파로스네트웍스(대표 황항수)는 지난 2004년 세계 최초로 컴퓨터 가상화 기술을 보안에 응용해 네트워크상에 악성코드에 의한 봇(Bot) 감염을 탐지하고 분석하는 하드웨어 일체형 좀비PC전용 탐지 장비인 미국 파이어아이의 ‘봇월 4200(Botwall 4200)’ 제품을 공급하고 있다.
파이어아이의 봇월 4200은 장비에 장애가 발생하면 네트워크에 영향을 주지 않는 아웃오브패스(Out-of-Path) 형태로 설치해 네트워크상의 트래픽을 모니터링하고 실시간으로 캡처한다. 트래픽이 비정상이라고 판단할 경우, 봇넷 전용 시그니처에 해당되는 지를 분석하고 가상 머신이 해당 트래픽을 재생해 실제 시스템에 악영향을 줄 수 있는지 여부를 판단한다. 좀비 PC를 조종하는 원격지의 제어 서버를 찾아내 더 이상 해커가 제어서버에서 봇 PC를 원격제어 하지 못하도록 막아주는 기능을 제공한다.
이 제품은 이상트래픽 감지(Anomaly Detection) 엔진을 통해 의심스러운 트래픽을 분류하는 작업을 한다. 운용체제나 웹 또는 브라우저의 취약점을 노린 악성코드가 포함된 것으로 추정되는 의심스러운 트래픽을 따로 분류한다. 여기에 사용된 일련의 패턴들은 독자 기술인 봇월 네트웍스(Botwall networks)을 통해 전 세계에서 수집, 이상트래픽 정보로 활용할 수 있다.
이상트래픽 감지단계에서 탐지된 의심스러운 트래픽들은 봇월4200에 들어간 다수의 가상 머신에 전달되고 이때 가상머신들이 해당 트래픽을 실제 봇에 감염된 PC와 동일한 환경에서 그대로 재현한다. 의심스러운 트래픽 안에 악성코드가 존재하는 지, 해당 악성코드가 운영 체계 안에서 어떻게 동작하는 지를 분석한다.
파이어아이는 봇월 4200 제품을 통해 내부 컴퓨터가 해커에 의해 원격지에서 조정돼 개인정보 및 내부 주요 기밀자료 유출, 특정 사이트 DDoS 공격 및 스팸 발송 등의 다양한 사이버 범죄에 악용되는 것을 사전에 예방, 안전하고 깨끗한 네트워크 환경을 보장 할 수 있다.
파이어아이의 좀비PC방어 장비는 삼성그룹 등 국내 대기업과 경찰청을 비롯한 공공기관 및 금융기관에 설치해 기술력을 인정받았다. 단순한 악성코드 탐지가 아닌 좀비 PC를 제어하는 중요한 역할을 하고 있다. 파로스네트웍스 측은 “글로벌 네트워크를 활용해 국내 기업 및 공공기관이 좀비PC의 위협으로부터 안전하게 IT자산을 활용할 수 있도록 노력할 것”이라고 밝혔다.
이경원기자 won@etnews.co.kr
![[좀비PC방지·백신] 파로스네트웍스 `봇월 4200`](https://img.etnews.com/photonews/1007/005197_20100705100542_435_0002.jpg)