‘디지털 트랜스포메이션’이 성장의 필수 조건이 되면서 현재는 물론 미래까지 포괄할 수 있는 차세대 기술 선택이 중요한 요소가 됐다. 이에 따라 소프트웨어 정의, 클라우드, 가상화, IoT의 실제 성공사례가 입증되고 있으며, IT 인프라의 체질 개선도 본격화 되고 있다. 본지는 디지털 트랜스포메이션을 가속화하고 4차 산업혁명 시대를 앞당기고 있는 ICT 기술을 평가하고 전망해본다.<편집자>
엔드포인트는 공격이 시작되는 지점이다. 공격자는 주요 시스템 접근권한을 가진 사람이나 혹은 그 사람의 PC와 연결되는 다른 직원을 속여 침투한다. 업무와 연관 있는 내용의 위장 이메일을 보내거나 타깃 사용자가 자주 방문하는 웹사이트에 악성링크를 심어 PC를 감염시키고 추가 페이로드를 내려보내면서 공격을 시작한다.
공격을 원천 차단하기 위해서는 엔드포인트 침해를 즉시 차단해야 하지만, 쉬운 일은 아니다. 엔드포인트 환경은 너무나 다양하고, 사람들은 너무 쉽게 보안 규칙을 어긴다. 열어보지 말라는 이메일을 열어보고, 신뢰할 수 없는 사이트에 방문하며, 토렌토 등에서 불법 콘텐츠를 다운받는다.
보안조직이 PC 보안패치와 백신 업데이트를 강제로 설정하지 않으면 패치를 하지 않고 취약점을 방치한다. 허가되지 않은 모바일 기기를 임의로 가져와 업무를 하거나 업무 자료를 반출시키는 것도 어렵지 않게 볼 수 있다.
알려진 위협 차단, 백신이 가장 우월
엔드포인트 보안위협은 보안 정책을 지키지 않는 임직원과 사회공학적 기법을 이용하는 지능형 공격자가 만나 진화한다. 임직원에게 보안정책 준수를 강제하는 것으로는 문제를 해결할 수 없다. 사용자가 실수하거나 고의로 위험한 행동을 한다 해도 엔드포인트에서 위험한 상황이 발생하는 것을 원천적으로 차단하는 방법이 필요하다.
엔드포인트 보안 기술은 가장 오래된 보안 기술이지만, 여전히 뜨거운 감자다. 2014년 시만텍 정보보호 수석부사장인 브라이언 다이가 새로운 엔드포인트 보안 기술이 필요하다고 강조하면서 말했던 ‘백신은 죽었다(Antivirus is dead)’는 말이 아직도 회자되면서 백신 종말론을 퍼뜨리고 있다.
그러나 백신은 죽지 않았고, 앞으로도 계속 죽지 않을 것이다. 알려진 위협을 차단하는데 가장 확실한 방법이 시그니처 기반 방어이며, 대부분의 공격은 시그니처에서 걸러낸다. 신변종 위협이 확산되면서 시그니처의 방어율이 떨어지고 있지만, 백신업체들이 신종 위협을 발견하고 탐지해 시그니처로 만들어 배포하는 속도를 빠르게 하면서 어느 정도의 방어율은 유지할 수 있을 것으로 보인다.
백신은 엔드포인트 보안의 필수요소이지만, 결코 충분하지 않다. 그래서 백신업체들은 평판분석 엔진, 상황인지 기술을 통합하고 있으며, 머신러닝을 이용해 지능적으로 위협을 학습하고 차단한다. 글로벌 위협 인텔리전스와 연동해 새로운 위협 정보를 실시간에 가깝게 받아 차단한다.
공격자 속여 공격 기법 알아내
시만텍은 차세대 엔드포인트 보안 기술에 공격자를 속이는 ‘디셉션(Deception)’ 기술을 탑재해 공격 탐지 정확도를 높이고 있다. 실제와 같은 가상환경으로 공격자를 유인하고, 공격에 성공한 것처럼 위장해 공격 방법과 공격도구를 알아내고 분석하는 방식이다. 더불어 하드닝 기술을 이용해 의심스러운 행위는 격리시켜 공격이 확산되지 않도록 한다.
시만텍은 SEP와 APT 방어 솔루션, 엔드포인트 침해 탐지 및 대응(EDR), 클라우드 기반 탐지 엔진을 하나의 에이전트로 통합한 ‘시만텍 엔드포인트 시큐리티’ 플랫폼도 내놓았다. SEP가 설치된 엔드포인트는 물론설치되지 않은 엔드포이트까지 보호하며, 엔드포인트 자산을 통합 모니터링해서 탐지하고, 숙련된 보안 분석가의 기술과 모범 사례를 제공해 사전 구축된 사고 대응책을 통해 보안 사고처리의 생산성을 높이고 비용을 절감할 수 있다.
