안랩 MDS(AhnLab MDS)가 글로벌 보안 솔루션 인증 기관인 ICSA 랩(ICSA Labs)으로부터 ‘지능형 위협 대응(Advanced Threat Defense, ATD)’ 인증을 획득했다. ICSA 랩의 지능형 위협 대응 평가와 관련된 모든 항목을 기준보다 높은 성적으로 통과한 안랩 MDS의 알려지지 않은 위협 탐지 성능이 세계적으로 인정받았다는 점에서 더 큰 의미가 있다. ICSA 랩의 테스트 방법과 결과를 토대로 국내외 기업 및 기관을 노리는 최신 지능형 위협의 주요 공격 방식을 살펴보고, 이에 대한 안랩 MDS의 대응 방안을 알아본다.

ICSA 랩(ICSA Labs, 이하 ICSA)은 1989년에 설립된 독립적인 보안 제품 평가 기관으로, 전 세계 주요 보안 제품의 신뢰도와 성능을 평가하여 인증을 부여하고 있다. 안랩은 ICSA가 2019년 3분기에 실시한 지능형 위협 대응 솔루션 성능 평가를 통과하고 인증을 획득했다. 이번 평가는 신종 랜섬웨어를 비롯, 신종 또는 거의 알려지지 않은 위협에 대한 탐지 성능을 중심으로 진행됐다. 또 심각한 기업 보안 침해로 이어지는 통로인 스팸 이메일의 첨부 파일과 악성 URL 등을 통해 유입되는 위협에 대한 탐지 성능을 확인했다. 이와 함께 지능형 위협 대응 솔루션의 중요한 요소인 오탐을 평가하기 위해 자체적으로 정상적인 실행 파일을 제작해 테스트에 사용했다고 밝혔다.

신종 위협 탐지율 99.1%, 이것이 가능한 이유는?
32일에 걸쳐 진행된 이번 평가에서 ICSA는 악성 파일, 드롭퍼(dropper) 등을 포함한 879개의 신종 또는 거의 알려지지 않은 샘플을 이용해 1,517회에 걸쳐 안랩 MDS의 탐지 성능을 테스트했다. ICSA 의 지능형 위협 솔루션 인증 기준은 평균 탐지율 75% 이상으로, 안랩 MDS는 기준치 보다 월등한 99.1%의 탐지율을 기록하며 인증을 획득했다. 전체 테스트 기간 중 7일을 제외한 나머지 기간 동안 100%의 탐지율을 기록했으며, 전체 샘플의 99.1%를 한 시간 이내에 탐지해 속도면에서도 좋은 평가를 받았다.
[그림 1] 테스트 기간 내 안랩 MDS 일별 탐지율 (*출처: ICSA 랩 ATD 평가 보고서, 2019 Q3)
이와 함께 ICSA가 기업 보안 침해의 주요 경로로 지목한 이메일, 웹(인터넷)을 비롯해 엔드포인트를 통해 유입되는 위협을 신속하게 수집, 탐지하여 직관적인 대시보드를 통해 상세한 위협 가시성을 제공한다. 이메일의 첨부 파일은 샌드박스에서 동적으로 분석하고 이메일 본문에 포함된 악성 URL이나 스크립트(script)도 시그니처 및 평판기반으로 분석한다. 또한 이상 트래픽을 탐지해 네트워크단에서 위협을 차단하는 한편, 에이전트를 통한 의심 파일 추출 기능과 실행 보류(Execution Holding) 기능을 통해 엔드포인트단에서도 의심스러운 파일에 대한 능동적인 대응이 가능하다. 실행 보류 기능은 특히 신종 랜섬웨어 대응 및 내부 위협 확산 방지에 효과적이다.

[그림 2] 안랩 MDS의 위협 정보
오탐율 제로, 탁월한 지능형 위협 대응 효과
ICSA는 이번 테스트에서 자체 제작한 638개의 정상 파일을 이용해 오탐율도 평가했다. 정상 파일을 악성으로 탐지해 불필요한 알람(alert)을 빈번하게 발생시킬수록 보안 운영의 부담이 가중될뿐만 아니라 그로 인해 정작 대응해야 할 위협에 신속하게 대처하지 못할 수 있기 때문이다. 안랩 MDS는 [그림 3]과 같이 638개 파일 중단 한 건도 악성으로 탐지하지 않아 오탐율 제로를 기록했다.
[그림 3] 안랩 MDS의 정상 파일 오탐율 (*출처: ICSA 랩 ATD 평가 보고서, 2019 Q3)
ICSA는 인증 평가 보고서를 통해 “안랩 MDS는 지능형 위협 대응 솔루션 인증을 획득하기 위한 모든 테스트를 통과했다”며 “오탐 없이 신종 및 거의 알려지지 않은 위협에 대한 탁월한 위협 탐지 효과를 보였다”고 평가했다.