엔피코어가 에이전트를 이용한 행위기반 탐지 차단과 가상 시스템 기반 네트워크 패킷 분석 탐지 등 이중 방어시스템으로 지능형지속위협(APT) 공격과 랜섬웨어에 대응한다. 인스펙터와 에이전트로 구성된 좀비제로APT 제품군에 랜섬웨어 차단 알고리즘을 추가하는 등 성능을 강화했다.
엔피코어(대표 한승철)는 1일 서울 양재동 엘타워에서 `2016 솔루션데이`를 개최하고 랜섬웨어와 신종 악성코드에 대응하는 이중방어 솔루션을 선보였다.
APT 공격은 악의적 범죄 그룹이 목적 실현을 위해 특정 대상을 목표로 지속적으로 공격을 수행하는 것을 의미한다. 보안장비 회피·우회를 위해 다양한 사회공학적 기법과 정교한 공격 기술을 활용한다. 시그니처 탐지와 정책 기반 대응에 의존하는 기존 보안 솔루션으로는 효과적 방어가 어렵다.
엔피코어 APT 이중방어 시스템은 에이전트와 네트워크단에서 연계 분석으로 오탐율을 최소화하고 네트워크 우회 악성코드를 차단한다. 네트워크 보안 장비인 좀비제로 인스펙터와 엔드포인트 보안솔루션 좀비제로 에이전트 연동으로 올인원 단계별 보안 전략을 구현한다.
수집한 파일은 시그니처 분석과 가상머신을 이용한 행위기반 2차 분석, 에이전트를 통한 엔드포인트 행위기반 분석 등 3단계 분석 시스템을 거친다. 알려지지 않은 신·변종 악성코드를 탐지한다.
랜섬웨어 차단 기능도 추가했다. 의심 프로세스가 실행되면 통합보안관리(ESM) 서버에 패턴정보 업로드 후 전체 에이전트 공유로 감염 확산을 예방한다. 에이전트에서는 인가된 프로그램이 아닌 특정 프로그래밍 보유 파일을 수정·조작하는 행위를 차단한다. 애플리케이션 레벨이 아닌 커널 드라이버 단에 에이전트를 설치해 다른 프로그램과 충돌을 방지한다.
회사는 경쟁사 대비 특장점으로 샌드박스 우회경로 탐지와 정확성, 빠른 속도를 강조했다. 자체 분석엔진으로 파일을 스캔하고 분석 파일이 슬립(Sleep) 상태일 때는 강제 실행해 슬립 콜과 타임 트리고 공격에 대응한다는 설명이다. 네트워크와 이메일 파일 등 보안 장비를 하나로 묶은 올인원(All In One) 솔루션으로 시스템 구성을 단순화해 장비도입 가격 적정성을 확보했다.
한승철 엔피코어 대표는 “고도화된 랜섬웨어와 APT 공격은 기존 보안 전략만으로는 대응이 어렵다”며 “좀비제로는 네트워크와 엔드포인트를 아우르는 이중방어 시스템으로 효과적 방어를 제공할 것”이라고 말했다.
박정은기자 jepark@etnews.com
