> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[엔드포인트 보안⑥] 보호해야 하는 데이터만 보호
EDR, C레벨·연구소 등 중요 데이터 많은 임직원에 우선 적용해야…중요도 따른 보호 정책 필수
     관련기사
  “엔드포인트 데이터 보호하는 EDR로 시장 개척”
  [엔드포인트 보안②] 백신, EDR 탑재하며 차세대 변신
  [엔드포인트 보안③] 침해 조사로 AV 우회한 공격 탐지
  [엔드포인트 보안④] 샌드박스와 결합한 탐지·대응
  [엔드포인트 보안⑤] EDR 솔루션 국내 장악력 높여
2016년 12월 22일 11:20:00 김선애 기자 iyamm@datanet.co.kr

‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>

중요정보 취급하는 조직부터 우선 적용해야

엔드포인트에 설치되는 모든 보안 시스템이 그렇듯, 다른 에이전트와의 충돌이나 장애, 리소스 과다 사용, 업무 생산성 저하, 상황별로 다른 예외처리, 사용자 행위 모니터링에 대한 직원의 거부감 등이 발생할 수 있다. 때문에 초기 전사도입보다 중요한 데이터를 다루는 업무 조직부터 순차적으로 확대 적용하는 것이 필요하다.

이준희 RSA 부장은 C레벨부터 적용하는 방안을 제안한다. C레벨이 중요한 정보를 가장 많이 취급하고 있기 때문이기도 하지만, 사용자의 반발이 큰 시스템일수록 톱다운 방식의 의사결정과 배포가 더 유리하기 때문이기도 하다.

C레벨에서 사용하면서 업무에 방해가 되는 정책을 수정하고 예외처리를 하는 한편, 중요하게 보호해야 하는 자산에 대한 정책을 만들어가는 것이 필요하다. 중요 시스템을 관리하는 아웃소싱 직원이나 해외·지방 등 원격지 사무소 관리 역시 엔드포인트 보안 시스템의 우선순위로 고려돼야 한다.

남인우 디지털가디언 한국지사장은 연구소 등 중요한 지적 재산을 가진 조직에 우선적으로 공급하는 방안을 제안한다. 기업의 핵심 정보자산을 취급하는 조직이라면 다양한 방법으로 시도되는 침해사고에 대응할 수 있는 방법이 시급히 필요하기 때문이다. 특히 분리된 망에서 운영되는 중요 정보 데이터의 유출을 방지하기 위해 망분리·가상화 시스템도 지원하는 EDR 제품이 필요하다고 강조했다.

관제 시스템, 침해사고 대응팀(IR)에서도 EDR이 필요하다. 침해사고를 인지하고 조사할 때 해당 단말을 조사하기 위해 대응인력이 해당 지역으로 이동하는 과정에서 추가 피해가 발생하거나 공격자가 침해흔적을 지워 조사를 어렵게 만들 수 있다. 가트너는 EDR의 요건 중 원격접속을 통한 조사가 가능해야 한다고 밝혔는데, 이와 같은 경우 효과적인 침해대응을 위해 원격지 지원이 가능한 EDR로 공격에 대응할 수 있다.

지켜야 할 ‘데이터’만을 지킨다

엔드포인트 보안 전략을 수립할 때 가장 중요한 것은 지켜야 할 데이터만을 효과적으로 지키는 것이다. 대부분의 침해사고는 중요정보 유출이나 파괴를 위해 진행되기 때문에 중요한 데이터를 철저히 보호해 피해를 예방하는 것이 필요하다.

디지털가디언은 데이터를 중요도에 따라 분류하고 데이터에서 발생하는 모든 행위를 기록으로 남기며, 이상행위를 탐지해 프로세스를 격리하고 관리자에게 알린다. 차세대 DLP로 분류되는 디지털가디언은 APT 방어 기능을 통합한 ‘위협 인지 데이터 보호 플랫폼(Threat-aware Data Protection Platform)’의 역할을 수행한다.

디지털가디언은 윈도우, 리눅스, 맥 등 다양한 OS를 지원하며, 저장중인 데이터와 활용중인 데이터, 웹·이메일을 통해 이동 중인 데이터까지 모두 모니터링하고 관리할 수 있도록 가시성을 제공한다. 커널 레벨 탐지 정책으로 사용자 레벨 보안 시스템을 기존 DLP의 한계를 해결할 수 있으며, 암호화 통신 가시성을 제공한다. 뛰어난 포렌식 기능을 탑재하고 있으며, MSP 서비스를 통해 관제 전문가들이 엔드포인트 행위를 분석하고 자산의 불법 이동·변경을 탐지할 수 있다.

남인우 지사장은 “디지털가디언은 데이터 라이프사이클을 모두 기록하며, 데이터 행위 중심의 EDR이 가능하다”며 “가상 시스템을 이용한 데이터 유출, 문서중앙화 서버·네트워크 서버에서 외장 디스크로 직접 데이터를 빼가는 행위, 암호화 유출, 파일 시그니처 변조 등의 악의적인 행위를 막을 수 있으며, 랜섬웨어와 같은 비인가 암호화 행위도 대응할 수 있다”고 말했다. 

   

▲디지털가디언 데이터 보호 아키텍처

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  엔드포인트, 보안, 엔드포인트 보안, 엔드포인트 침해 대응 및 탐지, EPP, EDR, 악성코드, 해킹, 보안, 사이버 보안, 백신, 안티바이러스
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr