최근 사이버 공격은 더 이상 전통적 취약점을 노리지 않는다. 공격자들은 보호되지 않은 메모리 공간에 직접 접근해 비밀번호, 세션 토큰, 암호화 키 등 민감한 정보를 탈취하는 방식으로 기존 보안 체계를 우회하고 있다. 특히 피싱이나 매크로 기반 악성코드를 통해 감염된 프로그램이 실행 중인 애플리케이션 메모리를 스크래핑하면서 파일리스(fileless) 공격이 급증하고 있다. 이에 따라, 엔드포인트 보안의 사각지대를 메우기 위한 커널 수준의 실시간 메모리 보호 기술의 필요성이 대두되고 있다.

커널 수준 보호로 메모리 접근 원천 차단

제로 트러스트 및 제로 지식 기반 권한 접근 관리(PAM) 분야의 글로벌 선도 기업 키퍼 시큐리티(Keeper Security, CEO 대런 구치)는 윈도우 환경에서 메모리 기반 공격을 차단하는 업계 최초의 커널 수준 보안 솔루션 ‘키퍼 포스필드(Forcefield)’를 발표했다. 

포스필드는 정보 탈취 악성코드와 런타임 메모리 스크래핑 공격을 사전에 방어하며, 사용자 및 커널 양 측면에서 실시간 메모리 보호 기능을 제공한다. 

포스필드는 백그라운드에서 조용히 작동하며 보호된 애플리케이션의 메모리를 무단 접근으로부터 차단한다. 핵심은 커널 레벨 드라이버다. 이 드라이버는 신뢰할 수 있는 프로세스와 그렇지 않은 프로세스를 실시간으로 구분해, 악성 프로세스가 애플리케이션 메모리에 접근해 데이터를 스크래핑하거나 암호화된 정보를 탈취하지 못하도록 막는다.

기존 백신이나 EDR(Endpoint Detection and Response) 솔루션과 달리, 포스필드는 성능 저하 없이 파일리스 및 제로데이 공격까지 실시간으로 차단한다.

포스필드는 ▲커널 수준 보호 ▲선택적 메모리 접근 제한 ▲스마트 프로세스 검증 ▲시스템 성능 저하 없는 보호를 핵심 기능으로 한다. 보호된 애플리케이션의 메모리를 비인가 프로세스가 읽지 못하게 하며, 신뢰할 수 있는 프로세스만 접근을 허용한다. 키퍼 시큐리티의 CTO이자 공동 창립자인 크레이그 루리(Craig Lurey)는 “포스필드는 엔드포인트 보안의 가장 위험한 사각지대를 해결한다”며 “관리자 권한 없이도 메모리에서 정보를 탈취할 수 있는 악성코드 위협을 근본적으로 제거한다”고 밝혔다.

엔드포인트 보안 강화

포스필드는 윈도우 11(x64, ARM64) 환경에서 크롬(Chrome), 에지(Edge), 파이어폭스(Firefox), 브레이브(Brave), 오페라(Opera), 비발디(Vivaldi) 등 주요 웹브라우저와 키퍼 데스크톱 앱, 웹 볼트, 브라우저 확장, 커맨더(Commander), 키퍼챗(KeeperChat) 등 자사 애플리케이션을 보호한다.

기업은 그룹 정책(GPO)을 통해 수 분 만에 수백 대의 기기에 배포할 수 있으며, 개인 사용자도 키퍼 데스크톱 앱 내에서 간단히 포스필드를 활성화할 수 있다. 별도의 복잡한 설정 없이 일관된 엔드포인트 방어 환경을 구축할 수 있다는 점이 특징이다.

포스필드는 커널 수준의 실시간 메모리 보호를 엔드포인트 보안 표준으로 정립했다는 점에서 의미가 크다. 파일리스 공격, 정보탈취형 악성코드, 제로데이 취약점 등 기존 도구가 탐지하지 못하는 위협을 무중단 방식으로 차단하기 때문이다.

키퍼 시큐리티는 앞으로 포스필드를 중심으로 윈도우 외 macOS와 리눅스 환경으로 보호 대상을 확대할 계획이다. 향후 기업용 통합 PAM 플랫폼 내 실시간 메모리 보호 기능을 표준화하여, 조직의 제로 트러스트 아키텍처 구현을 한층 강화할 전망이다.