지능형 지속위협(APT) 시장을 놓고 보안업체들의 수주경쟁이 본격화되고 있다. 3·20 전산망 마비사태 이후 테스트를 지속해 왔던 금융과 대기업들이 APT 솔루션 구매에 나섰기 때문이다. 예상외로 조용했던 APT 시장이 최대 성수기를 맞아 활기를 띨지 주목된다.
일각에서는 최근 증권사와 카드사 등 제2금융권을 중심으로 APT 대응 솔루션 구축이 활발해지고 있으나 시장의 성숙기는 내년 2∼3분기로 점치는 시각도 있다.
3일 업계에 따르면 APT 전문기업들은 저마다 기술적 비교우위를 알리면서 마케팅 전쟁에 돌입했다. 사이버위협 방식이 기존 네트워크 취약점 중심에서 `악성코드`로 바뀌면서 신종 악성코드를 분석할 수 있는 전문 APT 대응 솔루션이 필수 보안솔루션으로 각광받고 있기 때문이다.
이에 따라 실시간 차단할 수 있는 기술 주도권을 누가 가질 것인지에 따라 시장의 승자가 결정될 전망이다.
◇APT 기술은 진화 중
APT 기술은 2000년대 초 미국 조지아공대 교수 논문에서 처음 소개된 DNS 행위 기반 분석을 통한 악성코드 탐지 기술로부터 발달해 왔다. 악성코드에 감염된 PC에서는 외부와 통신하는 특정한 DNS 패턴이 있으며, 이를 모니터링하면 감염된 PC를 찾아낼 수 있다는 논리다.
이후 나온 샌드박스는 네트워크상에 사용자의 PC와 동일한 환경을 갖고 있는 가상머신(Virtual machine)을 설치, 악성으로 의심되는 파일이나 트래픽을 그 안에서 직접 실행해 보는 방식이다.
◇샌드박스 방식·에이전트 방식 경쟁
APT 기술경쟁 구도는 크게 두 축으로 나뉜다.
샌드박스 방식은 파이어아이·포티넷·팔로알토가 유명하며, 트랜드마이크로·맥아피 등은 에이전트 방식을 사용한다. 에이전트 기반 APT 솔루션을 내놓는 기업 대부분은 백신 시장에서 전성기를 구가했던 게 특징이다. 여기에 DNS 행위 기반 분석 기술을 채택한 보안기업은 담발라(Damballa) 등이다.
샌드박스 기술을 채택한 진영은 에이전트 기반 기술이 사이버 공격에 취약하다고 강조한다. 3·20 전산망 마비사태처럼 PC 에이전트를 관리하던 PMS 서버로 악성코드가 유포될 가능성을 배제할 수 없다는 지적이다.
이상도 파이어아이코리아 이사는 “APT로 분류되는 공격은 기존에 알려진 악성코드를 사용하는 사례가 거의 없기 때문에 10년 이상 축적한 시그니처는 사실상 무용지물이나 다름없다”며 “APT 방어에 있어 샌드박스가 최선이라는 것은 분명하다”고 설명했다. 파이어아이는 초기 4개의 샌드박스를 구동하던 단계에서 나아가 현재 단일 장비에서 192개의 샌드박스를 동시에 구동하는 기술을 보유하고 있다. CIA, NSA 등 정보기관은 물론이고 구글·야후 등 글로벌 IT기업이 고객사다.
반면에 안랩의 APT 장비인 트러스와처(안랩 MDS)는 기획 초기부터 APT 대응은 네트워크와 엔드포인트가 긴밀히 협력해야 한다는 점에 착안됐다. 전용 에이전트를 제공하는 게 특징. 안랩은 올 하반기 들어 금융권, 공공기관 및 민간기업 10여곳에 자사 APT 솔루션인 `트러스와처`를 판매했다.
안랩 관계자는 “트러스와처가 사용하는 APT 탐지·대응 기술로 에이전트가 주 기술은 아니다. 탐지된 APT 위협에 대한 엔드포인트 레벨의 대응을 강화하기 위해 에이전트를 옵션으로 사용하고 있다”고 강조했다. 네트워크 수준에서의 대응은 에이전트와 상관없이 기본적으로 지원한다.
김원석기자 stone201@etnews.com
