엔드포인트·네트워크·이메일·웹·클라우드 연계한 위협 탐지·대응 필요
[데이터넷] 엔드포인트 단에서만 보안을 접근한다면 백신과 EDR의 통합이 중요하다. 전사 위협 관리의 차원에서 본다면 이메일, 웹, 네트워크, 클라우드까지 아우르는 통합 보안 전략이 필요하다. 엔드포인트가 보안에 가장 취약한 지점인 것은 사실이지만, 모든 위협이 엔드포인트를 직접 겨냥하는 것이 아니다. 또한 엔드포인트를 감염시킨 후 엔드포인트를 통해 중요 시스템으로 침투하기 때문에 전체 공격을 가시화하고 대응하기 위해서는 엔드포인트만을 보고 있어서는 안된다.
배민 시스코코리아 보안 솔루션 총괄 상무는 “감염 원인을 추적하고 초기 유입된 경로부터 예방에 이르기까지 효과적으로 대응하기 위해서는 엔드포인트를 넘어서 네트워크, 클라우드까지 확장된 통합 대응이 필요하다”며 “엔드포인트 그 자체만 대응하는 것이 아니라 이메일, 웹 및 방화벽까지 더욱 포괄적인 관점에서 보안 제품 간을 연동하고, 이를 통한 효과적인 추적 및 대응이 중요하다”고 강조했다.
시스코는 이와 같은 통합을 이룰 수 있는 보안 전략을 제시하고 있으며, 보안 솔루션 연동을 통해 위협 추적을 용이하게 하는 ‘CTR(Cisco Threat Response)’을 무상으로 제공한다. 또한 위협 인텔리전스 조직 탈로스(Talos)를 통해 수집되는 위협 데이터를 통해 최신 위협 대응 효과를 높인다.
멀웨어 분석 플랫폼 ‘AMP(Advanced Malware Protection)’는 지능형 샌드박스와 실시간 악성코드 차단 기술을 제공하며, 위협 인텔리전스 정보를 이용해 엔드포인트, 네트워크, 이메일, 클라우드에서 알려진/알려지지 않은 위협을 찾아낸다. 메모리 단계에서 익스플로잇 방어 기능을 이용해 지능형 익스플로잇 공격을 차단하며 회귀적 보안 분석을 통해 공격이 어떻게 침투해 진행됐는지 분석한다.
국내 한 보험사는 시스코 EDR과 DNS 보안을 적용해 VPN을 구축해 보안성을 한층 강화했다. VPN 클라이언트 ‘애니컨넥트(AnyConnect)’에 EDR 에이전트 ‘AMP 포 엔드포인트’와 DNS 보안 솔루션인 ‘엄브렐라(Umbrella)’를 통합해 쉽게 배포하고 관리할 수 있게 했다.
너무 많은 보안 제품으로 인해 위협 높아져
시스코가 ‘전사 통합’ 관점의 보안을 강조하는 것은 너무 많은 단편적인 보안 솔루션으로 인해 보안위협 관리가 어려워지고 있기 때문이다. 시스코가 2019년 아시아 태평양, 일본 및 중국 지역을 대상으로 실시한 조사 결과에 의하면, 한국은 56%에 해당하는 응답자가 10개 이상의 보안 관련 벤더를 사용하고 있다고 답했다. 응답자 35%는 매일 10만 개 이상의 보안 경고(이벤트)가 발생된다고 답했는데, 응답자 92%는 제품에 발생하는 경고 처리에 어려움을 느낀다고 답했다.
한국의 사이버 피로감(Cyber Fatigue) 수치는 60%로 글로벌 평균(30%) 대비 두 배나 높았다. 이 같은 결과를 통해 국내 시장에서는 탐지 경고보다 대응에 있어 현실적인 어려움이 크고, 위협 발생에 있어 제대로 대응하고 있지 못하고 있다는 것을 알 수 있었다.
