체크포인트, “CPU단에서 악성코드 막는다”

가 +
가 -

“체크포인트는 혁신을 통해 보안업계 지형을 재정의하겠습니다.”

오세호 체크포인트코리아 지사장은 올해 한국 시장에 박차를 가할 계획이라고 발표했다. 3월19일 오전 서울 강남구 파크하얏트 호텔에 마련한 기자간담회 자리였다.

오세호 체크포인트코리아 지사장

▲오세호 체크포인트코리아 지사장

체크포인트는 방화벽으로 유명한 보안회사다. 시장조사 회사 가트너가 조사한 바에 따르면 2014년 3분기 기준으로 방화벽 장비 시장 가운데 21.9%를 차지했다.

오세호 지사장은 보안 위협이 고도화되고 늘어나고 있다고 지적하고, 체크포인트가 제공하는 3가지 솔루션이 이런 문제에 답이 될 수 있다고 얘기했다. 지능형지속위협(APT)을 CPU단에서 막는 ‘스렛에뮬레이션’, 문서 보안 솔루션 스렛익스트랙션과 모바일 보안 솔루션 ‘캡슐’이다.

샌드박스형 방어론 시간 오래 걸려 한계

체크포인트는 지난 1월 하이퍼와이즈를 인수했다. 하이퍼와이즈는 컴퓨터 중앙처리장치(CPU) 수준에서 악성코드가 작동하는지 확인하고 차단하는 기술을 개발했다. 이는 샌드박스형 APT 방어 솔루션인 스렛에뮬레이션에 들어갔다.

기존 샌드박스형 APT 방어 솔루션에는 근본적인 문제가 있었다. 샌드박스란 방화벽과 외부 네트워크 사이에 가상 컴퓨터 환경을 만들어두고 오가는 파일을 실행해 악성코드인지 확인하는 기법을 뜻한다. 왕이 수라를 들기 전에 찍어먹어보는 기미상궁 같은 역할을 하는 셈이다. 직접 파일을 실행해보니 많은 악성코드를 걸러낼 수 있지만, 다양한 가상 환경을 만들어두고 파일을 모두 실행해봐야 하기 때문에 모든 운영체제(OS)에 대응하기 힘들고 시간이 오래 걸린다는 문제가 있었다.

체크포인트 APT 대응 솔루션 스렛에뮬레이션에서 하이퍼와이즈 기술이 CPU단에서 악성코드를 차단하는 원리 (체크포인트 제공)

▲체크포인트 APT 대응 솔루션 스렛에뮬레이션에서 하이퍼와이즈 기술이 CPU단에서 악성코드를 차단하는 원리 (체크포인트 제공)

체크포인트는 이런 한계를 극복하려고 프로그램을 실행하는 CPU단에서 해결책을 찾았다. 컴퓨터 프로그램은 일종의 명령어 덩어리다. 그 명령어는 CPU가 실행한다. C나 자바 등 어느 프로그램 언어로 만든 프로그램이라도 CPU가 이해할 수 있는 저급 언어(어셈블리어)로 번역돼 CPU에게 전달된다. 악성코드도 컴퓨터 프로그램의 일종이다. CPU는 어쨌든 어셈블리언어로 번역된 컴퓨터 프로그램을 실행한다.

체크포인트는 인텔이 제공하는 CPU 디버깅 모드를 이용해 CPU가 실행하는 작업 목록을 들여다본다. CPU에 전달된 명령어 중에 비정상적으로 작동하는 명령어가 숨어 있다면 이를 악성코드로 보고 차단한다. OS 쉘코드를 건너뛰거나 기존에 참조하지 않던 메모리에 접근하는 비정상적인 명령을 원천적으로 차단한다고 한승수 체크포인트코리아 부장은 설명했다. 한승수 부장은 CPU단에서 악성코드를 원천적으로 차단하기 때문에 오탐지율이 줄고 탐지 속도가 빨라진다고 말했다.

한승수 체크포인트코리아 부장

▲한승수 체크포인트코리아 부장

악성 문서 뿌리부터 막는다

이날 발표된 또 다른 프로그램은 문서 보안 솔루션 ‘스렛익스트랙션’이다. 해커가 악성코드를 뿌릴 때는 바이러스 백신이 잡기 쉬운 실행파일(exe) 대신 문서 파일을 쓴다. 겉보기엔 평범한 워드나 한글 문서 파일에 몰래 실행되는 악성코드를 묻혀 e메일에 첨부해 보낸다. 지난해 말 사회를 더들썩하게 만든 한국수력원자력 해킹도 이런 식으로 시작됐다.

체크포인트는 이런 문제를 해결하고자 문서 파일에서 동적 요소를 모두 걷어내는 솔루션을 내놓았다. 동적 요소란 매크로나 임베디드 요소, 외부 연결 링크 등이다. 문서 속에 들어 있지만 실행가능한 이런 요소를 걷어내고 결과물을 순수한 문서 파일로 만들어 보낸다. 동적 요소가 제거된 결과물을 만드는 데는 1초가 걸리지 않는다고 한승수 부장은 설명했다. 결과물은 PDF나 원본 문서 형식으로 전달된다. 그래서 위협 요소를 뽑아낸다는 이름이 붙었다. 체크포인트는 스렛익스트랙션을 이날 처음 공식적으로 국내에 선보였다.

스렛에뮬레이션과 스렛익스트랙션은 체크포인트가 제공하는 방화벽에 실려 작동한다.

모바일 업무 환경도 보안 솔루션으로

캡슐은 이름처럼 모바일 환경을 둘러 싸고 사용자를 보호하는 종합 보안 솔루션이다. 모바일 기기에서 업무를 보는 환경을 분리하고 체크포인트가 제공하는 보안클라우드와 문서 암호화 등 기술을 적용해 모바일 업무 환경을 보호한다.

“올해 한국 시장 적극 공략”

체크포인트가 방화벽 시장을 이끄는 회사기는 하지만 최근 국내 활동은 미미했다. 오세호 지사장이 2014년 10월 부임했지만 공식석상에 나선 건 5개월 만이다. 오세호 지사장은 그동안 조직을 개편하는 등 내실을 다지는데 힘쓰다보니 공식 활동이 늦었다고 설명했다.

오세호 지사장은 올해 체크포인트코리아 직원을 7명에서 13명으로 2배 가까이 늘리고 공격적인 마케팅을 벌여 매출을 2배 키우겠다고 자신했다. 경쟁사에 비해 지지부진했던 영업에 박차를 가하고 보완된 APT 대응 솔루션을 통해 방화벽 시장 바깥에 진출하겠다는 노림수다.

오 지사장은 고객사에 무상으로 보안 상황을 진단하고 개선 가이드를 제공하는 마케팅 프로그램을 운영할 계획이라고 발표했다. 한층 더 전문적인 진단을 원하는 고객사에는 체크포인트가 3~4일 동안  전문가를 파견해 고객과 만나고 문제점을 진단하고 개선 방안을 제공하는 시큐리티 워크숍에 참가해도 된다. 이 프로그램도 역시 무상이다.