02Threat Prevention 솔루션 개요Threat Prevention 솔루션 개요
오늘날 멀웨어는 매일 시그니처를 바꿔 가며 기존 방어를 우회 합니다. 범죄자들은 하루가 멀다 하고 새 변종을 찍어 내고, 그 변종은 시그니처에 의존하는 제품을 손쉽게 빠져나갑니다. Check Point의 종합 Threat Prevention 솔루션은 이런 상황에 맞서 감염 전·후를 모두 아우르는 다층(multi-layered) 방어 를 하나의 통합 플랫폼으로 묶어, 기업 보안이 현대적인 멀웨어를 탐지하고 차단할 수 있게 해 줍니다. 이 장은 어떤 보호 기능들이 준비되어 있는지, 각 기능이 정확히 무엇을 어떻게 막는지, 그리고 그 기능들을 운영하는 두 가지 방식을 빠짐없이 정리합니다.
어떤 보호 기능이 있는가
Threat Prevention에는 다음 보호 기능들이 갖추어져 있습니다. 각 보호는 서로 다른 각도에서 위협을 막고, 악성 공격 데이터를 서로 공유 해 그물망을 더 촘촘하게 만듭니다.
- IPS — 악의적이거나 원치 않는 네트워크 트래픽을 종합적으로 막는 완전한 침입 방지(intrusion prevention) 솔루션입니다. 애플리케이션·서버의 취약점은 물론, 익스플로잇 킷과 공격자가 실제로 벌이는 in-the-wild 공격까지 초점을 맞춥니다.
- Anti-Bot & Advanced DNS — 감염된 뒤(post-infection)의 봇을 호스트에서 탐지 합니다. 봇이 C&C(Command and Control)와 주고받는 통신을 차단해 피해를 막으며, 사이버 범죄에 맞서는 협업 네트워크인 ThreatCloud 에서 끊임없이 업데이트를 받습니다. 이 블레이드는 여러 탐지 방법을 서로 연관 지어(correlate) 감염을 찾아냅니다.
- Anti-Virus — 게이트웨이에서 감염 전(pre-infection)에 멀웨어를 탐지·차단 합니다. 역시 ThreatCloud에서 끊임없이 업데이트되며, 여러 탐지 엔진을 연관 지어 사용자가 피해를 입기 전에 멀웨어를 막습니다.
- SandBlast — 아직 발견되지 않은 익스플로잇, zero-day, 표적 공격으로 인한 감염을 막습니다. 다음 기술들로 동작합니다.
- Threat Emulation — 파일을 빠르게 검사하고 가상 샌드박스에서 실제로 실행 해 악성 행위를 찾아냅니다. 발견된 멀웨어는 네트워크에 들어오지 못하게 차단하고, 에뮬레이션 서비스가 ThreatCloud에 보고해 새로 식별한 위협 정보를 다른 고객들과 자동으로 공유 합니다.
- Threat Extraction — 들어오는 악성 콘텐츠로부터 보호합니다. 파일에서 악용 가능한 콘텐츠(active content·임베디드 객체 등)를 제거 하고 파일을 재구성해 잠재적 위협을 없앤 뒤, 정제된(sanitized) 콘텐츠를 사용자에게 즉시 전달 해 업무 흐름이 끊기지 않게 합니다. 위협을 없애기 위해 안전한 사본을 만들어 두고, 원본은 따로 검사합니다.
- Zero Phishing — 업계 최고 수준의 머신러닝 알고리즘과 특허받은 검사 기술 로, 알려진 피싱은 물론 알려지지 않은 zero-day 피싱 공격까지 웹사이트에서 실시간으로 막습니다.
각 보호는 저마다 고유합니다. 하지만 이들이 결합하면 강력한 Threat Prevention 솔루션 이 됩니다. 악성 공격에서 얻은 데이터가 보호 기능들 사이에서 공유되어 네트워크를 더 안전하게 지켜 주기 때문입니다. 예를 들어, Threat Emulation이 찾아낸 위협의 시그니처가 ThreatCloud에 추가되면 다른 Threat Prevention 보호들이 그것을 곧바로 활용 합니다.
IPS
IPS 보호는 완전하고 선제적인 침입 방지를 제공합니다. 수천 개의 시그니처와 행위 기반·선제(preemptive) 보호 를 제공해, Check Point 방화벽 기술 위에 또 한 겹의 보안을 얹습니다. IPS는 클라이언트와 서버를 모두 보호 하며, 특정 애플리케이션의 네트워크 사용을 제어하게 해 줍니다. 하이브리드 IPS 탐지 엔진은 여러 방어 계층을 제공해, 알려진 위협은 물론 많은 경우 미래의 공격까지 탐지·차단 하는 뛰어난 능력을 발휘합니다. 또한 배치와 구성의 유연성, 그리고 우수한 성능까지 함께 갖추었습니다.
