close

팔로알토 “보안 위협, 선제 방어로 대응”

가 +
가 -

“앞으로의 보안 전략은 ‘프리벤션’이 중요합니다. 네트워크 환경에서 어떤 애플리케이션을 누가, 언제 사용하고 있는지, 중요한 데이터가 어디 있는지를 알고 이에 맞춰 대응하는 전략이 필요합니다.”

김병장 팔로알토네트웍스코리아 기술부 전무는 차세대 보안 전략으로 ‘프리벤션(선제 방어)’을 강조했다. 날이 갈수록 치밀해지는 보안 공격 앞에 방패 전략도 중요하지만, 때에 따라선 미리 선제 대응할 수 있는 창과 같은 보안 대응도 필요하다고 설명했다.

“침입을 탐지하고 사고에 대응하고, 취약점을 분석하는 일도 중요하지만, 사전에 보안 위협을 파악해서, 알려지지 않은 악성코드 공격으로부터 서비스를 지키는 일도 중요합니다. 팔로알토네트웍스에서는 선제 방어 전략을 통해 알려지지 않은 악성코드 공격도 고객으로부터 수집한 데이터를 바탕으로 5분 안에 대응 방안을 마련해 전체 고객에게 전달합니다.”

김병장 팔로알토 네트웍스 코리아 기술부 전무

김병장 팔로알토 네트웍스 코리아 기술부 전무

김병장 전무는 선제 방어를 계정 탈취 방지 기능을 비롯해 새로운 기능 70여가지를 담은 차세대 보안 플랫폼 운영체제 최신 버전 PAN-OS 8.0을 2월2일 소개했다. 이와 함께 최신 운영체제 PAN-OS 8.0을 기반으로 차세대 방화벽 6종과 가상 방화벽 3종을 새롭게 공개했다.

팔로알토네트웍스가 이번에 새롭게 발표한 제품은 멀티 클라우드 환경에 대한 보안 강화 및 가상 방화벽 VM 시리즈 3종, 차세대 보안 플랫폼 기반의 선제 방어를 위한 70여가지 신기능, 멀티팩터 인증을 통한 계정 탈취 방지, 폭넓은 성능 옵션과 네트워크 가시성을 보장하는 방화벽 신제품으로 이뤄져 있다.

팔로알토 네트웍스 보안 전략 : 선제 방어

팔로알토 네트웍스 보안 전략 : 선제 방어

최원식 팔로알토네트웍스코리아 대표는 “사이버 공격의 복잡성이 크게 증가하는 것은 물론 공격의 규모 또한 급격히 팽창하고 있는 상황에서 기존 제품과 포인트 제품으로는 광범위한 위협들에 효과적으로 대응하기가 더욱더 어려워지고 있다”라며 “팔로알토네트웍스는 플랫폼 방식의 접근법을 통해 고객들이 총체적인 보안 전략을 마련할 수 있도록 지원하기 위해, 역사상 가장 방대한 업데이트를 실시한 만큼, 퍼블릭과 프라이빗, 하이브리드 클라우드는 물론 소프트웨어 클라우드 서비스(SaaS) 애플리케이션 등 전체를 아우르는 지속적인 가시성과 효율적인 운영에 대해 새로운 기준점을 제시하며 시장에 새로운 반향을 가져올 것으로 기대한다”라고 신제품 출시 소감을 밝혔다.

퍼블릭부터 SaaS까지…클라우드 보안 강화

“오픈스택부터 시작해서 AWS, 애저와 같은 퍼블릭 클라우드 도입을 검토하는 기업이 늘고 있습니다. 드롭박스, 깃허브 같은 SaaS를 빌려 쓰는 기업도 많지요. 그래서 팔로알토 네트워크에선 프라이빗, 퍼블릭, SaaS 환경에 동일하게 보안을 적용할 수 있는 솔루션과 클라우드 환경에서 늘어나는 네트워크 기능을 감당할 수 있는 제품을 선보이게 됐습니다.”

