지능화되는 사이버 공격에 대응하기 위한 전략으로 선제대응에서 침해 탐지·대응 전략이 부상하고 있다. 완벽한 방어는 없는 만큼, 이미 진행된 공격을 찾아 공격 확산을 막고 유사 공격을 차단한다는 전략으로, 인공지능 기술을 접목한 모니터링 기술과 차세대 보안관제 기술, 침해사고 대응 서비스 등이 주목을 받고 있다.<편집자>
엔드포인트 침입 탐지로 공격 확산 막아
탐지·대응 분야에서 가장 눈에 띄는 변화는 엔드포인트로 탐지·대응 전략이 내려왔다는 점이다. 엔드포인트는 단말의 종류, 제조사, OS, 애플리케이션이 다양하고, 리소스를 많이 사용할 수 없기 때문에 복잡한 보안 솔루션을 설치할 수 없다.
그러나 시그니처에만 의지하는 백신 솔루션은 우회 공격을 막을 수 없다. 현재 사이버 공격은 엔드포인트를 교두보로 사용되고 있어 진화하는 공격에 대응할 수 있는 새로운 기술이 필요하다. 그 대안으로 엔드포인트 침해 탐지·대응(EDR), 혹은 엔드포인트 위협 및 침해 탐지·대응(ETDR)이 부상한다.
EDR은 엔드포인트에서 실행되는 프로세스의 비정상 행위를 정밀하게 탐지하는 솔루션으로, 백신을 대체하는 개념은 아니고 백신을 보완하는 개념으로 쓰인다. ETDR은 주로 백신 업체에서 백신 기술과 함께 EDR 기능을 제공하면서 만든 용어이다.
EDR이 갖춰야 할 기술적인 요건이 따로 정의된 것은 아니다. 기존 시그니처 기반 백신 솔루션과 다른 방법으로 엔드포인트를 보호하는 기술을 탑재한 보안 솔루션을 통칭한다. 기술적 기반에 따라 엔드포인트 포렌식, 자산관리, 행위기반 분석기술, 차세대 DLP 등으로 각각의 특징을 강조하기도 한다.
EDR은 엔드포인트에서 직접 보안 위협을 탐지하기 보다 엔드포인트의 이상행위를 수집해 서버에서 분석하며, 대용량 데이터의 수집, 분석기술에 초점을 맞춘다. 엔드포인트의 특정 이벤트를 추적하면서 이상징후를 찾아내기도 하고, 알려진 공격은 즉시 차단하기도 한다.
대표적인 EDR 제품으로 꼽히는 카본블랙 비트나인은 화이트리스트 방식의 EDR 솔루션으로, 기존 백신 솔루션에 침입탐지 기능을 더한 EDTR로 분류된다. 이 제품은 여러개의 에이전트로 위협에 대응하기 때문에 관리 복잡성이 높고 엔드포인트 리소스 사용량이 경쟁제품보다 많다.
태니엄은 자산관리 기능이 탁월한 제품으로, 국내 최대 그룹사에 공급됐다. 화이트리스트 방식으로 엔드포인트 자산을 분류하고 관리하면서 보안 기능도 수행한다. 태니엄은 VM웨어와 함께 EDR 제품 ‘트러스트포인트(TrustPoint)’를 출시하고 시장을 공략한다. 양사의 파트너십으로 개발된 트러스트포인트는 모든 네트워크에서 15초 안에 엔드포인트 가시성을 구현할 수 있다.
중앙 관리 콘솔을 사용해 100대 이상의 애플리케이션과 디바이스를 윈도우 10으로 마이그레이션하며, 감염된 엔드포인트를 치료하고, 자동화된 관리 툴을 이용해 엔드포인트 보안을 강화한다.
파일 변경 흐름 추적해 불법 유출 차단
MDS테크놀로지와 한컴시큐어가 공급하는 디지털가디언은 ‘차세대 DLP’ 기능을 경쟁력으로 꼽는다. 이 제품은 단일 에이전트를 통해 EDR과 DLP, 포렌식 감사 등의 기능을 제공하며, 필요에 따라 기능을 온오프 할 수 있다. 디지털가디언의 포렌식 감사는 법적인 증빙자료로도 사용될 수 이어 정보유출 사고에 대응할 수 있다.
디지털가디언은 엔드포인트에서 일어나는 ‘파일’의 변경과 흐름을 추적해 비정상적인 암호화 시도나 불법적인 외부 유출을 차단한다. 스테가노그래피와 같은 파일 변조 행위까지 탐지할 수 있으며, 인/아웃바운드 행위를 감시한다. 중요도가 높은 정보의 라이프사이클을 관리해 데이터의 행위에 대한 상세 로그를 수집하고 추적한다. 이 기능은 온프레미스로도 제공되지만 클라우드로도 사용돼 다양한 악성행위로부터 중요정보를 안전하게 보호한다.
한편 한컴시큐어는 계열사인 한컴지엠디의 포렌식 솔루션, MDS테크놀로지가 공급하는 ‘바로니스’와 연동해 공격 탐지·대응 기능을 높일 수 있다고 주장한다. 바로니스는 문서중앙화처럼 중앙에서 관리하는 데이터의 라이프사이클을 관리하는 제품으로, 파일의 변경이력을 추적해 이상행위를 차단하고 감사에 사용할 수 있도록 한다. 주민등록번호, 특허기술 등 중요한 정보를 실시간으로 관리하고 감사증적을 남겨 보안사고시 추적할 수 있도록 한다.
신승목 한컴시큐어 차장은 “공격 방어를 위해 가장 중요한 것은 데이터를 보호하는 것”이라며 “좋은 솔루션을 도입하고 체계적인 보안 정책을 수립하는 것도 중요하지만 임직원 보안의식 교육을 통해 보안 정책을 우회하거나 무력화해 공격 취약점을 만들지 않도록 하는 것이 기본이다. 이에 더해 파일과 데이터를 관리하는 시스템으로 중요한 정보를 보호해야 한다”고 설명했다.