보호의 구성 요소
IPS 보호에는 다음이 포함됩니다.
- 특정한 알려진 익스플로잇 의 탐지·차단
- 취약점의 탐지·차단 — 알려진 익스플로잇 도구는 물론 알려지지 않은 것까지(예: 특정 CVE 로부터의 보호)
- 프로토콜 오용(protocol misuse) 의 탐지·차단 — 프로토콜 오용은 많은 경우 악성 활동이나 잠재적 위협의 신호입니다. 흔히 조작되는 프로토콜로는 HTTP·SMTP·POP·IMAP 등이 있습니다.
- 아웃바운드 멀웨어 통신 의 탐지·차단
- 터널링(tunneling) 시도 의 탐지·차단 — 이런 시도는 데이터 유출이나, 웹 필터링 같은 다른 보안 수단을 우회하려는 정황일 수 있습니다.
- 특정 애플리케이션 의 탐지·차단·제한 — 대역폭을 많이 잡아먹거나 보안 위협이 될 수 있는 Peer to Peer, Instant Messaging 같은 애플리케이션이 대상입니다.
- 사전 정의된 시그니처가 없는 일반(generic) 공격 유형 의 탐지·차단 — 예: Malicious Code Protector
Check Point는 새롭게 떠오르는 위협보다 앞서 나가기 위해 보호 라이브러리를 끊임없이 업데이트 합니다.
IPS의 역량
Check Point IPS 엔진의 고유한 역량은 다음과 같습니다.
- 명료하고 단순한 관리 인터페이스
- 하나의 관리 콘솔로 모든 Check Point 제품 을 다뤄 관리 부담을 줄임
- SmartConsole과의 통합 관리
- 업무 수준의 개요에서 단일 공격의 패킷 캡처 까지 손쉽게 오가는 탐색
- Microsoft·Adobe 취약점에 대한 업계 1위 보안 커버리지
- 리소스 스로틀링(throttling) — IPS 활동이 과해도 다른 Threat Prevention 기능에 영향을 주지 않 도록 함
- SmartConsole의 Check Point 구성·모니터링 도구와 완전히 통합되어, IPS 정보를 바탕으로 즉시 조치 가능
한 가지 예를 들면, 사용자가 정상적인 웹사이트를 둘러보다가 자기도 모르게 멀웨어를 내려받는 경우가 있습니다 — 이를 drive-by-download 라고 합니다. 이런 멀웨어는 브라우저 취약점을 악용해 특수한 HTTP 응답을 만들어 클라이언트로 보냅니다. 방화벽이 HTTP 트래픽 통과를 허용하도록 설정되어 있더라도, IPS는 이런 유형의 공격을 식별해 차단 할 수 있습니다.
Anti-Bot & Advanced DNS
봇(bot)은 컴퓨터를 감염시킬 수 있는 악성 소프트웨어입니다. 취약점을 악용하는 첨부 파일을 열거나, 악성 다운로드로 이어지는 웹사이트에 접속할 때 컴퓨터가 감염될 수 있습니다.
봇이 컴퓨터를 감염시키면 다음과 같은 일을 합니다.
- 컴퓨터를 장악하고 Anti-Virus 방어를 무력화 합니다. 봇은 Anti-Virus 소프트웨어에 들키지 않으려고 숨고 모습을 바꾸기 때문에 찾아내기 쉽지 않습니다.
- C&C(Command and Control center)에 접속 해 사이버 범죄자로부터 지시를 받습니다. 범죄자, 즉 봇 허더(bot herder)는 봇을 원격으로 조종해 사용자 모르게 불법 활동을 시킬 수 있습니다. 감염된 컴퓨터는 다음 중 하나 이상을 수행할 수 있습니다.
- 데이터 탈취(개인·금융·지적 재산·조직 정보)
- 스팸 발송
- 리소스 공격(DoS, 서비스 거부 공격)
- 네트워크 대역폭 소모 및 생산성 저하
봇 하나가 여러 위협을 동시에 만들어 내는 경우가 많습니다. 봇은 사이버 범죄자가 개인이나 조직에 피해를 주려는 지능형 지속 위협(APT, Advanced Persistent Threats) 의 일부로 자주 쓰입니다.
