■ APT 대응 솔루션 트러스와처

■ APT 대응 솔루션

클라우드 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진(DICA)의 세가지 엔진이 다차원으로 악성코드를 분석하고 탐지하는 것이 특징이다.

트러스와처는 기업 네트워크로 유입되는 파일 중 90% 이상을 차지하는 알려진 파일에 대해서는 클라우드 기반의 `안랩스마트디펜서(ASD)' 기술로 탐지하고, 나머지 10% 이하의 알려지지 않은 신ㆍ변종 파일은 가상 머신 상에서 행위 기반 및 동적 콘텐츠 분석 기술로 탐지한다.

특히 트러스와처는 행위 기반 분석 시 해당 파일의 행위만 분석하는 것이 아니라 해당 파일의 실행과 관련된 모든 연관 파일에 대한 시그니처 기반 악성 여부, 

평판 정보까지 복합적으로 검토한다. 

연관 파일에 대한 시그니처 기반 분석을 통해 악성 여부 판정부터 연관된 파일들이 접속하는 URL과 IP의 위험도, 평판 정보 및 종합적인 행위를 다차원적으로 분석하는 것이 트러스와처의 가장 큰 특징이다.

또 APT 방식 공격의 가장 두드러진 특징은 문서 파일과 같은 비실행형 파일을 사용한다는 것이다. 

이같은 비실행형 파일을 이용한 공격을 탐지하기 위해 트러스와처는 DICA를 탑재했다. 

DICA는 안랩의 악성코드 분석 노하우가 반영된 특허 기술로 가상 환경 내에서 문서 등 비실행형 파일을 직접 검증할 뿐만 아니라, 점차 국가별로 많이 사용되는 소프트웨어를 노리면서 국지전 양상을 띠는 비실행형 악성코드 탐지에 탁월하다.

 

마지막으로 트러스와처의 타 제품 대비 강점은 비실행형 악성코드 탐지하는 능력이 우수한 것 외에도 알려지지 않은 악성코드를 다운로드한 경우 신속하게 치료(삭제)까지 해준다는 점이다. 

타 제품은 치료(삭제)를 위해 파일을 외부로 전송해서 치료(삭제) 패턴을 업데이트하기 때문에 상대적으로 시간이 많이 소요된다. 

아울러 트러스와처는 수집된 파일을 정상-의심-알려진 악성코드-알려지지 않은 악성코드로 구분해서 보여준다. 

이로써 보안담당자가 의심스러운 모든 파일의 로그를 확인할 수 있도록 한다. 타 제품은 정상 또는 의심 파일을 알려주지 않는다.

http://www.dt.co.kr/contents.html?article_no=2013053002011060787002