김병장 전무는 VM-50, VM-500, VM-700 등 가상 방화벽 신규 모델은 총 3종을 소개하면서 200Mbps에서 최대 16Gbps로 업계에서 가장 폭넓은 성능 옵션을 제공한다고 설명했다.

이번에 팔로알토네트웍스가 선보인 새로운 VM 시리즈는 클라우드 환경에서도 예측 가능한 성능을 보장하며 선제 방어 기능을 제공한다. 가상 원격 오피스는 물론 데이터센터, 서비스 공급업체 등 다양한 곳에서 활용할 수 있을 것으로 기대하고 있다.

또, 팔로알토네트웍스는 탐지-대응 방식, 클라우드에만 집중된 보안 기능, 사일로 형태의 포인트 제품 등 전통적인 보안 전략 및 제품들의 한계를 극복하기 위해 팔로알토 네트웍스 VM 보안 상태를 API로 제공한다. 그 결과 각 클라우드 서비스 환경과 팔로알토 VM 제품에서 네트워크, 엔드포인트, 클라우드 환경 전체를 살펴볼 수 있다.

MS 애저와 AWS 등 팔로알토 VM 제품에서 네트워크, 엔드포인트, 클라우드 환경 전체를 살펴볼 수 있다

MS 애저와 AWS 등 팔로알토 VM 제품에서 네트워크, 엔드포인트, 클라우드 환경 전체를 살펴볼 수 있다

특히 AWS가 지난해 선보인 ‘네이티브 클라우드 워치’ 기능으로 AWS 가상 머신 상태와 팔로알토 VM 시리즈 네트워크 상태 보안까지 한꺼번에 살펴볼 수 있다. 팔로알토 네트웍스는 이런 기능을 점차 확대 적용한다는 방침이다.

김병장 전무는 “기존에는 클라우드 환경이 모듈화되면서 오케스트레이션과 관리가 분리되어 있었으나, 이번에 이를 통합하는 과정을 진행했다”라며 “네이티브 클라우드 서비스 통합을 통해 물리 환경의 보안 모델을 아마존웹서비스(AWS), 마이크로소프트 애저 및 기타 클라우드에 동일하게 적용할 수 있도록 지원한다”라고 설명했다.

회피·자동화 기술로 선제 방어 체제 마련

팔로알토네트웍스는 이번에 차세대 보안 플랫폼 운영체제를 ‘PAN-OS 8.0’를 판올림하면서 샌드박스 회피 기술 차단, 커맨드앤컨트롤 시그니처 자동화, 위협 인텔리전스의 자동 통합 등 다양한 기능을 추가했다.

김병장 전무는 “최근 샌드박스를 회피할 수 있는 악성코드 공격이 등장하고 있다”라며 “오픈소스가 아닌, 100% 자체 제작한 하이퍼바이저 및 베어메탈 분석 환경을 제공하는 와일드파이어를 통해 회피형 공격을 자동으로 탐지하고 차단한다”라고 설명했다.

와일드파이어는 공격을 탐지하는 클라우드다. 악성코드로 의심되는 파일을 감지하면, 파일 상태를 분석한다. 파일 형태, 패키징 형태, 파일 이름, 인증서가 있는지 등 파익 특징을 파악한다. 여기에 머신러닝을 이용해 빠르게 파일 정보를 수집한다.

김 전무는 “팔로알토네트웍스는 지난해 4월부터 머신러닝 기법을 이용해 악성코드를 분석하고 있다”라며 “이렇게 1차적으로 분석한 내용을 바탕으로 ‘다이내믹 분석’을 통해 악성코드 자체를 실행해 본다”라고 덧붙였다.

팔로알토네트웍스는 악성코드 자체 특징을 파악하기 위해 악성코드를 구동시켜 본 다음 ‘베어메탈 분석’을 통해 실제 고객 환경과 비슷한 환경에서 어떻게 작동하는지 정보를 파악한다. 이렇게 얻은 정보를 바탕으로 고객 보안 환경을 강화한다.