강력한 경쟁력 가진 토종 솔루션
백신 시장은 토종 솔루션이 막강한 경쟁력을 갖고 있는 시장이다. 외산 엔드포인트 보안 솔루션은 우리나라의 수많은 금융 보안 모듈을 지원하지 못하며, 카카오톡 등 국산 메신저 지원도 어렵다. APT가 특정 지역의 문화를 학습해 맞춤형으로 진행되기 때문에 우리나라를 노리는 공격을 가장 정확하게 탐지하고 대응할 수 있는 역량도 토종 솔루션이 갖고 있다.
안랩은 백신 솔루션 ‘V3’와 APT 방어 솔루션 ‘MDS’를 연계해 지능형 보안위협에 대응한다. 토종 솔루션 중 가장 많은 시그니처를 보유하고 있으며, 알려지지 않은 공격을 차단하는 MDS의 실행보류 기능을 이용해 지능적으로 공격을 막는다.
새롭게 부상하는 안티바이러스 솔루션으로 세인트시큐리티의 ‘MAX’가 있다. 인공지능 기반의 MAX는 기존 백신이 탐지하지 못하는 것을 탐지하며, 위협 인텔리전스 서비스 멀웨어즈닷컴의 정보를 연계해 새로운 위협에도 즉시 대응할 수 있게 한다. 세인트시큐리티는 멀웨어즈닷컴 운영 경험을 인정받아 글로벌 사이버 위협연합(CTA)의 정식 회원사로, 국내 2번째로 가입했다.
국내 상륙한 EDR, 치열한 경쟁 예고
백신은 알려진 공격을 사전에 차단하는 선제방어의 역할을 하지만 완벽하지는 않다. 백신이 차단하지 못한 공격은 EDR 솔루션으로 방어한다. 초기 EDR은 엔드포인트에서 침해 흔적을 찾아 조사하는 기능을 강조했으며, 포렌식 기술을 가진 기업들이 EDR의 대표주자로 꼽혔다. 카본블랙이 대표적이며 ‘리스폰스(Response)’ 솔루션이 엔드포인트의 침해 흔적을 찾아 조사할 수 있도록 한다. 카본블랙은 비트나인을 인수하면서 추가한 화이트리스트 기반 탐지 솔루션 ‘프로텍션(Protection)’과 차세대 안티바이러스 ‘디펜스(Defense)’로 이뤄진 엔드포인트 보안 제품군을 보유하고 있다. 카본블랙의 국내 총판인 아이넷뱅크는 국내 공공기관, 대기업, 금융기관을 중심으로 영업을 전개하고 있다.
AI 기반 EDR로 유명한 사일런스는 코마스와 국내 유통 파트너십을 맺고 한국 시장에 진출했다. 이 회사의 ‘사일런스프로텍트(CylancePROTECT)’는 인공지능과 머신러닝을 보안에 접목한 제품으로, 실시간 수학적 모델링을 통해 사이버 위협 요인을 식별하고 새로운 악성코드와 바이러스, 알려지지 않은 변형된 유형까지 분석, 차단한다. 인터넷에 연결돼 있지 않은 상태에서도 동일하게 위협을 탐지하고 공격을 방어하며, 연 1~2회의 업데이트만으로도 강력한 보안 수준을 유지해 수시 업데이트에 의존해야 하는 불편함을 해소했다.
DLP와 EDR을 통합한 디지털가디언의 ‘ARC’는 ‘데이터 중심 ATP 기술’이 반영된 위협 인지 데이터 보호(TADP) 기술을 제공한다. ARC는 보호대상 데이터의 모든 변경 내용을 추적해 유출위협을 살피며, 인공지능 기술을 접목해 지능적으로 위협 상황을 파악한다. 클라우드 전용 분석 플랫폼을 제공해 엔드포인트 리소스 사용을 최소화할 수 있다.
토종 솔루션 업체도 EDR 시장에 진출해 경쟁을 촉진하고 있다. 지니언스의 ‘지니안 인사이츠 E’는 기업, 금융, 공공 등 모든 분야에서 고르게 판매되고 있으며, 다양한 엔드포인트 침해에 대응할 수 있고 랜섬웨어 위협으로부터도 안전하게 엔드포인트를 지킬 수 있는 제품으로 인정받고 있다.
‘지니안NAC’과 함께 사용되는 지니안 인사이츠 E는 별도의 통제서버를 사용하지 않고도 단말에서 발생한 보안위협을 신속하게 탐지하고 대응하며, 발견된 위협의 실행단계에서 최신 침해지표를 활용해 신속하게 탐지하고 즉각적으로 조치 대응할 수 있다.
