APT(Advanced Persistent Threat) Solution

1. APT Solution 개념

이번에는 APT 공격에 대비하여 만들어진 APT Solution에 대해 알아보자. APT 공격을 막을 수 있는 솔루션이라서 이름이 저런건 아니다. 작정하고 몇 일. 몇 달을 정보수집하여 들어오는 APT공격은 사실 방어하기 어렵다.

 

보통 APT공격을 할 때는 알려지지 않은 악성코드, 제로데이 취약점 등을 이용해서 들어온다.

즉, 기존에 시그니쳐가 존재하지 않는 생전 처음보는 방법으로 공격이 들어온다는 말인데..

 

APT Solution 이라는 말이 여기에 입각하여 나온 것이다.

완전 처음보는 수상한 놈들을 탐지하고 분석하는 솔루션 정도로 이해하면 쉬울 것 같다.

 

로컬에서 위협을 탐지하는게 안티바이러스라면, 네트워크 라인 가운데서 안티바이러스 역할을 하는? 것이라고 보면 될 것 같음

 

APT 솔루션들은 기존의 안티바이러스 제품들과 구동하는 것이 비슷한데, 비슷하면서도 좀 다르다.

비슷한 기능을 하기 때문에 보통 네트워크 흐름 상에 존재하는 안티바이러스 솔루션 이라고 말하기도 한다.

 

대표적으로 Ahnlab의 MDS, PaloAlto 방화벽의 WildFire 모듈, FireEye 등이 있다. 

 

2. APT Solution 구성

 

그림(안랩 공홈에서 MDS 관련 그림 가져옴)에서 보는 것처럼 트래픽 중간에 끼어들어 알려지지 않은 위협에 대해 

탐지/분석, 대응하는 과정이다. APT Solution의 동작방식은 기존의 안티바이러스와 조금 상이하다.

 

신규 악성코드나 익스플로잇이 감지되면 의심 파일을 샌드박스(가상머신)환경에 실행시켜 보고 어떻게 동작하는지 분석한 다음 악성인지 아닌지 판별한다.

 

만약 악성이라면 새로운 시그니쳐를 생성해 기존의 솔루션들이 새로운 위협에 대응할 수 있도록 해준다. 이 작업들을 네트워크 흐름 가운데 진행하는 것.

이런 점들이 기존의 안티바이러스와 다르다.

 

 

참고 URL : http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=68