상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가 3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데 더케이호텔서울 가야금홀에서 성황리 개최됐다.

이날 김대환 소만사 대표는 ‘효과적인 랜섬웨어 통제 방법(NGAV+PC 가상화)’를 주제로 키노트 강연을 진행했다. 주요 강연 내용은 다음과 같다.

회사 PC에는 너무나도 많은 보안 에이전트들이 설치되어 있다. 약 6~10개의 에이전트가 깔려있을 것이다. 엔드포인트 보안 에이전트의 과다한 설치는 다음과 같은 문제를 일으킬 수 있다. 부팅 시간은 지연되며, PC 성능은 저하된다. 후킹 장애로 인하여 블루스크린이 뜰 때도 있다.

의도적으로 충돌을 피하기 위해 회피기능을 탑재하게 된다면, 보안의 허점이 발생할 수도 있다. 각기 탐지하는 개인정보 패턴 탐지율이 달라 같은 파일을 검출하더라도 USB 매체제어 솔루션은 100의 주민번호를, 출력제어 솔루션은 200개의 주민번호를 탐지할 수도 있다.

모든 기능이 탑재된 싱글에이전트를 사용할 경우 위와 같은 문제는 사라진다. 부팅은 빨라지고, PC 성능은 가벼워진다. 하나의 프로세스로 움직이기에 후킹장애, 충돌회피의 문제에서 벗어나게 된다. 같은 제품이기에 개인정보 패턴 검출에도 일관성을 가질 수 있게 된다.

그렇다면, 싱글에이전트 통합 전략은 실현 가능성이 있는 기술일까? 소만사는 10여년 이상을 고민해왔다. 개인정보 검출/파기부터 매체통제, 빅데이터 검색엔진 개발, 맥OS 지원, 그리고 EDR까지 하나의 에이전트에서 일관된 정책 하에 보안이 가능하도록 개발해왔다.

소만사는 DLP를 넘어, EDR 시장에 안착했다. 바이러스 변종 대응, APT샌드박스 우회, 클라우드 시대의 도래로 인하여 기존 솔루션으로는 효과적으로 대응하기 어려워졌다.

패턴기반 차단방식인 안티바이러스는 가장 대중적인 보안 솔루션이지만 파일리스공격, 제로데이 어택, 신변종 바이러스 차단 부분에 있어서 실시간으로 대응하기에는 기술적인 한계가 있다.

파일리스 공격은 파일생성 시 나타나는 시그니처가 없어 패턴기반의 안티바이러스는 탐지자체가 불가능하다. 랜섬웨어는 끊임없는 변종을 통해 기업/기관을 공격하기에 행위기반 솔루션으로만 탐지할 수가 있다. 그렇다고 해서 패턴기반 차단방식을 등한시할 수 없다.

소만사는 행위기반 악성코드 동적분석과 함께 패턴기반 정적분석이 동시에 진행되는 방식을 선택했다. 이를 통해 패턴기반 엔진으로 1차 필터링, 행위기반 엔진으로 2차 필터링을 수행하여 더욱 정교한 보안위협을 탐지하여 기업과 기관을 보호하고자 한다.

EDR은 행위 기반으로 악성코드를 식별한다. 프로세스, 레지스트리, 파일생성 등 실제 행위정보를 토대로 수집하기 때문에 악성행위에 대한 정확도가 높다. 따라서 변종 식별능력과 제로데이 대응능력이 높은 편이다. 따라서 조직 내의 엔드포인트에서 발생하는 위협행위를 탐지하고 이에 대해 빠르게 대응할 수 있다. 보안 위협행위가 일어나면 자동으로 격리하거나 종료시킨다. 그럼에도 감염되는 경우, 파일백업과 자동복원이 가능하다. 랜섬웨어에 감염되어 파일이 손상되었을 때 자동으로 실시간 복구 기능을 제공하여 정상적인 파일로 복구시킨다.

소만사는 행위기반엔진과 패턴기반엔진이 통합된 ‘EDR’과 엔드포인트 보안 에이전트를 통합한 ‘싱글에이전트’ 솔루션으로 차별화하고자 한다. 개인정보/컨텐츠 분석기술을 토대로 주요정보부터 우선 식별하여 악성코드/랜섬웨어 감염부터 정보유출까지 모두 통제하고자 한다.

보다 상세한 내용은 아래 강연 영상을 참고하면 되고 강연 자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★