실제로 대규모 침해사고는 보안투자에 적극적인 조직에서 발생했다. 파이어아이 조사에 따르면 침해사고를 당한 모든 기업은 방화벽을 보유하고 있었으며, 백신 등 보안 솔루션의 패턴을 최신으로 유지하고 있었다. 그럼에도 불구하고 탐지일 까지 소요되는 평균 일 수는 205일, 탐지 후 침해 대응에 소요되는 평균 일 수 32일이나 걸렸으며, 침해사실을 자체적으로 인지하지 못하고 외부로부터 통보받는 경우가 69%였다.
엔드포인트부터 네트워크까지 통합 보호
이 같은 문제가 발생하는 것은 보안 솔루션을 통합하지 못하기 때문이다. 팔로알토 보고서에서는 “공격이 발견됐을 때 즉시 차단하지 못하고 티켓을 제출하거나 다른 팀원에게 보안 정책 업데이트를 요청하면, 조치가 완료될 때 까지 며칠 혹은 몇 주가 소요될 수 있다. 이를 감안하면 기업이 침해를 파악하고 격리하는데 소요되는 시간이 늘어나는 것도 놀라운 일은 아니다”고 지적했다.
개별적으로 동작하는 보안 솔루션을 통합 관리하기 위해 SIEM이 도입되고 있지만, 전통적인 SIEM은 로그만을 분석해 전체 위협에 통찰력 있게 대응하지 못하며, 방대한 로그 수집과 분석에 많은 비용과 시간이 소요된다. 네트워크 포렌식 기술을 적용한 네트워크 위협 분석(NTA) 솔루션이 AI를 탑재해 지능적으로 위협을 탐지한다고 강조하지만, 네트워크 상의 위협만을 보기 때문에 위협 가시성을 보장하지 못한다.
왕정석 스텔라사이버 한국지사장은 “현재 보안 조직은 엔드포인트, 네트워크, 클라우드를 따로 분석하고 있는데, 이 때문에 중간에 보지 못하는 홀이 생길 수 밖에 없다. 사이버 킬체인 전반에서 일괄적으로 보안을 관리하는 통합 보안 전략이 필수”라고 설명했다.
단일 플랫폼서 전사 위협 탐지·대응
가장 이상적인 보안 환경은 모든 것을 투명하게 들여다보고 일괄적이며 체계적으로 관리하는 것이지만, 현실적이지 않다. 여러 벤더의 보안 솔루션들이 하나의 플랫폼으로 완벽하게 통합되는 것은 불가능하다. 심지어 한 벤더에서 공급한 보안 솔루션의 다른 버전도 통합이 안되는 경우도 있다.
흩어지고 독립된 보안 솔루션이 발생시키는 이벤트는 보안 관리자들이 모두 다 분석할 수 없다. RSA 조사에 따르면 93%의 SOC 인력이 잠재적인 모든 위협을 추적할 수 없다고 털어놨으며, 25%는 SOC가 충분히 조사할 수 없을 만큼 많은 보안 알람으로 인해 보안 위협에 대응할 수 없다고 고백했다.
그래서 단일 벤더의 통합 플랫폼으로 복잡해지는 보안 위협에 대응해야 한다는 주장이 나오고 있다. RSA 넷위트니스 플랫폼은 엔드포인트와 로그, 패킷, 클라우드를 통합해 운영 환경을 세밀하게 파악하고 정교한 공격을 탐지·조사한다. 실시간 상관관계 분석 모듈인 ESA(Event Stream Analysis)를 이용해 여러 이벤트를 상관분석하며, 머신러닝 기반 행위분석으로 정교한 보안 위협에 대응한다.
넷위트니스 제품군에 속한 EDR 솔루션 ‘넷위트니스 엔드포인트’는 메모리의 프로세스와 디스크 프로세스를 비교해 이상행위를 확인한다. 아주 가벼운 에이전트를 통해 이상행위의 메타 ㄷ이터를 추출하며, 파일 평판과 프로세슬 분석을 통해 위협을 탐지한다. 로그, 패킷, 클라우드와 연동해 전체 위협의 가시성을 제공하며, 최신 위협 인텔리전스와 평판정보를 연계해 탐지 정확도를 높인다.
