포티넷 코리아(대표 최원식 www.fortinet.co.kr)는 지능형지속위협에(APT)에 대응하기 위해 강력한 성능을 제공하는 ‘포티샌드박스-3000D(FortiSandbox-3000D)<사진> 어플라이언스를 출시한다고 21일 밝혔다.

공개된 샌드박스는 포티넷의 차세대방화벽(NGFW) 제품 포티게이트(FortiGate) 및 포티메일(FortiMail) 이메일 게이트웨이 어플라이언스와 통합한 제품이다.

이를 통해 단일 장비 내에서 듀얼-레벨(Dual-level) 샌드박스, 동적 위협 감지(Dynamic threat intelligence), 실시간 대시보드 및 풍부한 리포팅 등 기능을 제공한다.

포티넷의 차세대방화벽은 네트워크 가장 앞 단에서 스캐닝과 위협 완화를 통해 네트워크를 보호하는 역할을 담당한다.

해당 방화벽과 포티샌드박스를 함께 사용할 경우 의심스러운 파일이나 고위험(high Risk) 파일에 대한 지능화된 탐지 및 검사 기능을 제공하며 이후 검사가 끝난 공격의 활동주기(lifecycle)를 기반으로 보안 정보를 업데이트한다.

또한 최신 포티메일 5.1 버전을 탑재한 포티넷 이메일 게이트웨이 제품과 함께 사용할 경우 이메일 상에서 의심스러운 파일이나 고위험 파일을 탐지할 수 있어 의심 파일 발견 시 해당 파일을 포티샌드박스로 전달해 지능화 검사 실시한다.

◆‘포티샌드박스-300D’ = 포티샌드박스-3000D는 어떠한 네트워크 설정 변경 없이도 온-프리미스(On-Premise)로 구축이 가능하다.

아울러 포티샌드박스는 프로토콜과 기능 전반에 걸쳐 차별화된 위협 탐지 및 인텔리전스 서비스를 단일 고성능 장비에 통합했다.

그 핵심에는 듀얼-레벨 샌드박스를 탑재해 보다 지능화된 검사가 요구되는 증가하는 가상 환경(VM) 회피 기술과 정교한 공격에 보다 효과적으로 대응한다.

IDC 보안 제품부서 존 그래디(John Grady) 연구 담당자는 “대부분의 숙련된 해커들은 기존의 안티-멀웨어 솔루션을 우회하는 기술을 통해 네트워크 상에서 지속적으로 상주가 가능한 공격을 시도한다”라며 “이렇게 고도화된 타깃 공격은 파일 압축 및 암호화, 폴리모피즘(Polymorphism) 등 다양한 방법을 통해 시그니처 기반의 보안 솔루션을 회피한다. 또한 일부 변종 악성코드는 스스로 가상 환경을 탐지해 해당 환경 속에서는 작동하지 않아 탐지가 더욱 어렵다”라고 밝혔다.

그는 이어 “최근 사이버 위협에 대응하기 위해서는 기존의 안티-멀웨어 및 가상 샌드박스, 별개의 모니터링 시스템 등을 능가하는 보다 총체적이고 통합적인 접근이 요구되며, 포티샌드박스가 이에 적합한 제품이다”라고 강조했다.

포티샌드박스 핵심 기능은 우선, 동적 안티멀웨어 및 업데이트/클라우드에 대한 쿼리가 가능하다는 점이다.

포티가드랩에서 실시간 업데이트를 제공받고 자체 검사 대기열에 있는 파일은 실시간 포티가드랩에 전송해 현존하는 위협과 최신 위협에 보다 지능적이고 즉각적인 탐지가 가능하다.

이어 코드 에뮬레이션(Code Emulation), 즉 샌드박스 회피 기술을 보유했거나 특정 소프트웨어 버전에서만 작동하는 지능형 악성코드에 실시간으로 경량의 샌드박스 검사를 수행한다.

고위험 코드나 의심스러운 코드에 대한 분석과 더불어 위협 요소의 완벽한 활동 주기 탐색을 위한 자체 런타임 가상화 환경을 제공한다.

이 밖에도 악성 사이트 방문 요청 및 C&C 서버와 통신, 외부 통제 징후가 의심되는 활동에 대한 네트워크 트래픽 감시, 별개의 독립 어플라이언스 없이도 보안 담당자가 악성코드 샘플을 자체적으로 업로드해 가상 샌드박스 분석이 가능하다는 게 포티샌드박스의 강점이다.

포티넷 마케팅 존 메디슨(John Maddison) 부사장은 “최근 APT 공격은 기존의 보안 탐지 기술을 우회하기 위해 정교한 회피 기술을 사용하고 있기 때문에 이러한 공격에 직접적으로 대응하고자 포티샌드박스 어플라이언스를 출시하게 됐다”고 밝혔다.

<김동기 기자>kdk@bikorea.net