카스퍼스키랩은 클라우드에서 알려지지 않은 신종 위협을 분석하는 ‘카스퍼스키 클라우드 샌드박스’를 출시한다고 20일 밝혔다. 이 서비스는 카스퍼스키 위협 인텔리전스의 일부로 제공되며, 서브스크립션 구매 방식으로 이용할 수 있다. 파일 행동에 대한 전체 보고서를 제공하여 고객이 가상 환경에서 의심스러운 파일을 제거할 수 있도록 지원하며 기업의 IT 시스템이 위험해질 염려 없이 사건 대응 및 사이버 보안 포렌식을 효과적으로 수행할 수 있도록 설계됐다.
합법적 소프트웨어의 결함을 악용하는 방식은 악성 활동을 신뢰할 수 있는 프로세스 뒤에 쉽게 숨길 수 있어 2017년 사이버 범죄자들에게 유용한 수단이 됐다. 그런 은닉 기술을 사용하는 악성 코드는 숙련된 사이버 보안 팀이라도 100% 탐지를 확신할 수 없다.
완벽하게 탐지하려면 샌드박스를 비롯한 지능형 탐지 기술을 갖추어야 하지만 하드웨어에 상당한 투자가 필요한 경우가 많기 때문에 대다수 IT 보안 팀에서는 실현하기 어려운 것이 현실이다. 클라우드 샌드박스는 지능형 탐지와 포렌식 기능이 위협 인텔리전스 포털 내 서비스로 제공되므로 사이버 보안 팀은 큰 예산을 투자하지 않고도 고급 기술을 이용할 수 있다.
이 서비스로 사이버 보안 팀과 SOC 전문가들이 악성코드의 동작과 설계에 대한 상세 정보를 입수하여 아직 보고되지 않은 새로운 표적형 사이버 위협까지 탐지할 수 있을 것으로 기대된다.
고급 회피 방지 기술 탑재
악성 코드를 유인해 그 위험성과 기능을 밝혀내려면 샌드박스 기술에 고급 회피 방지 기술이 포함되어 있어야 한다. 특정 소프트웨어 환경에서만 실행되도록 개발된 악성 프로그램은 ‘아무 활동이 없는’ 가상 머신에서는 실행되지 않고 대부분 실마리를 남기지 않은 채 자폭할 가능성이 크다.
이를 방지하기 위해 클라우드 샌드박스는 윈도우 버튼 클릭, 문서 스크롤, 악성 코드가 정체를 스스로 드러내도록 하는 특수 루틴 프로세스를 사용하고 사용자 환경 매개변수를 무작위로 지정하는 등 다양한 에뮬레이션 기법을 적용한다. 또한 의심스러운 파일을 사용자가 직접 또는 자동으로 검사할 수 있다.
로깅 시스템으로 완벽한 위장도 파악
악성 코드 중 한 조각이라도 파괴적인 활동을 실행하기 시작하면 로깅 서브시스템이 악성 동작이 확장되지 않도록 차단한다. 예를 들어 어떤 워드 문서에서 컴퓨터 메모리에 문자열을 작성하거나 셸 명령을 실행하거나 페이로드를 드롭하는 등 텍스트 문서에 해당되지 않는 비정상적인 활동이 시작되면 해당 이벤트가 클라우드 시큐리티의 로깅 서브시스템에 등록된다. 이 로깅 서브시스템에는 DLL, 레지스트리 키 등록, 수정, HTTP·DNS 요청, 파일 생성, 삭제, 수정 등의 광범위한 악성 이벤트를 탐지할 수 있는 기능이 있다. 이벤트가 등록된 후에는 고객이 읽을 수 있는 형식의 샌드박스 로그를 비롯해 데이터 그래프와 스크린샷이 포함된 전체 보고서가 고객에게 제공된다.
최고 수준의 탐지·대응 성능
클라우드 샌드박스의 탐지 성능에는 카스퍼스키 시큐리티 네트워크(KSN)의 실시간 위협 인텔리전스 빅데이터가 지원되기 때문에 고객은 알려진 위협은 물론 신종 위협까지도 실시간으로 상태 정보를 제공받을 수 있다. 카스퍼스키랩의 위협 연구 경험에서 탄생한 고급 동작 분석 기능에 힘입어 이전에는 발견된 바 없는 악성 개체 또한 효과적으로 탐지할 수 있다.
이러한 고급 탐지 기능뿐 아니라 위협 인텔리전스 포털에서 다양한 서비스를 제공하기 때문에 SOC 전문가와 연구진은 사건 대응 활동의 범위를 넓히고 보다 심층적으로 사건을 조사할 수 있을 것이다.
디지털 포렌식이나 사건 대응 업무 수행 시 사이버 보안 담당자가 URL, 도메인, IP 주소, 파일 해시, 위협의 이름, 통계/동작 데이터, WHOIS/DNS 데이터에 대한 최신 위협 인텔리전스 정보를 수신하고 해당 정보를 클라우드 샌드박스에서 분석한 샘플로 생성된 IOC와 연결하여 분석할 수 있다. 고객의 보안 운영에 카스퍼스키랩의 인텔리전스 및 솔루션을 자동으로 통합하는 API도 제공되기 때문에 사건 대응 역량을 쉽고 빠르게 향상시킬 수 있다.
이창훈 카스퍼스키랩코리아 지사장은 “오늘날 사이버 범죄의 위협을 받는 기업이 늘어나면서 신속한 사건 대응과 디지털 포렌식의 필요성이 어느 때보다 커졌다. 글로벌 위협 인텔리전스 포털에 클라우드 샌드박스를 새롭게 추가해 이러한 어려움이 상당 부분 해소될 것”이라며 “사이버 보안 연구원들과 SOC 팀은 이 서비스를 이용해 IT 인프라를 위험에 빠뜨리는 일 없이 파일 동작에 대한 정보를 얻을 수 있다”고 말했다.
