엔피코어 좀비제로, APT 공격 탐지·분석 … 악성코드 차단기능도

■특집 통합보안

엔피코어(대표 한승철)의 '좀비제로(ZERO)'는 엔드포인트 단의 행위기반 탐지 차단 제품(에이전트)과 가상시스템을 이용한 네트워크 패킷 분석탐지 제품(인스펙터)으로 구성된 신종 APT 공격 및 악성코드 탐지·방어 솔루션이다.

좀비제로 시리즈는 행위 기반에 의해 탐지된 불법 트래픽 및 파일전송 행위를 역추적해 트래픽과 연결된 프로세스를 찾은 뒤, 프로세스를 구동시키는 연결 파일을 찾아 치료한다.

이에 랜섬웨어, 자료유출사고, 네트워크 마비 등 보안사고 발생을 미연에 방지하는 정보보안 시스템으로 주목받고 있다.

좀비제로는 네트워크단에 설치되는 '인스펙터', 엔드포인트단에 설치되는 'EDR', 중앙관리 시스템 'ESM', 크게 세 가지로 구성돼 있고 '인스펙터'는 기능별로 '네트워크 APT', '이메일 APT', '파일 APT', '리얼머신 APT'로 나눌 수 있다.

'EDR'은 'EDR for APT'와 'EDR for Ransomware'로 나뉜다.

이중 '좀비제로 인스펙터 (네트워크 APT)'는 네트워크의 패킷을 수집해 APT 공격에 대해 탐지·분석하는 장비다.

3단계로 악성코드 분석하며, 행위기반 가상시스템으로 알려지지 않은 악성코드도 탐지·차단한다.

'좀비제로 인스펙터 (이메일 APT)'는 이메일로 전송되는 스팸메일 대응과 APT 분석장비가 통합된 서비스를 제공한다.

4단계 (접속 단계, SMTP 단계, 콘텐츠 단계, APT 단계)로 차단하며 4가지 자동필터 룰 (패턴 필터, 인공지능 필터, 스팸지문 필터, 바이러스 필터)과 관리자가 여러 필터 조건을 직접 등록 가능한 '관리자등록 룰'을 제공한다.

송혜리기자 shl@