와일드파이어 작동 방식

와일드파이어 작동 방식

커맨드앤컨트롤 서버(명령제어)를 통한 악성코드 공격도 빼놓지 않았다. 커맨드앤컨트롤 시그니처 자동화를 통해 페이로드 기반 시그니처 엔진을 제공한다. 경쟁 업체와 달리 사람이 URL이나 IP, 도메인을 수집해 정보를 관리하는 게 아니라 자동화 과정을 통해 커맨드앤컨트롤 서버를 통한 공격 정보를 수집한다. 단순히 해킹이 어떻게 이뤄졌는지만을 파악하는 데 그치지 않고, 해킹을 통해 어떤 공격을 하려는지 등과 같은 지령 정보를 파악하는 과정을 자동화 하면서 악성코드에 대응하는 속도를 높였다.

위협 인텔리전스 프로세싱 프레임워크인 ‘마인멜드’를 위협 인텔리전스 서비스인 ‘오토포커스’에 통합한 점도 이번 업데이트에서 눈에 띄는 대목이다.

마인멜드와 오토포커스 작동 방식

마인멜드와 오토포커스 작동 방식

김병장 전무는 “와일드파이어 위협 인텔리전스 DB를 통해 습득한 위협 사례를 마인멜드와 통합해 서드파티 환경에서도 보안 위협 환경에 대응할 수 있게 돕는다”라며 “오토포커스를 이용하면 보안 운영팀에서 여러 가지의 데이터 피드를 손쉽게 취합하고 모든 위협 인텔리전스에 빠르게 적용할 수 있도록 돕는다”라고 말했다.

그 외에도 팔로알토네트웍스는 네트워크 보안 관리 플랫폼 ‘파노라마’와 더불어 지능형 엔드포인트 보안 솔루션 ‘트랩스’ 로그, 방화벽 로그를 통합해 공격 지표 간 상관관계를 분석하고 차세대 방화벽 액션 업데이트를 자동화해 공격자의 이후 행동을 차단하는 기능을 추가했다.

멀티팩터 인증으로 계정 탈취 막는다

팔로알토네트웍스는 차세대 보안 플랫폼에 계정 기반 공격 차단 기능을 새롭게 추가했다. 와일드파이어를 통해 의심스러운 요청을 확인하고, 피싱 사이트를 탐지하고 차단한다.

“의심스러운 요청을 ‘와일드파이어’로 전송해 머신러닝 기반으로 분석을 합니다. 약, 5분 안에 걸쳐 공격을 파악하고, 이 정보를 DB에 새로이 추가합니다. 피싱 사이트로 판명되는 경우 PAN-DB에서 피싱 URL 카테고리를 자동으로 업데이트 후 사이트를 차단하고 사용자가 접근하지 못하도록 막습니다.”

계정 정보가 탈취 당했을 때, 방어하는 시나리오

계정 정보가 탈취 당했을 때, 방어하는 시나리오

5분 안에 사용자가 계정을 유출하면, 방화벽에 사용자 아이디를 통합하는 식으로 피싱 사이트에서 사용자 계정을 이용하지 못하게 막는다. 사용자가 인지하지 못한 채 인증되지 않은 사이트에 사용자 이름과 비밀번호를 입력하려고 하는 경우 방화벽 정책에 따라 경보 발령 후 트래픽을 차단하고, 기업 계정이 전송되는 것을 차단하는 식이다.

그 외에도 차세대 방화벽은 정책 기반의 멀티팩터 인증 프레임워크를 제공한다. 이는 팔로알토네트웍스만의 새로운 기술로 싱글사인온 및 멀티팩터 인증 등의 인증 및 계정 관리 프레임워크를 네트워크 단에서 통합했다. 그 결과 사이버 공격자들이 탈취한 계정이 보안이 손상된 네트워크 환경에서 민감한 정보에 접근하는 것을 방화벽 환경에서 차단한다.

CTL-infographic-r7-kt

네티즌의견(총 0개)