[후니의 1분 정보] 보안 문제로 골치 아픈 고객님께, 샌드박스 하나 놔 드려야겠어요

 

 

 

지난 포스팅에서 APT가 아파트가 아니라는 이야기를 드렸습니다. 기억하시지요?
 
그럼 다양하게 변화하는 APT 공격은 어떻게 막아낼 수 있을까요? 우선 결론부터 이야기 드리자면, 딱 하나의 솔루션으로 막아내기는 쉽지 않다는 겁니다. 공격방법이 딱 하나가 아니기 때문이죠. 따라서 방화벽도 필요하고, 침입방지시스템인 IPS 도 필요하고, 그밖의 다양한 보안 솔루션이 필요하게 되는 겁니다.


이때 등장하게 되는 또 하나의 솔루션이 샌드박스 솔루션입니다. 그림 보이시죠? 이게 샌드박스 입니다. 미국 가정집에는 뒤뜰에 애들이 모래장난을 할 때 샌드박스를 만들어 안전하게 놀 수 있게 해준다고 하는데, 여기서 유래한 말이라고 합니다.

 

 

보안에서 이야기 하는 박스는 그림의 모래상자처럼 위험성이 의심되는 파일을 격리된 환경에서 구동시켜서 악성행위가 일어나는지를 확인해보는 기술을 말합니다  즉, 이미 알려진 악성 코드야…시그니처를 확인해서 막아내면 그만이지만… 이게 알려지지 않은 악성파일은 시그니처로 막아낼 수 없겠죠? 그래서 격리된 모래상자안에 그 파일을 넣고 한 번 구동해보는 겁니다.. 하지만 샌드박스 솔루션이 있다고 악성파일 공격을 다 막아낼 수 있는 건 아니랍니다. 해커들도 머리가 좋아서 빠져나갈 방법을 만드는 거죠..ㅎ
 
암튼 샌드박스 솔루션 시장이 요즘 떠오르고 있는데, 시스코 역시 든든한 샌드박스 솔루션을 가지고 있습니다. AMP (Advanced Malware Protection) 이 그것인데요. 새로운 가족이 된 SourceFire와 함께 시스코의 강력한 APT 방어용 보안 솔루션을 이룰 Cisco AMP에 대해서 관심 부탁 드리며.. 
오늘은 여기까지..

 

 

*혹시 SourceFire(소스파이어)가 생소하시다면? 정관진 시스코코리아 보안 스페셜리스트의 칼럼을 추천해 드립니다.

.

  • 안녕하세요. 포스트 글 잘보았습니다.
    제가 한 프로그램을 샌드박스에서 구동하여 사용하고 싶은데..
    그 프로그램을 실행 시키면서 한 작업 내용은 로그로 남겨야 하는데.
    샌드박스 위에서 작동 시킨 것중 일부는 실제 디스크에 남길 수 있을 까요??

    아니면 프로그램이 웹브라우저를 켠 후 일정 작업 후 스크린샷을 찍는 일을 하는것인데
    프로그램은 외부에서 켜고 프로그램이 켠 웹브라우저만 샌드박스 위에서 작동 되도록 설정할 수 있을까요??
    (아니면 어디서 실행시키던 샌드박스 위에서 켜지도록.)
    기본적으로 테스트한 결과로는 안되는데 혹시 다른 접근 방식으로 할 수 있을까요,,?
    조언 부탁드릅니다.

    • 안녕하세요. 시스코 코리아 블로그입니다. 먼저 저희 콘텐츠에 이렇게 관심 가져 주셔서 감사하다는 말씀 드립니다. ^^

      질문 주신 것과 관련해서는, 먼저 어떤 샌드박스 솔루션을 사용하느냐에 따라 가능 여부가 달라질 것 같습니다. 일반적으로는 샌드박스 데이터를 호스트로 전송이 가능합니다. 이 것은 샌드박스가 API 같은 기능을 제공해 주면 이걸 통해서 자동화된 형태로도 구현이 가능하며 또는 네트워크 구성이 되어 있다면 일반적인 네트워크 기능으로 데이터 전송을 하시면 됩니다. 예를 들면, 생성된 로그 데이터를 특정 경로에 복사 시키고 FTP 서비스를 통해 원격에서 제공해 주면 됩니다. 그러므로 데이터 전달하는데는 문제가 없습니다.

      두 번째 문의주신 내용도 기술적으로는 가능합니다. 특정 애플리케이션만 가상화 개념으로 만들어 운영하는 것입니다. 관련한 것으로 sandboxie.com 을 방문해 보시면 도움이 될것 같습니다.

      앞으로도 시스코 코리아 블로그에 많은 사랑 부탁 드립니다! ^^