[망분리 보안⑥] 업무망 PC 보호 기술 ‘시급’
상태바
[망분리 보안⑥] 업무망 PC 보호 기술 ‘시급’
  • 김선애 기자
  • 승인 2018.07.19 08:31
  • 댓글 0
이 기사를 공유합니다

인터넷 연결된 업무망 PC ‘빨간불’…EDR로 PC 보안 강화해야

망분리를 맹신하는 것은 위험하다. 망분리의 망연계 구간과 엔드포인트는 일반 업무환경보다 오히려 더 위험한 상태에 놓여있다. 망분리 후 협력사에 데이터를 전송할 때 평문으로 보내는 경우도 비일비재하다. 현재 망분리 환경의 보안 위협을 살펴보고, 이를 해결할 수 있는 방법을 소개한다.<편집자>

EDR로 내부망 PC 보호

원칙적으로 업무망은 인터넷에 연결되면 안 된다. 그러나 실제 업무 환경을 들여다보면 보안정책을 위반하고 업무망에서 수시로 인터넷에 연결하는 사례를 볼 수 있다. 물리적 망분리로 업무망 PC는 인터넷 연결을 단절시켜놨다 해도 랜 케이블을 무단으로 연결해 인터넷 접속하는 사례는 부지기수로 나타난다.

업무망 PC가 인터넷에 접속한다면 망분리의 의미가 없다. 그러나 망분리는 업무에 불편함을 주고 자유를 제한하기 때문에 보안 정책을 무시하고 마음대로 인터넷에 연결하는 사람들이 나타난다. 이러한 행위가 얼마나 위험한 것인지 교육하고, 보안위반에 대한 책임을 지도록 정책을 만들어야 한다. 그러나 교육과 규칙만으로 모든 임직원이 보안 수칙을 지킬 것이라고 믿어서는 안 된다.

업무망 보안을 위해 최근 새롭게 제안되는 것이 엔드포인트 침해 탐지 및 대응(EDR) 솔루션이다. 업무망 PC에 백신은 설치돼 있지만, 백신으로 탐지하지 못하는 공격을 탐지하는데 EDR이 사용된다. EDR은 모든 엔드포인트에서 침해흔적을 찾아내고 포렌식 분석을 할 뿐 아니라 자산관리와 이상행위 탐지를 통해 침해 여부를 알아낸다.

권진욱 레드스톤 대표이사는 “한 금융기관이 망분리 후 보안 수준을 조사한 결과, 내부망이 악성코드에 감염된 것은 망분리 전 보다 70% 줄어들었지만, 내부망 PC의 악성코드 감염은 지속적으로 발생하는 것으로 나타났다. 이는 내부망 PC 사용자들이 수시로 인터넷에 접속한다는 뜻”이라며 “망분리로 내부망이 안전하다고 믿고 망연계 등 경계구간만을 감시하면 내부에서 발생하는 위협에 대응하지 못한다. 업무망 PC도 철저하게 보호해야 한다”고 말했다.

▲내부망 PC 보안 위협 요소(자료: 레드스톤소프트)

정밀한 PC 행위분석으로 위협 탐지

레드스톤소프트의 ‘레드스톤(RedStone)’은 행위분석 기반 엔드포인트 보호 솔루션으로, 인터넷 연결이 단절된 환경에서도 정확하게 이상행위를 탐지할 수 있는 고급 머신러닝 알고리즘을 채택했다.

레드스톤은 안랩, 하우리, 삼성SDS 출신의 보안솔루션 전문가 그룹이 설립했으며, 악성코드 행위에 대한 높은 전문성을 기반으로 고급 행위분석 기술을 개발했으며, 일반 업무 환경 뿐 아니라 망분리 환경에서도 최적화된 보안을 제공한다.

커널에서 이상행위를 모니터링해 장애·충돌 없이 이상행위를 감지할 수 있으며, 자체 개발한 악성행위 판단 엔진 ‘쓰렛 인텔리전스(TI)’, 이상행위 탐지(RSC) 엔진으로 탐지 정확도를 높인다. 백신, 보안정보이벤트관리(SIEM)과 함께 사용하면 탐지 효과를 더욱 높일 수 있다.

레드스톤소프트는 지니언스에 인수됐으며, 지니언스는 EDR 솔루션 ‘지니안 인사이츠 E’에 레드스톤 행위기반 분석 기술을 적용해 더 정확하게 엔드포인트 보안을 제공한다는 계획을 밝혔다.

‘지니안 인사이츠 E’는 ‘지니안 NAC’을 통해 수집한 엔드포인트 정보를 IOC와 글로벌 위협 인텔리전스와 비교해 침해 발생 여부를 판단한다. 여기에 레드스톤의 머신러닝 기반 행위분석 기술이 접목되면 더 정교한 공격을 탐지하면서도 장애 없이 안정적으로 운영할 수 있을 것이라고 기대한다.

‘지니안 인사이츠 E’는 10년 이상 NAC 솔루션을 공급해 온 지니언스의 엔드포인트 전문성이 녹아있는 솔루션으로, 가볍고 빠르게 엔드포인트 위협을 감지할 수 있다. 2600유저 규모의 증권사에서도 사용하면서 엔드포인트에서 발생하는 위협을 실시간으로 탐지하고 있다.

이대효 지니언스 연구기획실장은 “망분리는 보안 청정지역이 아니며, 특히 엔드포인트에서는 보안 위배가 수시로 적발된다. 엔드포인트의 가시성을 확보하지 않으면 망분리는 무용지물이 된다”며 “위협에 선제적으로 대응하기 위해서는 엔드포인트 행위를 파악하고 대응해야 한다”고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.