Anti-Bot & Advanced DNS Software Blade 는 이런 봇과 봇넷 위협을 탐지·차단합니다. 봇넷(botnet)은 장악당해 감염된 컴퓨터들의 집합 입니다.
Anti-Bot Software Blade는 봇에 감염된 컴퓨터를 다음 방법으로 식별합니다.
- 범죄자가 봇을 조종하는 데 쓰는 C&C 주소를 식별 — 이 사이트들은 끊임없이 바뀌고 매시간 새 사이트가 추가됩니다. 봇은 잠재적으로 위험한 수천 개 사이트에 접속을 시도할 수 있어, 어느 사이트가 정상이고 어느 사이트가 아닌지 가려내기가 까다롭습니다.
- 봇넷 계열(family)마다 다른 통신 패턴을 식별 — 이 통신 지문(fingerprint)은 계열마다 달라 봇넷 계열을 구분하는 단서가 됩니다. 계열마다 고유한 "언어"를 찾아내기 위해 연구가 이뤄지며, 이미 존재하는 봇넷 계열만 수천 개에 달하고 새로운 것이 끊임없이 등장합니다.
- 봇 행위를 식별 — 컴퓨터가 스팸을 보내거나 DoS 공격에 가담하는 등 봇 특유의 행동을 잡아냅니다.
봇에 감염된 기기를 찾아낸 뒤, Anti-Bot & Advanced DNS Software Blade는 Rule Base에 따라 C&C 사이트로 향하는 아웃바운드 통신을 차단 합니다. 이로써 위협을 무력화하고, 민감한 정보가 밖으로 새어 나가지 않게 합니다.
Anti-Virus
멀웨어는 네트워크 운영에 심각한 위협이며, 갈수록 위험하고 정교해지고 있습니다. 웜(worm), 블렌디드 위협(blended threat — 악성 코드와 취약점을 조합해 감염·확산), 트로이 목마(trojan) 등이 그 예입니다.
Anti-Virus 보호는 들어오고 나가는 파일을 검사 해 이런 위협을 탐지·차단하며, 파일에 담긴 멀웨어로부터 감염 전 보호를 제공합니다. 또한 Threat Prevention API의 지원도 받습니다(Threat Prevention API 참고).
Anti-Virus 보호의 동작은 다음과 같습니다.
- ThreatSpect 엔진과 ThreatCloud 저장소 를 사용해 조직 내 멀웨어를 식별합니다.
- 들어오는 악성 파일 형식(Word·Excel·PowerPoint·PDF 등)의 멀웨어 감염을 실시간으로 차단 합니다. 들어오는 파일은 게이트웨이에서 분류되고, 그 결과가 ThreatCloud 저장소로 보내져 알려진 악성 파일과 대조되는데, 이 과정은 성능에 거의 영향을 주지 않 습니다.
- 멀웨어와 연관된 것으로 알려진 사이트 접근을 막아 인터넷에서의 멀웨어 다운로드를 차단 합니다. 접속한 URL은 게이트웨이의 캐싱 메커니즘으로 확인하거나 ThreatCloud 저장소로 보내 허용 여부를 판단하며, 허용되지 않으면 피해가 발생하기 전에 시도를 중단 시킵니다.
- ThreatCloud 저장소에서 바이너리 시그니처 업데이트 를 받고, URL 평판과 Anti-Virus 분류를 저장소에 조회합니다.
SandBlast
사이버 위협은 계속 늘어나고 있으며, 이제는 범죄자가 기존 보호를 손쉽게 우회하는 새 멀웨어를 만들기가 그 어느 때보다 쉬워졌습니다. 이들은 매일 멀웨어 시그니처를 바꿔 시그니처 기반 제품이 사실상 감염을 막지 못하게 만듭니다. 이를 앞서 가려면 위협이 사용자에게 닿기 전에 제거하는 선제적 보호 를 결합한 다면적 예방 전략이 필요합니다. Check Point의 Threat Emulation 과 Threat Extraction 기술로, SandBlast 는 시그니처 기반 기술로는 식별할 수 없는 미지의 위협에 대해 zero-day 보호 를 제공합니다.
Threat Emulation
Threat Emulation은 웹 다운로드와 이메일 첨부 파일에 든 미지의 위협 으로부터 네트워크를 보호합니다. Threat Emulation 엔진은 멀웨어가 네트워크에 들어오기 전, 익스플로잇 단계에서 멀웨어를 잡아냅니다. 파일을 빠르게 격리한 뒤 표준 운영체제를 흉내 낸 가상 샌드박스에서 실행 해, 해커가 샌드박스를 우회하는 회피(evasion) 기법을 쓰기 전에 악성 행위를 찾아냅니다.