토종기업과 손잡은 외산 솔루션
엔드포인트 보안의 중요성이 높아지면서 네트워크 보안 업체들도 엔드포인트에 집중 투자하면서 시장 확장력을 높여가고 있다. 네트워크 샌드박스 솔루션을 공급해 온 파이어아이는 일찌감치 EDR 솔루션 ‘HX’를 출시해 시장을 확장하고 있으며, SGA솔루션즈와 기술지원 파트너십을 맺고 우리나라 PC 환경에 최적화시킨 제품을 공급하기로 했다.
HX는 파이어아이의 특화된 샌드박스 기술인 MVX를 기반으로 하고 있으며, 맨디언트의 고도화된 침해대응 역량과 클라우드 기반 위협 인텔리전스인 DTI의 정보를 연계해 엔드포인트 위협을 지능적으로 탐지한다.
파이어아이 HX는 그동안 우리나라의 독특한 PC 환경을 지원하지 못해 고객을 확보하는데 어려움을 겪어 왔으나, SGA솔루션즈가 기술지원을 맡고 월요일부터 금요일까지 고객센터를 운영하는 등 국내 고객의 요구를 만족시킬 수 있는 서비스를 제공하기로 하면서 국내시장 확장 속도를 높일 수 있게 됐다.
SGA솔루션즈는 파이어아이와의 협력을 통해 엔드포인트 보안 시장의 영향력을 높이고 글로벌 진출 기회를 모색하는 한편, APT 방어 솔루션 ‘센트리APT’와 함께 엔드포인트 역량을 강화하겠다는 포부를 밝힌다. 센트리APT는 인공지능 기술을 엔드포인트 보안에 더한 제품으로, PC는 물론 서버보안 기술을 탑재해 윈도우, 리눅스, 유닉스 서버까지 보호할 수 있다. 더불어 인공지능 기반 차세대 보안관제 역량을 연계시켜 APT 방어 플랫폼으로 자리매김한다는 포부도 밝혔다.
특화 기술로 엔드포인트 보안 시장 공략
전통적인 네트워크·네트워크 보안 솔루션 기업들의 엔드포인트 역량 강화 노력도 주목할만하다. 시스코는 지능형 위협 탐지 엔진 AMP를 엔드포인트와 연계해 위협을 탐지하고 있으며, 팔로알토네트웍스는 익스플로잇 탐지 기능을 특화한 ‘트랩스(Traps)’를 소개한다. 팔로알토네트웍스의 파트너인 인섹시큐리티는 트랩스 도입 기업 고객을 대상으로 엔드포인트 기
기 보안 진단 서비스를 제공하며 고객 서비스 신뢰도를 높이고 있다. 인섹시큐리티는 옵스왓, 조샌드박스 등 다수의 보안 솔루션을 공급하고 있으며, 이 중 옵스왓 ‘메타스캔’은 40개 이상 백신을 하나의 엔진에서 구동시킬 수 있는 제품으로 국내 대기업·공공기관에서 호평을 받고 있다.
포티넷의 ‘포티클라이언트’는 포티넷 보안 패브릭 전략에 속해있으며, 엔드포인트로 유입되는 신변종 위협을 탐지·차단하는 한편 보안 패브릭을 통해 수집·분석·배포되는 위협에 대응한다.
랜섬웨어 방어 전용 솔루션 인기
랜섬웨어가 고도화되고 지능화되면서 랜섬웨어 차단 솔루션도 인기를 끌고 있다. 국내 랜섬웨어 방어 전용 솔루션은 대부분 미끼 방식을 택하고 있다. 랜섬웨어에 감염됐을 때 가장 먼저 암호화를 시도하는 폴더의 제일 앞에 미끼파일을 놓고, 이 파일이 암호화되면 해당 프로세스를 차단하는 방식이다.
초기에는 이 방식이 꽤 효과가 있었지만, 공격자들이 미끼 방식을 알게 되면서 미끼를 물지 않게 돼 랜섬웨어 방어 효과는 감소됐다. 랜섬웨어도 악성코드를 이용하는 만큼, 백신 솔루션에서는 악성코드를 잘 찾아 대처하면 된다고 여기고 있지만, 랜섬웨어는 다른 사이버 공격보다 신변종 코드가 더 많이, 더 자주 발생하고, 피해 범위가 넓고 즉각적이기 때문에 백신으로는 막을 수 없다. 따라서 랜섬웨어 방어 전용 솔루션이 주목을 받고 있다.
한국랜섬웨어침해대응센터를 운영하고 있는 이노티움은 ‘랜섬크런처 EDR’을 출시하면서 랜섬웨어 대응 수준을 한 차원 높였다. 랜섬크런처 기술(RCT) 알고리즘을 적용한 이 제품은 실시간 소프트웨어 인증, 행위분석 기술을 융합한 EDR, 실시간 암호화 보안백업 등을 제공한다.
