체크포인트, CPU레벨서 APT 탐지 하는 기술 선봬

방화벽 강자 체크포인트도 지능형지속위협(APT) 공격 대응 시장에 출사표를 던졌다. CPU레벨에서 ATP를 막는 새로운 방법이다. 애플리케이션 영역으로 악성코드가 올라와 활동하기 전에 CPU 단계에서 막는다. 기존 샌드박스와 달리 운용체계(OS)나 애플리케이션 소프트웨어에 상관없이 위협을 방어한다.

체크포인트코리아(대표 오세호)는 18일 서울 코엑스인터콘티넨탈호텔에서 간담회를 열고 CPU레벨에서 외부에서 유입되는 위협 요소를 근본적으로 차단하는 ‘샌드블래스트’를 출시했다. 샌드블래스트는 지난 3월 인수한 하이퍼와이즈 CPU레벨 위협 방지솔루션에 기존 쓰렛 익스트랙션(Threat Extraction) 기술을 통합했다. 쓰렛 익스트랙션은 외부에서 유입되는 문서나 파일 속에 들어 있는 동적 요소를 제거하고 글씨와 그림만 추출해 재조합하는 기술이다.

남인우 체크포인트코리아 전무가 방어전략을 설명 중이다.
남인우 체크포인트코리아 전무가 방어전략을 설명 중이다.

CPU레벨 샌드박스는 기계어 레벨에서 명령 흐름을 관찰한다. 전체 APT 공격에 주로 사용되는 ROP(Return Oriented Programming) 기술을 쓰는 공격 기법을 탐지한다. 관련 파일이 OS나 가상 사용자 환경에 유입돼 실행되기 전에 CPU 흐름을 분석해 유해성을 판단한다. 기존 샌드박스와 달리 가상화 환경을 인식해 탐지를 우회하는 공격 기법에서 자유롭다. OS 환경과 무관하다.

쓰렛 익스트랙션은 안전이 확인된 내용만 추출하고 나머지는 버리는 기술이다. 대부분 문서는 글씨와 그림, 매크로·스크립트 세 가지로 구성된다. 쓰렛 익스트랙션은 마이크로소프트 오피스 문서와 PDF 형식의 그림과 글씨를 제외하고 나머지는 모두 버린다. 코드 유해성 여부를 판단하지 않고 제거해 속도가 빠르다. 일부 정상적인 매크로 등이 필요한 사용자가 원본이 필요하면 요청할 수 있다.

오세호 체크포인트코리아 대표가 사업 전략을 설명 중이다.
오세호 체크포인트코리아 대표가 사업 전략을 설명 중이다.

남인우 체크포인트코리아 전무는 “샌드블래스트는 기존 샌드박스를 대체하기보다 보완하는 제품”이라며 “OS나 애플리케이션에 영향을 적게 받고 보다 빠르게 위협을 탐지한다”고 설명했다.

오세호 대표는 “샌드블래스트는 제로데이 악성코드 실시간 방어를 목표로 출시한 제품”이라며 “방화벽을 넘어 APT 시장에서도 체크포인트 영향력을 확대한다”고 말했다.

김인순기자 insoon@etnews.com