Threat Emulation은 다음 전달 경로로 파일을 받습니다.
- SMTP·SMTPS 프로토콜로 전송된 이메일 첨부 파일
- 웹 다운로드
- Threat Prevention API를 통해 Threat Emulation으로 보내진 파일(Threat Prevention API 참고)
- FTP·SMB 프로토콜로 전송된 파일
- IMAP 프로토콜로 전송된 이메일 첨부 파일
파일에 대해 에뮬레이션이 수행될 때 일어나는 일은 다음과 같습니다.
- 파일을 서로 다른 운영체제 환경을 가진 둘 이상의 가상 컴퓨터 에서 엽니다.
- 가상 컴퓨터를 면밀히 모니터링하여 레지스트리 키 변경 시도나 허가되지 않은 프로세스 실행 같은 이상·악성 행위를 감시합니다.
- 악성 행위는 즉시 로그로 남기며, Prevent 모드 를 쓰면 해당 파일이 내부 네트워크로 들어오지 못하게 차단할 수 있습니다.
- 새로 발견된 악성 파일의 암호학적 해시(cryptographic hash) 를 데이터베이스에 저장해, 그 멀웨어로부터 내부 네트워크를 보호합니다.
- 위협을 잡아낸 뒤에는 그동안 알려지지 않았던 새 멀웨어에 대한 시그니처를 생성 해 알려지고 문서화된 멀웨어로 전환합니다. 새 공격 정보는 Check Point ThreatCloud와 자동으로 공유 되어, 비슷한 위협이 게이트웨이에서 다시 일어나지 않도록 막습니다.
파일이 악성이 아닌 것으로 판명되면, 에뮬레이션이 끝난 뒤 그 파일을 내려받을 수 있습니다.
Threat Extraction
Threat Extraction은 파일이 회사 네트워크에 들어오기 전에 잠재적으로 악성일 수 있는 콘텐츠를 제거 합니다. 위협을 없애기 위해 다음 두 가지 동작 중 하나를 합니다.
- 파일에서 악용 가능한 콘텐츠를 추출(제거) 하거나,
- 파일을 PDF로 변환해 안전한 사본 을 만듭니다.
Threat Extraction은 다음 전달 경로로 파일을 받습니다.
- Mail Transfer Agent(MTA) 를 통해 받은 이메일 첨부 파일(Threat Prevention 프로파일·규칙 구성 참고)
- 웹 다운로드(Threat Extraction 설정 구성 참고)
- Threat Prevention API를 통해 Threat Extraction으로 보내진 파일(Threat Prevention API 참고)
Threat Extraction은 재구성된 파일을 사용자에게 전달하고 의심스러운 원본 버전으로의 접근은 차단 하며, 그동안 Threat Emulation이 백그라운드에서 파일을 분석합니다. 이렇게 하면 사용자는 콘텐츠에 즉시 접근하면서도, 가장 고도화된 멀웨어와 zero-day 위협으로부터 보호받고 있다고 안심할 수 있습니다. R80.10 이상에서는 Threat Emulation이 Threat Extraction과 병렬로 실행 됩니다.
악용 가능한 콘텐츠의 예
다음은 Microsoft Office Suite 애플리케이션과 PDF 파일에서 악용 가능한 콘텐츠 의 예입니다.
- 암호가 평문(clear)으로 담긴 데이터베이스 쿼리
- 임베디드 객체(embedded objects)
- 바이러스 전파에 악용될 수 있는 매크로와 JavaScript 코드
- 민감한 정보로의 하이퍼링크
- 민감한 정보가 담긴 사용자 지정 속성(custom properties)
- 삭제된 데이터의 보관본을 남기는 자동 저장(automatic saves)
- 소유자, 생성·수정 날짜 같은 민감한 문서 통계
- 요약 속성(summary properties)
- 다음을 포함한 PDF 문서:
- launch·sound·movie URI 같은 액션
- 리더의 Java 인터프리터에서 코드를 실행하는 JavaScript 액션
- 양식의 선택된 필드 값을 특정 URL로 전송하는 submit 액션
- 이전 버전 문서를 남기는 증분 업데이트(incremental updates)
- 생성·수정 날짜와 하이퍼링크 변경 이력을 보여 주는 문서 통계
- 요약된 속성 목록
Zero Phishing
Zero Phishing 은 R81.20에서 도입된 새로운 기술이자 Threat Prevention 보호입니다. 업계를 선도하는 머신러닝 알고리즘과 특허받은 검사 기술 을 활용해, 알려진 피싱은 물론 알려지지 않은 zero-day 피싱 공격까지 웹사이트에서 실시간으로 막습니다.