랜섬크런처 EDR은 총 4단계에 걸쳐 랜섬웨어를 차단하는데, 디지털 서명을 포함한 소프트웨어 인증을 수행한 후 실시간 이상행위를 감시·차단, 확산방지를 수행한다. 랜섬웨어 침해 시 순간백업과 자동 롤백을 수행하고 DB와 문서를 로컬과 원격 저장소로 암호화하는 보안백업을 거친다.
이러한 과정을 통해 악성코드의 작동부터 데이터 접근까지의 단계별로 모니터링하고 실시간 로그분석에 의한 제어·확산을 방지한다. 이 제품은 최근 한 기관에서 실시한 테스트에서 최신 랜섬웨어와 변종, 자체 제작 랜섬웨어 등 62개의 공격을 모두 차단했다.
이외에 주목할만한 랜섬웨어 방어 솔루션으로 누리랩의 ‘NAR’, 체크멀의 ‘앱체크’ 등이 있으며, 랜섬웨어의 행위가 감지되면 해당 프로세스가 데이터에 접근하지 않도록 차단하고 데이터를 즉시 안전한 저장 공간에 백업한다. 시그니처를 추가하고 클라우드 기반 탐지 정책을 연동해 오탐 없이 정확도를 높인다.
누리랩은 윈도우, 리눅스, 안드로이드 기반 랜섬웨어는 물론 서버를 타깃으로 하는 랜섬웨어까지 막을 수 있다는 점을 강조한다. 자사의 키콤 백신은 AMTSO 회원사로 등록돼 백신 성능을 인정받았다는 사실도 강조한다.
체크멀은 지란지교재팬을 통해 일본시장 공략을 강화하고 있다. 이미 국내 공공기관 다수에 공급돼 성능을 인정받았으며, 오오츠카상회 등 일본 대형 유통사 3곳에 공급되면서 일본 시장에서도 의미있는 성장을 보이고 있다.
닉스테크의 ‘세이프 프로세스(SafePROCESS)’는 랜섬웨어 행위 기반 분석과 화이트리스트 분석을 동시에 만족시키는 제품으로 PC부하 최소화를 위해 관리자가 지정한 확장자에 접근하는 프로세스를 통제한다. 알려지지 않은 프로세스가 중요 확장자에 접근해 암호화 작업을 진행하는 경우 해당 프로세스를 차단하고, 알려진 악성코드와 C&C 서버 URL, IP에 대해 차단하는 기능을 제공한다.
닉스테크는 보안 USB와 통합 엔드포인트 보안 솔루션을 공급하고 있다. 닉스테크의 보안 USB는 보안USB와 매체제어, 개인정보 검출 및 유출 통제(DLP), 랜섬웨어 대응 솔루션까지 하나의 통합서버와 에이전트로 제공해 제품의 편의성이 높다.
모바일 보안 시장도 꿈틀
엔드포인트 보안을 살펴볼 때 절대 간과하지 말아야 할 것이 모바일이다. 랜섬웨어가 유행하면서 스마트폰 악성앱을 이용한 공격이 줄어든 것처럼 보이지만, 모바일은 여전히 심각한 보안홀이다. 이전에는 인터넷에서 악성앱을 다운로드 받도록 유도하는 공격이 성행했으나 최근에는 구글 플레이스토어 등 공식 앱스토어에 정식적으로 악성앱을 등록시켜 공격한다. 또한 스마트폰을 노리는 랜섬웨어도 등장하고 있어 사용자의 각별한 주의가 요구된다. 국내에서는 안드로이드 기반 스마트폰의 사용률이 월등히 높아 스마트폰 기반 악성앱과 악성코드를 차단하는 솔루션이 다수 등장하고 있다.
NSHC는 안드로이드 스마트폰을 보호하는 솔루션을 개발해 공급하고 있으며, 라온시큐리티, 엠시큐어는 안드로이드와 iOS까지 보호하는 솔루션을 출시하고 시장을 다각화하고 있다.
BYOD를 지원하기 위한 엔터프라이즈 모빌리티 관리(EMM) 솔루션 시장도 조용하지만 꾸준히 성장하고 있다. BYOD가 처음 시작됐을 당시에는 20여개 솔루션이 난립하면서 치열한 경쟁을 벌였고, 저가수주가 일상화 되면서 과당경쟁이 심각한 문제가 됐다. 가격경쟁을 이기지 못한 기업들은 일찌감치 이 시장에서 물러났으며, 외산 솔루션은 클라우드와 스마트워크를 지원하는 보다 넓은 플랫폼 시장으로 이동했다.
국내에서 가장 활발하게 활동하는 EMM 솔루션은 지란지교시큐리티의 ‘모바일키퍼’로, 국내 모바일 환경의 특수성에 맞게, 고객이 원하는 기능만을 개발해 컴팩트한 솔루션을 만들어 경쟁력 있는 가격으로 제공하면서 모바일 관리 시장을 점령했다.
