엔드포인트 보안은 아무리 강조해도 지나치지 않는다. 대부분의 공격은 엔드포인트에서 시작되며, 정상 프로세스로 위장하기 때문에 침해 사실을 인지하기 까지도 상당한 시간이 걸린다. 코마스가 국내에 공급하는 ‘태니엄(Tanium)’은 포춘 100대 기업 중 절반이 사용하는 대표적인 엔드포인트 침해 탐지 및 대응(EDR) 솔루션으로, 수십만대의 엔드포인트를 단 15초만에 검색하고 침해를 탐지하는 높은 성능을 가진다. 자연어 질의, 통합보안 관리를 제공해 사용 편의성을 높였으며, 다양한 OS와 단말을 지원해 IoT 환경에서도 엔드포인트를 보호할 수 있다.<편집자>
기업 내에 구축된 수많은 보안 시스템이 궁극적으로 수행하는 일은 단말의 정확한 정보 파악과 장애 대응, 정보유출 방지를 위한 것이다. 공격은 지능화되고 있지만 전통적인 보안 모델은 이 변화를 따라가지 못해 침해가 발생한 후 탐지되기 까지 평균 200여일이 걸린다. 위협을 탐지하지 못하는 갭을 해결하기 위해 보안 솔루션을 계속 추가하고 있지만 너무 많은 보안 제품으로 인해 관리 복잡성이 높아지고 가시성이 떨어져 오히려 위협은 더 증가한다.
모든 공격을 중단하는 것은 어려우며, 공격 가시성을 높이고 방어 시간을 단축하는 방법으로 위협을 줄여나가야 한다. 이를 위해서는 보안 제품을 통합하고 자동화 하는 것이 필수적이다. 공격을 차단하는데만 치중하는 것이 아니라 진행된 공격을 탐지하고 대응하면서 침해로 인한 피해를 줄여나가야 하며, 추가 공격을 막는 방법을 마련해야 한다.
그 한 가지 방법이 엔드포인트 침해를 탐지하고 대응하는 ‘EDR’ 솔루션이다. EDR은 엔드포인트에서 침해흔적을 찾아 공격 확장을 중단시키고 피해규모를 조사해 대응하게 하는 제품이다. 많은 엔드포인트를 빠르게 탐색하고 검사해야 하며, 엔드포인트 상태에 대한 투명한 가시성을 제공해야 한다.
기업 중추신경계 역할 하는 ‘태니엄’
대표적인 EDR 솔루션으로 꼽히는 ‘태니엄’ 플랫폼은 보안과 IT 운영팀이 PC·서버 등 엔드포인트 환경에 대한 정보를 빠르게 검색하고 15초 이내에 정확하고 완전한 데이터를 가시성 있게 관리자에게 제시한다. 관리자는 엔드포인트 정보를 기반으로 보안 정책과 관리를 수행하고 위협에 대응할 수 있어 기업 내에 산재한 수많은 엔드포인트를 관리할 수 있다.
기업의 중추신경계 역할을 할 수 있는 태니엄은 수 초 이내에 기업의 모든 엔드포인트에 대해 침해지표(IOC)를 탐색한다. 자동화된 위협 탐지와 위협 인텔리전스에 활용하는 엔드포인트 시큐리티 기능을 제공하며, 기업의 IT 컴플라이언스 미 준수 자산 또는 미 관리 자산에 대한 신속한 탐지가 가능하다. 이를 통해 IT 운영 팀에서 모든 엔드포인트의 상태를 즉각적으로 확인할 수 있게 도와준다.
자연어 검색을 통해 현재와 과거의 데이터를 가져오거나 변경할 수도 있고 종료시키기도 한다. 각 엔드포인트에 대한 각종 보안 위협 및 취약점을 빠르게 탐지해 조치 할 수 있게 하는 등 모든 작업을 단 몇 초만에 수행한다.
태니엄 솔루션은 사내 네트워크 전체를 탐지해 인가되지 않은 디바이스나 애플리케이션이 연결되거나 설치돼 있을 경우 시스템 변경정보를 수집해 즉각 대응할 수 있도록 한다.
태니엄이 지닌 특별한 기술력을 통해 기업 내 엔드포인트와 관련된 모든 정보를 놀라운 속도와 차별화된 스케일로 확실하고 정확하게 가져와 오늘날의 다양한 사이버 위협으로부터 기업을 보호할 수 있으며, IT 운영이 심플하게 유지된다. 태니엄 솔루션은 서버 1대로 수십만 대의 IT 기기를 관리할 수 있어 새로운 레벨의 비용절감까지도 체감할 수 있게 한다.
모든 엔드포인트 위협 15초 이내에 탐색
태니엄은 자연어 질의를 통해 관리 편의성을 높일 수 있으며, 필요시 모든 엔드포인트를 대상으로 패치수행, 프로세스 강제 종료, 소프트웨어 라이선스 배포 등 모든 조치를 취할 수 있다.
서버 추가 없이 수백만 대의 엔드포인트를 대상으로 탐지 기능을 확대할 수 있으며, 윈도우, 리눅스, 유닉스, POS, 키오스크 등 다양한 OS와 디바이스를 지원한다. 오픈API를 활용해 기능의 무한 확장이 가능하며, 대규모 확장시에도 성능을 유지할 수 있다. 태니엄의 주요 기능은 다음과 같다.
● 자동화된 위협 탐지: 악의적인 행위와 취약점 평가를 몇 초 만에 알려준다.
● 침해사고 대응(IR): 발생된 사건을 면밀히 조사하는 과정에서 엔드포인트의 현재와 포렌식 데이터를 이용하여 공격을 교정하는데 소모되는 시간과 노력을 획기적으로 단축시킬 수 있다.
● 자산관리: 이용 빈도가 적은 하드웨어 및 라이선스가 종료된 소프트웨어와 같이 관리가 미흡한 자산을 식별해내 몇 초 만에 정리하는 과정을 통해 효과적으로 비용을 줄일 수 있다.
● 패치관리: 기존 솔루션 대비 1만 배 빠른 속도로 패치 할 수 있다.
● 컨피규레이션 컴플라이언스: 보안 상태를 항상 투명하게 유지시키고 침해사고가 발생할 시 엔드포인트 단에서 즉시 알맞은 IT 정책을 실효시켜 보안을 철저히 유지할 수 있다.
미국 소매업체 타겟(Targer)은 2013년 4000만건의 고객정보가 유출된 사고가 발생 한 후 태니엄 솔루션을 사용해 엔드포인트 보안 문제를 해결했다.
브래드 마이로리노(Brad Maiorino) 타겟 CISO는 “사고 후 집중한 부분은 보안사고를 탐지하고 사후에 신속히 대응할 수 있는 역량을 강화시키는 것이었다. 이를 위해서는 기업 전체의 모든 엔드포인트에 대한 통찰력이 실시간으로 이뤄져야 한다”며 “안정적인 컴퓨터 네트워크의 운영은 모든 산업군에서 필수적인 요소가 됐다. 공공기관, 금융권, 유통 산업에서는 더욱 그렇다. 차세대 IT 보안을 위한 모든 요소를 갖춘 혁신적인 솔루션 태니엄과 함께 보안의 패러다임을 바꿀 수 있다”고 말했다.
태니엄 엔드포인트 플랫폼은 세계에서 가장 큰 규모의 기업 및 정부기관인 씨티은행, 뱅크오브아메리카, 월마트 등 포춘 100대 기업 중 절반이상에서 사용하고 있는 차세대 통합보안 솔루션이다.