피싱 공격은 디지털 위협 환경에서 여전히 지배적인 역할을 하며, 점점 더 성숙하고 정교해지고 있습니다. 대부분의 사이버 공격은 피싱 시도로 시작 됩니다.
Check Point Zero Phishing 보호는 Security Gateway에서 웹 트래픽을 검사한 뒤 Check Point Cloud로 보내 검사합니다. 이렇게 해서 알려진 사이트와 완전히 알려지지 않은(zero-day) 사이트를 가리지 않고, 가장 정교한 피싱 웹사이트로의 접근을 막습니다.
이 보호는 네트워크 Security Gateway에서 시작되기 때문 에, 브라우저와 플랫폼을 가리지 않으며(browser-agnostic·platform-agnostic) 이메일 보안 솔루션에 의존하지 않습니다. 보통 엔드포인트나 이메일 솔루션이 제공하던 보호를, 이제는 어떤 기기에도 클라이언트를 설치·관리할 필요 없이 Security Gateway를 통해 받을 수 있습니다.
Zero Phishing을 활성화할 때는 FQDN(Fully Qualified Domain Name)을 설정 해야 합니다. 이 FQDN은 Security Gateway의 IP 주소로 해석되어, 스크립트와 게이트웨이가 상호 작용하는 통로를 만듭니다. Zero Phishing을 활성화하면 전용 스크립트가 클라이언트 트래픽 스트림에 자연스럽게 삽입 되는데, 이 스크립트가 악성 피싱 페이지로부터 보호하는 핵심 역할을 합니다. 삽입된 스크립트와 Security Gateway가 효과적으로 통신하도록, 의도적인 구성 과정이 필요합니다.
Zero Phishing 보호는 두 개의 주요 엔진을 사용합니다.
- URL 기반 실시간 피싱 방지 — URL의 여러 특징을 실시간으로 분석해 알려진 피싱과 알려지지 않은 zero-day 피싱을 모두 막습니다. 엔진은 URL 정보를 URL 평판(URL-reputation) 클라우드 서비스 로 보내 분석하는데, 예컨대 브랜드 유사도, 비(非) ASCII 문자, 등록 시점 등을 봅니다. 머신러닝으로 위험도를 계산해 URL을 피싱으로 분류하고 차단합니다.
- In-browser Zero Phishing — Security Gateway가 특허받은 JavaScript 주입(injection) 을 수행해, 브라우저에 로드되는 HTML 양식(동적 양식 포함)을 검사합니다. 최종 사용자가 양식의 입력 필드를 클릭하면 모든 HTML 구성 요소가 실시간으로 검사 되고, 그 정보가 Check Point Zero Phishing 클라우드 서비스로 보내져 AI 기반 분석 을 거칩니다. 위험도가 계산되어 그에 따라 피싱 사이트가 차단됩니다.
두 가지 운영 방식 — Custom vs Autonomous
R82에서는 Threat Prevention을 두 갈래 로 운영합니다. 어느 쪽을 쓸지가 이 가이드 전체를 가르는 큰 줄기입니다.
Custom Threat Prevention 은 조직의 필요에 맞춰 관리자가 정책을 독립적으로 직접 설계 하는 방식입니다. 자신만의 Security Policy를 만들고 정책 규칙을 손수 구성 합니다. Optimized·Strict·Basic 프로파일을 바탕으로 Confidence·Severity·Performance 같은 잣대를 조정하고 Rule Base를 짜므로, 정밀한 제어가 필요할 때 적합합니다(Custom — 시작하기).
Autonomous Threat Prevention 은 용도별로 미리 만들어진 프로파일 중 하나를 고르면 정책이 자동으로 생성 되는 방식입니다 — Perimeter·Cloud/Data Center·Internal Network·Guest·Monitor 등. 정책을 수동이 아니라 자동으로 만들고 싶다면, 즉 빠르고 단순하게 강력한 보호를 켜고 싶을 때 적합합니다(Autonomous 프로파일).
두 방식 모두 UserCheck·ICAP·Anti-Spam·HTTPS Inspection·Threat Indicators·분석 뷰 같은 공통 기능 을 공유하며, 이 가이드 뒷부분에서 함께 다룹니다.