국내 보안 업체 (주)하우리(Hauri)에서 소프트웨어의 보안 취약점(Exploit)을 이용하여 시스템 감염을 유발하는 악성코드 유포 방식을 차단할 수 있는 "바이로봇 APT Shield 2.0 Beta" 무료 버전을 공개하였습니다.
참고로 Anti-Exploit 기술이 적용된 제품은 국내의 경우 AhnLab V3 보안 제품에서는 제품에 통합된 형태로 2013년에 출시된 상태이며, 바이로봇 APT Shield 2.0 제품은 국내에서 두 번째로 등장한 보안 솔루션입니다.
▷ <하우리 소식> [보도자료] 대한민국 국민 분당 100명 "홈페이지 접속만 했는데, 나도 모르게 악성코드 감염" (2014.4.2)
바이로봇 APT Shield 2.0 제작 업체인 하우리(Hauri)의 보도 자료를 살펴보면 다양한 소프트웨어의 보안 취약점(Exploit)을 이용한 악성코드 유포 방식의 일상화로 인하여 1분당 100명의 인터넷 사용자가 웹 사이트 접속 행위만으로도 자동으로 악성코드에 감염되고 있는 현실을 지적하고 있습니다.
특히 2014년 4월 8일(미국 시간 기준)부터 제품 지원이 종료되는 Windows XP 운영 체제의 경우에는 새로운 보안 취약점에 대하여 보안 패치가 제공되지 않는 문제로 인하여 보안 위협에 무방비로 노출될 수 있다는 점에서 바이로봇 APT Shield 2.0 제품은 훌륭한 방어 솔루션으로 평가할 수 있습니다.
바이로봇 APT Shield 2.0 제품은 Anti-Virus 보안 제품이 설치된 환경에서도 함께 사용이 가능하며, 기업/공공 기관/단체 사용자는 기업용 제품을 사용하시기 바랍니다.(※ 바이로봇 APT Shield 2.0 제품은 현재 베타(Beta) 버전을 공개하였으며 앞으로 2주 동안 공개 테스트를 한 후 정식 버전을 제공할 예정입니다.)
☞ 바이로봇 APT Shield 2.0 (Beta) 다운로드!!! (개인 사용자 무료)
바이로봇 APT Shield 2.0 제품은 설치시 추가적인 설정이 필요없으므로 단계별로 설치를 진행하시면 됩니다.
바이로봇 APT Shield 2.0 제품의 설치가 완료되면 팝업창을 통해 설치가 완료되었음을 표시하며, 테스트 환경에서는 Anti-Exploit 보호 기능이 존재하지 않는 것으로 판단되는 Microsoft Security Essentials 무료 백신이 설치된 환경에서 설치해 보았습니다.
프로그램이 설치된 환경에서 시스템 트레이 알림 아이콘에 표시되는 바이로봇 APT Shield 2.0 아이콘에서는 "정보, 업데이트, 실시간 감시 ON/OFF, 윈도우(Windows) 시작시 자동 실행, 홈 페이지(HomePage), 종료" 메뉴를 제공합니다.
■ 바이로봇 APT Shield 2.0 시스템 트레이 알림 아이콘 표시 문제
프로그램을 설치한 환경에서 시스템 재부팅 또는 Windows 시작 후 자동으로 바이로봇 APT Shield 2.0 제품이 실행되는 과정에서 트레이 알림 아이콘이 불규칙적으로 표시되지 않는 문제가 발견되고 있습니다.(※ 알림 아이콘이 표시되지 않는 경우 VrAPTShield.vep 프로세스를 강제 종료를 시도하면 보호 기능을 통해 재실행되면서 알림 아이콘이 정상적으로 표시되는 것으로 확인되는 것으로 보아 아이콘 리소스 문제가 아닌가 추정됩니다.)
그렇다면 바이로봇 APT Shield 2.0 제품의 강점은 무엇인지 악성코드 유포 사례와 실제 테스트를 통해 알아보도록 하겠습니다.
