팔로알토 네트웍스는 지능형 차세대 엔드포인트 보안 솔루션 ‘트랩스(Traps™)’의 새 버전을 출시했다고 밝혔다. 팔로알토 네트웍스는 새롭게 출시된 트랩스 4.0을 통해 멀웨어 및 익스플로잇 차단 기능을 강화하는 한편 맥OS(macOS™) 및 안드로이드(Android™) 등 다양한 운영체제를 지원한다.
트랩스는 알려지거나 알려지지 않은 멀웨어와 더불어 엔드포인트를 공격한 바 있는 익스플로잇을 차단하는 다중 보안 정책을 사용함으로써, 의료정보보호법 (HIPPA) 및 신용카드 업계 정보보호 표준 (PCI DSS)을 준수해야 하는 기업들이 안티바이러스(AV) 제품에 대한 대안으로 안전하게 활용할 수 있는 제품이다.
최근 엔드포인트 보안에 대한 투자가 증가하고 있음에도 불구하고 해커들의 공격 성공률은 더욱 빠르게 높아지고 있다. 레거시 AV 제품 및 차세대 AV 포인트 솔루션들의 경우, 이러한 격차를 메우기 위해 노력하고 있으나, 단순히 유효하지 않은 멀웨어 탐지 기술을 다른 기술로 교체하는데 그칠 뿐, 익스플로잇과 알려지지 않은 멀웨어를 식별하고 차단하기 위한 지능형 기술은 확보하고 있지 못한 상태이다.
차세대 보안 플랫폼을 보유한 팔로알토 네트웍스는 이러한 시장의 한계를 극복하기 위해 트랩스의 기능을 한층 강화했다. 트랩스 4.0은 맥OS 및 안드로이드를 지원하며, 랜섬웨어와 지능형 공격을 식별하고 차단하도록 설계된 여러 가지 보안 모듈을 추가했다.
또한 네트워크 보안 관리 플랫폼 파노라마(Panorama™)를 통해 수집된 위협 인텔리전스를 바탕으로 엔드포인트, 방화벽, 클라우드, SaaS 애플리케이션 전체에 대한 보안을 강화할 수 있다.
IDC의 글로벌 보안 제품 담당 연구원 프랭크 딕슨(Frank Dickson)은 “시그니처 기반의 엔드포인트 보안 제품들은 엔드포인트를 노리는 새로운 유형의 사이버 공격들을 효과적으로 보호하기 어렵다. 최초 감염(patient zero)으로 부터 심각한 문제가 발생하게 되는 만큼, 새로운 접근법을 취해야만 하는 상황이다. 기반 설계에서부터 최신 엔드포인트 보안 요구를 모두 해결할 수 있도록 고안된 팔로알토 네트웍스의 트랩스는 독립적인 솔루션으로써, 혹은 통합 보안 에코시스템의 일부로써 차세대 보안 플랫폼과 연동해 모두 활용이 가능하다는 장점이 있다. 모던 엔드포인트 보안 위협에 대한 새로운 접근 방식을 고민하는 기업들에게 명확한 해답을 줄 수 있는 제품이다”고 말했다.
트랩스 4.0의 새롭게 추가된 주요 기능은 다음과 같다.
•맥OS 및 안드로이드(베타) 지원: 다중 보안 방식을 통해 레거시 AV 제품을 대체할 수 있도록 맥OS를 지원하며, 안드로이드 기기의 경우 커뮤니티 베타 프로그램을 통해 지원한다.
•악성 매크로 차단: 랜섬웨어 및 지능형 공격에 자주 쓰이는 매크로 기반 공격으로부터 엔드포인트를 보호한다. 특히 마이크로소프트 오피스 (Microsoft® Office) 문서에 삽입된 알려지거나 알려지지 않은 악성 매크로를 우선적으로 차단한다.
•스크립트 기반 공격 예방: 브라우저 및 오피스 애플리케이션과 같은 취약한 프로세스가 파워셸(PowerShell) 및 스크립트 엔진과 같은 민감한 툴에서 시작하지 않도록 한다.
•익스플로잇 킷 핑거프린트 보호: 취약한 엔드포인트를 식별하여 공격하려는 해커들의 프로파일링 툴을 차단한다.
•커널 권한 에스컬레이션 보호: 운영체제 자체를 노리는 지능형 공격을 차단한다.
팔로알토 네트웍스 코리아 최원식 대표는 “트랩스는 기존의 안티 바이러스 기술에 의존하는 경우 직면하게 되는 위협을 선제적으로 방어할 수 있도록 설계됐다. 다양한 공격 채널에 대한 커버리지를 높여 지능엔드포인트 보안의 새로운 기준을 제시함으로써, 랜섬웨어 및 새로운 보안 위협들에 대한 선제 방어 전략을 강화할 수 있도록 지원할 계획이다”고 말했다.
한편 팔로알토 네트웍스는 최근 대규모 감염사태를 일으킨 랜섬웨어 워너크라이(WanaCrypt0r)의 실행을 차단하도록 업데이트를 실시했다. 트랩스 사용자들은 별도의 정책 및 구성 변경 없이 ∙워너크라이(WanaCrypt0r) 랜섬웨어로부터 보호될 수 있다. 구체적인 차단 방식은 다음과 같다.
•로컬 분석 및 기계 학습: 로컬 분석 멀웨어 방지 접근 방식을 통해 워너크라이(WanaCrypt0r)의 새로운 변종이 엔드포인트를 손상시키기 전에 이러한 변종의 실행을 차단한다. 로컬 분석에서 바이러스 패턴을 사용하지 않기 때문에, 트랩스 사용자들은 별도로 이 기능을 비활성 시키지 않은 한, 이 랜섬웨어 공격이 처음 보고되기 전에 이미 해당 멀웨어가 차단된 보안 상태를 유지하고 있다.
•와일드파이어 검사 및 분석: 로컬 분석과 결합된 트랩스는 검사 및 분석을 위해 알 수 없는 실행 파일을 와일드파이어에 자동으로 제출한다. 이후 단 5분 안에 새로운 보호 컨트롤을 자동으로 만들어 트랩스 및 팔로알토 네트웍스 차세대 보안 플랫폼의 다른 구성 요소들과 공유한다. 이를 통해 워너크라이(WanaCrypt0r)의 새로운 변종 및 알려지지 않은 변종은 물론 다른 멀웨어도 식별할 수 있다.
•실행 제한: 이 제한 방법은 표적 시스템의 임시 폴더에서 생성되는 멀웨어 프로그램이 워너크라이(WanaCrypt0r)에서 실행되는 것을 막을 수 있다. 실행 제한은 기본적으로 사용할 수 있는 와일드파이어 및 로컬 분석 방지 방법을 보완하는 추가적인 보호 계층 역할을 할 수 있다.
팔로알토 네트웍스 제품 관리 총괄 리 클라리치(Lee Klarich) 수석 부사장은 “트랩스는 이전에 등장한 적이 없었던 새로운 유형의 공격은 우선적으로 차단하는 고유의 접근법을 취하고 있다. 새 버전을 통해 맥OS 및 안드로이드 기기에 대한 보안을 확대하고, 매크로 및 스크립트 기반 공격의 차단, 핑거프린트 기술, 커널 권한 에스컬레이션 등의 새로운 기능을 추가한 만큼 엔드포인트에 대한 견고한 보안을 지원할 계획이다. 팔로알토 네트웍스는 기업에 침투할 수 있는 모든 포인트를 노리는 광범위한 지능형 공격과 새롭게 등장하는 위협들이 공격에 성공하지 못하도록 강력한 보안 플랫폼을 제공한다”고 말했다.