UPDATED. 2024-03-29 15:12 (금)
멘로시큐리티, '멘로 클라우드 보안 플랫폼' 발표
멘로시큐리티, '멘로 클라우드 보안 플랫폼' 발표
  • 박광하 기자
  • 승인 2022.04.05 20:50
  • 댓글 0
이 기사를 공유합니다

회피성이 뛰어난 지능형 위협
'HEAT 공격' 방어 보안 서비스

인터넷 격리 '아이솔레이션 코어'
각종 콘텐츠 클라우드에 격리
멘로시큐리티가 클라우드 기반 제로-트러스트 보안 서비스인 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'을 발표했다.
멘로시큐리티가 클라우드 기반 제로-트러스트 보안 서비스인 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'을 발표했다.

[정보통신신문=박광하기자]

클라우드 보안 리더 멘로시큐리티(한국지사장 김성래)는 기존의 악성 URL 링크 분석 엔진을 우회하는 '회피성이 뛰어난 지능형 위협(HEAT, Highly Evasive Adaptive Threats)' 공격을 사전에 방어할 수 있는 클라우드 기반 제로 트러스트 보안 서비스인 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'을 발표했다.

멘로시큐리티는 4월 5일 서울 영등포구 여의도 콘래드 호텔에서 '멘로 클라우드 보안 서밋(Menlo Cloud Security Summit) 2022 아시아 로드쇼'의 한국 행사를 개최했다. 이번 행사를 위해 멘로시큐리티의 스테파니 부(Stephanie Boo) 부사장과 마크 건트립(Mark Guntrip) 사이버 보안 전략 담당 이사 등 보안 전문가들이 방한했다.

멘로시큐리티는 사이버 위협 행위자들이 기존의 악성 URL 링크 분석 엔진을 우회하는 HEAT 공격 수법을 활용하고 있다고 밝혔다.

HEAT는 이메일 뿐만 아니라, 소셜 미디어 및 메시징 플랫폼, 슬랙과 같은 협업 플랫폼, SMS 등을 비롯한 다양한 커뮤니케이션 영역들을 공격 대상으로 한다. 이 링크를 클릭하게 되면 접속 로그인 정보를 훔치거나 멀웨어가 배포된다.

HEAT 공격의 주요 특징을 살펴 보면, 정적 및 동적 콘텐츠 분석을 회피한다.

HTML 스머글링(Smuggling) 등 동적 파일 다운로드, 대용량 파일·아카이브 등을 사용해 공격한다. 파일 내용이 html 및 JavaScript에서 동적으로 구성되는 회피 HTML 스머글링은 네트워크 및 보안 웹 게이트웨이(SWG) 에서의 콘텐츠 검사를 피하고, 파일 기반 정책을 우회하고 악성 파일을 PC로 전달해 감염시킨다. 실제로 HTML 스머글링은 압축 파일을 직접 다운로드하는 대신 파일을 여러 개의 작은 조각으로 분할하고 동시에 다운로드하기 때문에, 이러한 작은 조각은 샌드박스에서 이해할 수 있는 형식이 아니므로 분석이 불가능하다.

2021년에 발생한 솔라윈즈(SolarWind) 공급망 공격의 배후에 있는 중국의 해킹 단체인 노벨륨(Nobelium)이 HTML 스머글링 기술을 사용했다. 멘로 랩은 지난 90일 동안 HTML 스머글링을 사용해 전달된 2만7000건 이상의 멀웨어 공격을 식별했다.

이메일 뿐 아니라 다양한 곳에서 악성링크를 사용한다.

이메일 피싱 링크에서 웹, 소셜 미디어, SMS, 전문 문서 등과 같은 다양한 소스로 확장되고 있다.

합법적인 웹사이트에 대한 악성으로 전환된다.

LURE(Legacy URL Reputation Evasion)을 통해 안전한 사이트로 위장해 악성코드 전달 없이 수개월 운용 후 악성 사이트로 변경된다. 공격자는 사용자가 신뢰하는 브랜드의 사칭 웹사이트를 해킹한 후 이를 악의적인 콘텐츠를 호스팅하는 데 사용한다. 사람과 로봇을 구별하기 위해 만들어진 인증 수단 '캡챠(CAPTCHA)'를 사용해 사용자가 잘못된 보안 환경을 선택하도록 유도해 악성 콘텐츠를 다운로드하도록 한다.

암호화 및 동적 피싱 탐지를 사용한 분석을 회피한다.

동적으로 생성 및 난독화된 콘텐츠(자바스크립트 코드 및 이미지)를 사용한다. HEAT는 브라우저 익스플로잇 키트, 크립토마이닝 코드(암호화폐 채굴을 위해 다른 사람의 PC 리소스를 무단으로 사용), 민감한 정보와 크리덴셜을 훔쳐내는 도구인 피싱 키트 코드, 알려진 브랜드 로고를 가장한 이미지와 같은 악성 콘텐츠를 사용해 HTTP 트래픽 검사를 회피한다. 또한 브라우저에서 자바스크립트(JavaScript) 렌더링 엔진을 사용해 탐지 기술을 무용지물로 만든다.