- Windows XP 지원 종료에 따른 보안 취약점 공격 사전 차단
- 응용 프로그램의 취약점 공격 다양화에 대한 대응
- 패턴 업데이트 없이 기존의 백신에 추가 사용하면 패턴기반 백신의 한계 보완
- 불특정 다수에 대한 주요 문서 유출의 가속화 차단
- 매우 가벼운 제품으로 산업시스템 등 보안패치가 어려운 환경에 대처
하우리(Hauri)에서 소개하는 제품 사용의 필요성에서는 소프트웨어(※ 운영 체제, 웹 브라우저, Adobe Flash Player, Oracle Java, 문서 편집 프로그램, 동영상 재생 프로그램, 압축 프로그램, 메신저 등)의 보안 취약점(Exploit)을 통한 다양한 악성코드 유포 방식을 DB 업데이트없이 차단이 가능하다는 점을 강조하고 있습니다.
일반적으로 Anti-Virus 보안 제품이 수시 업데이트를 통해 알려지지 않은 악성코드에 대응하는 것과 달리 바이로봇 APT Shield 2.0 제품은 업데이트 필요없이 변종 악성코드에 상관없이 차단이 가능한 기술이 적용되어 있습니다.
▷ 알약(ALYac) + Malwarebytes Anti-Exploit 프로그램을 이용한 Exploit 공격 대응법 (2013.9.1)
바이로봇 APT Shield 2.0 제품과 매우 유사한 기능을 제공하는 제품으로 예전에 Malwarebytes Anti-Exploit 솔루션을 소개한 적이 있으며, 개인적으로 바이로봇 APT Shield 2.0 제품이 국내 친화적이며 더 다양한 소프트웨어에 대한 보호 기능을 제공하는 것이 아닐까 판단됩니다.
▷ <하우리> 실제 취약점을 사용한 악성코드 유포 사례 (동영상 포함)
하우리(Hauri) 업체에서 실제 다양한 악성코드 유포 사례를 바이로봇 APT Shield 2.0 제품이 웹 브라우저, 한글(HWP) 문서, MS Word 문서를 오픈하는 과정에서 악성 파일을 차단하는 모습을 감상할 수 있습니다.
▷ 블로그 광고 배너를 통한 인터넷뱅킹 악성코드 유포 주의 (2014.3.5)
▷ 디시인사이드 납치 사이트(api.tistory.us)를 이용한 악성코드 유포 주의 (2014.3.21)
그 외에도 최근 티스토리(Tistory) 블로그, 디시인사이드 납치 사이트(※ 동영상 3번 참조)를 통해 유포가 이루어진 인터넷뱅킹 악성코드 감염 방식도 바이로봇 APT Shield 2.0 제품을 통해서 충분하게 차단이 가능합니다.
개인적으로 실시간으로 해외에서 유포 중인 취약점(Exploit)을 이용한 악성코드 유포 사례를 찾아서 바이로봇 APT Shield 2.0 제품을 통해 차단하는 동작을 확인해 보았습니다.
위와 같은 특정 악성 웹 사이트에 사용자가 Internet Explorer 웹 브라우저를 이용하여 접속시 다양한 보안 취약점(Exploit)을 이용하여 악성 파일을 자동으로 다운로드 및 실행하려는 동작이 발생합니다.
단순히 웹 사이트 접속 행위만으로도 자동 생성되는 악성 파일 차단 및 취약점(Exploit)을 통해 다운로드된 실행 파일이 실행되려는 시점에서 차단하여 시스템 감염을 예방할 수 있습니다.(※ 차단된 파일은 PC에 파일을 남기지 않으므로 사용자가 추가적으로 취할 조치는 없습니다.)
만약 사용하는 Anti-Virus 보안 제품이 진단하지 못하는 변종 악성코드일 경우에도 바이로봇 APT Shield 2.0 제품을 통해 감염 과정에서 차단하여 시스템을 성공적으로 보호할 수 있습니다.
그러므로 100번 보는 것보다는 실제 바이로봇 APT Shield 2.0 제품을 설치하고 PC를 사용하는 과정에서 취약점을 이용한 악성코드 생성/실행 차단되는 모습을 통해 시스템이 보호되는 모습을 통해 경험해 보시길 강력하게 권장하며, 특히 사용자 PC에 설치된 각종 소프트웨어의 업데이트를 부실하게 관리하는 사용자와 악성코드에 수시로 감염되는 사용자는 반드시 백신 프로그램과 함께 사용해 보시기 바랍니다.