치한 에이전트 프로그램을 통해 중앙에서 자동으로 봇을 제거한다. 또한 5개의 탐진 엔진을 가동시켜 외부 컨트롤서버(C&C)와의 통신에 쓰이는 인터넷주소, 웹에서 다운로드한 악성코드, 특정 포트를 통해 외부와 교신하는 내용 등이 고스란히 남아 이 원시파일로그의 상관관계를 분석해 봇이나 바이러스 여부를 가려낸다.

　클라우드 보안센터와 연계해 실시간 시그니처를 만들고 네트워크 행위기반 탐지를 위한 자체 룰을 업데이트 한다. 네트워크 행위 기반 방식이기때문에 게이트웨이 단에서 사내의 모든 트래픽에 대한 정보를 수집할 수 있어 내부정보유출방지 솔루션으로 확대시킬 수도 있다.

　탐지한 봇 정보는 별도의 포털서버에 전송해 관제 화면으로 감염 PC의 상태와 치료내역은 물론 사업부별 혹은 사이트별 집계결과를 실시간 조회할 수 있다. 전자우편을 통해 일간·주간·월간 단위의 리포트를 받아볼 수 있으며 사용자단에서 수동스캔을 통해 봇 감염여부 진단도 가능하다.

　이 제품은 기존 안티 봇넷 솔루션이 파일기반 분석방식으로 봇 감염PC탐지보다는 들어오는 바이러스를 수집 및 분석하는 형태를 보인 것과 달리 치료 모듈을 제공해 차별점을 뒀다. 현재 장비뿐만 아니라 고객별로 다양한 요구에 특화한 솔루션을 갖췄다.

　트렌드마이크로는 지난 해 이 제품을 서울대와 부산대를 포함한 10개 주요 국립대학과 시도교육청 등의 공공교육기관과 기업에 공급해 초기 시장을 선점했다.

이경원기자 won@etnews.co.kr