[좀비PC방지·백신] 트렌드마이크로코리아 `TMS`

　 트렌드마이크로코리아(대표 박상현)는 지난 해 7·7 DDoS 공격 이후 서울대와 부산대를 포함한 10개 주요 국립대학과 시도교육청 등의 공공교육기관과 기업에 DDoS 대응 시스템 ‘TMS’를 공급해 DDoS공격에 대응했다.

　 TMS는 DDoS공격에 가담한 좀비PC를 찾아내 차단하는 좀비PC탐지 및 치료 솔루션이다. 이 제품은 네트워크를 분석해 분산서비스거부를 유발하는 내부 좀비PC를 탐지해 자동으로 치료하는 것이 특징이다.

　 좀비 PC에 침투한 악성프로그램인 봇(Bot)은 바이러스와 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 돌아갈 때 편승해 활동한다. 봇은 일반적인 바이러스 스캔 방식으로는 탐지하기가 어려워 최신 백신으로 업데이트를 하는 데도 좀비PC 피해가 생긴다. 비정상적인 트래픽을 탐지하는 침입방지시스템(IPS)의 경우에는 일부 정상적 웹 접속을 통한 봇 통신을 탐지 할 수 없는 한계도 존재한다.

　 트렌드마이크로의 솔루션은 사용자 PC에 설치한 에이전트 프로그램을 통해 중앙에서 자동으로 봇을 제거한다. 또한 5개의 탐진 엔진을 가동시켜 외부 컨트롤서버(C&C)와의 통신에 쓰이는 인터넷주소, 웹에서 다운로드한 악성코드, 특정 포트를 통해 외부와 교신하는 내용 등이 고스란히 남아 이 원시파일 로그의 상관관계를 분석해 봇이나 바이러스 여부를 가려낸다.

　 클라우드 보안센터와 연계해 실시간 시그니처를 만들고 네트워크 행위기반 탐지를 위한 자체 룰을 업데이트 한다. 네트워크 행위 기반 방식이기 때문에 게이트웨이 단에서 사내의 모든 트래픽에 대한 정보를 수집할 수 있어 내부정보유출방지 솔루션으로 확대시킬 수도 있다.

　 탐지한 봇 정보는 별도의 포털서버에 전송해 관제 화면으로 감염 PC의 상태와 치료내역은 물론 사업부별 혹은 사이트별 집계결과를 실시간 조회할 수 있다. 전자우편을 통해 일간·주간·월간 단위의 리포트를 받아볼 수 있으며 사용자단에서 수동스캔을 통해 봇 감염여부 진단도 가능하다. 이 제품은 기존 안티 봇넷 솔루션이 파일기반 분석방식으로 봇 감염PC탐지보다는 들어오는 바이러스를 수집 및 분석하는 형태를 보인 것과 달리 치료 모듈을 제공해 차별화했다.

　 트렌드마이크로코리아 박상현 사장은 “현재 CC 평가계약을 체결하고 인증 작업을 진행 중이며 올 하반기 엔터프라이즈 및 SMB를 겨냥한 모델을 따로 출시해 고객별로 차별화된 솔루션을 제공할 계획”이라고 말했다.


이경원기자 won@etnews.co.kr