멘로시큐리티는 클라우드 기반 보안 서비스인 '멘로 클라우드 보안 플랫폼(Menlo Cloud Security Platform)'으로 레거시 네트워크 보안을 우회하는 HEAT 공격을 사전에 방어한다. 모든 인터넷 콘텐츠를 먼저 클라우드에서 격리시켜 실행하는 특허받은 인터넷 격리(Internet Isolation) 기술인 '엘라스틱 아이솔레이션 코어(Elastic Isolation Core)'를 통해 웹과 이메일 링크 사용시 기존의 방어 방식을 우회하는 멀웨어와 랜섬웨어, 피싱 공격 등으로부터 100% 보호해 감염의 위험을 완벽하게 제거한다.

​특히 네트워크 전송 속도를 획기적으로 개선한 멘로시큐리티만의 독자적인 렌더링 기술인 ACR(Adaptive Clientless Rendering)을 활용해, 에이전트 설치 없이 인터넷의 모든 콘텐츠를 일회용 가상 컨테이너에서 실행해 악용 가능한 활성 콘텐츠와 스크립트를 제거해 사이트의 깨끗하고 안전한 버전만 사용자에게 전달된다. 이 기술은 모든 브라우저와 장치, OS에서 동작된다. 결과적으로 사용자는 악성 콘텐츠가 전혀 없는 렌더링(실제와 같은 이미지 화면으로 보여줌)된 사이트를 확인할 수 있다.

(왼쪽부터) 멘로시큐리티의 마크 건트립 사이버 보안 전략 담당 이사, 김성래 한국지사장, 스테파니 부 부사장이 기자들의 질문에 답변하고 있다.
(왼쪽부터) 멘로시큐리티의 마크 건트립 사이버 보안 전략 담당 이사, 김성래 한국지사장, 스테파니 부 부사장이 기자들의 질문에 답변하고 있다.

스테파니 부 부사장은 "HEAT는 웹 브라우저를 공격 벡터로 활용하고 다양하고 정교한 기술을 사용해 기존의 보안 스택의 여러 계층에 의한 탐지를 회피해, 퍼블릭 클라우드 시대의 가장 치명적이면서도 정교한 위협이다"라며 "멘로시큐리티는 모든 인터넷 콘텐츠를 먼저 클라우드 상에서 격리시켜 실행해 최종사용자 경험에 영향을 미치지 않으면서도 끊김 없는 강력한 보안 환경을 구축할 수 있도록 지원한다 현재 멘로시큐리티는 전세계 공공기관과 대기업, 금융 서비스, 의료, 중요 인프라 등을 고객으로 확보하고 있으며, 하루에 5억개 이상의 웹사이트를 격리하고 있다"라고 강조했다.

마크 건트립 사이버 보안 전략 담당 이사는 "멘로시큐리티는 망분리 상황에서 해커의 공격을 차단하기 위해 SaaS 방식으로 추가적인 하드웨어나 소프트웨어 설치 없이도 웹과 이메일 네트워크 라우팅 환경을 간단하게 변경해 강력한 클라우드 기반 보안 환경을 합리적인 비용으로 구축할 수 있다"라며 "멘로시큐리티의 웹 격리 기술을 활용하면 기업이 조직 보호를 위해 사용자와 가장 가까운 엣지에서 보안 아키텍처를 구축하는 '보안 접근 서비스 엣지(SASE, Secure Access Service Edge)' 아키텍처에 대한 의존도를 낮추면서도 강력한 리스크 관리가 가능하다"라고 강조했다.

김성래 한국지사장은 "보안 위협이 더욱 정교해지고, 새로운 위협의 지속적인 등장하고 있어 IT 관리자들은 랜섬웨어, 멀웨어, 피싱을 비롯한 지능형 위협을 빠르게 식별해 완벽하게 대응할 수 있는 클라우드 기반 보안 플랫폼 도입에 나서고 있다"라며 "멘로시큐리티 격리 기술을 활용하면 모든 인터넷 콘텐츠와 웹사이트가 악의적이라고 가정해 보안상 안전한 곳이 없다는 정책 기반의 제로 트러스트 인터넷(Zero Trust Internet) 환경 구축이 가능하다"라고 전했다.

Menlo Private Access 소개 지료. [자료=멘로시큐리티]
Menlo Private Access 소개 지료. [자료=멘로시큐리티]

멘로시큐리티에 따르면, 미국 국방부는 2020년에 멘로시큐리티의 '인터넷 격리' 기술을 활용해 '클라우드 기반 인터넷 격리(CBII)' 프로젝트를 추진한 바 있다.

멘로시큐리티는 코로나19 사태로 전체 350만명에 달하는 국방부 직원 중에 원격 근무자가 크게 늘어나면서 원격 접속 수요 대응과 보안 위협 예방에 자사의 솔루션이 효과적으로 적용됐다고 설명했다.

인터넷 격리 기술을 쓰면 속도 저하나 보안 우려 없이 인터넷에 접속할 수 있다.

CBII는 국방부 직원이 인터넷을 이용할 때 국방부정보네트워크(DoDIN) 대신 클라우드를 거치게 하는 방식이다.

웹사이트 접속 시 이용자에게 나타나는 화면은 클라우드에서 호스팅된 복제 웹사이트다.

똑같은 웹사이트를 만들어 DoDIN로부터 각종 위협 자체를 격리시킨다.

보안 위협을 엔드포인트가 아닌 클라우드로 옮겨놓기 때문에 사용자는 각종 사이버 위협으로부터 안전하다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 함정기
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2024-03-29
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2024 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
한국인터넷신문협회 인터넷신문위원회 abc협회 인증 ND소프트