[데이터넷] 미국 여행사 CWT가 지난해 랜섬웨어 공격을 당해 53억원을 공격자에게 송금하는 피해를 입었다. 돈을 받은 후 공격자는 10가지 조언을 했는데 로컬 암호를 비활성화하고 사용자 권한을 최소화하며 허가된 응용프로그램에만 접근하도록 허용해야 한다는 내용이었다. 또 안티바이러스(AV)만 맹신하지 말고 EDR을 설치하며, 최소 3명의 시스템 관리자가 24시간 근무하는 것이 좋고 대기업이라도 4명이 8시간 동안 교대 근무하면 충분하다고 밝혔다.

코로나19로 가뜩이나 어려운 여행사가 랜섬웨어로 막대한 금전 피해를 입었다는 사실보다 더 뼈 아픈 사실은 공격자가 지적한 10가지 항목이 보안을 위해 기본적으로 갖춰야 하는 것이라는 점이다. 반드시 필요한 응용프로그램만 접속을 허락하고, 암호를 정기적으로 변경하며, AV와 EDR을 이용해 엔드포인트 위협에 대응하며, 실시간 중단없는 모니터링으로 위협을 차단하라는 내용은 랜섬웨어 방어를 위해 필수적인 요구사항이다.

말은 쉽지만 실천은 어렵다. 최소권한원칙을 적용해 반드시 필요한 애플리케이션에만 접속하도록 하면 업무 상 불편한점이 너무 많다. AV와 EDR을 설치하면 엔드포인트 리소스를 과다 사용해 엔드포인트 성능 저하와 장애·충돌의 문제가 생긴다. EDR은 이벤트가 많이 발생하기 때문에 더 많은 전문가가 필요하다.

신승목 동훈아이텍 이사는 <데이터넷TV>를 통해 진행한 웨비나 ‘처음부터 다시 생각하는 엔드포인트 보안’에서 “해커가 조언한 보안 권장사항 중 엔드포인트 영역을 주의깊게 봐야 한다. 현재 기업·기관의 엔드포인트 보안이 어느 정도 갖춰져 있다고 하지만, 여전히 악성코드 감염, 램섬웨어 피해가 증가하고 있다”며 “기존의 보안 체계는 한계에 부딪혔다는 사실을 인정하고, 새로운 보안 체계를 검토해야 한다”고 강조했다.

새로운 엔드포인트 보안 방안 시급

신승목 이사는 현재 엔드포인트 보안에 대한 ‘불편한 진실’을 설명했다. 보통 100개의 악성코드가 유입되면 AV에서 70개를 차단하고 NGAV가 20개를 탐지하며, 나머지 10개는 감염 후 포렌식 분석 등을 통해 대응하는 것으로 알려진다. 그러나 포렌식 분석은 완벽하지 않으며, 사고 후 대응이기 때문에 피해를 막지 못한다.

또 최근 나타나는 새로운 위협은 기존의 포렌식 기술로 막을 수 없다. 일례로 공격자가 공격 흔적을 지웠을 때 분석이 어렵다는 것을 들 수 있다. 포렌식 분석을 통해 지워진 공격 흔적을 복구하면서 공격 경로와 사용한 도구, 취약점 정보를 파악하는데, 최근 서버에서 사용하는 SSD는 HDD에 비해 복구율이 낮기 때문에 기존 방식으로 분석할 수 없다.

EDR은 실시간으로 공격과 관련된 정보를 수집·분석하며 탐지하고 대응하는 것을 목표로 해 실시간으로 위협을 차단하고 피해 확산을 막는다. 엔드포인트에서 발생하는 모든 행위를 가시화하고, 보안 인텔리전스를 이용해 윙협을 탐지하고, 탐지된 공격에 즉시 대응하며, 치료하고 교정해 업무 중단 없이 보안에 대응하도록 한다.

엔드포인트에서 알려진 공격을 막는 AV, 알려지지 않는 공격은 AI로 분석해 탐지·차단하는 NGAV, 그리고 진행중인 위협을 실시간 분석해 대응하는 EDR이 모두 하나의 벤더에서 제공되면 훨씬 더 강력한 엔드포인트 보안이 될 수 있다. 실제로 가트너는 EPP와 EDR을 융합해 위협과 파급력에 대한 가시성을 확보하고 좋은 대안을 제시할 수 있다고 강조한다.

신승목 이사는 “엔드포인트 보안 시장은 AV, NGAV, EDR 등 보안 기능이 하나의 에이전트로 통합되는 분명한 추세를 보이고 있다. EDR은 솔루션이 아니라 기반기술로, 엔드포인트 보안을 강화하는 역할을 하게 될 것”이라며 “현재 시장에서는 AV에서 시작한 기업, DLP에서 시작한 기업, 침해대응(IR)에서 시작한 기업 등이 각각 다른 경쟁력을 강조하는데, 결국 기존 레거시 엔드포인트 보안을 대체하는 통합 솔루션으로 진화하게 될 것”이라고 설명했다.

NGAV·EDR·MSS 원 에이전트로 제공

동훈아이텍은 크라우드스트라이크를 국내 고객에게 공급하면서 엔드포인트 보안 시장을 공략하고 있다. 크라우드스트라이크는 여러 시장조사기관으로부터 뛰어난 위협 탐지 능력을 인정받은 엔드포인트 보안 기업으로, 가장 완성도 높은 EDR 솔루션으로 선정되고 있다.

크라우드스트라이크는 NGAV, EDR, 매니지드 보안 관제 서비스 ‘오버워치’를 하나의 에이전트로 제공한다. 크라우드스트라이크 ‘팔콘(Falcon)’ 플랫폼은 ▲NGAV, 원대응, 통합된 위협 인텔리전스, 매체제어, 방화벽관리 기능을 제공하는 ‘팔콘 프로’ ▲‘팔콘 프로’에 EDR과 매니지드 위협 헌팅, 더한 ‘팔콘 엔터프라이즈’ ▲팔콘 엔터프라이즈에 IT 위생을 더한 ‘팔콘 프리미엄’ ▲매니지드 보안 서비스를 통해 최대 100만달러 보증을 지원하는 통합 플랫폼 ‘팔콘 컴플리트’로 구성된다.

크라우드스트라이크는 파트너 애플리케이션을 등록해 이용할 수 있는 마켓플레이스를 제공하며, XDR, 클라우드 보안, OT 보안까지 확장 가능한 생태계를 제공한다. OT 보안 영역은 전문 벤더와 협력해 IT 망 엔드포인트는 크라우드스트라이크가, OT 엔드포인트는 전문 벤더 솔루션이 위협에 대응하고 연계 분석해 IT-OT 통합 보안을 지원한다.

또 XDR 역량을 높이기 위해 2월 휴미오(Humio)를 인수했다. 휴미오는 클라우드 로그 분석 전문기업으로, 크라우드스트라이크 분석 역량을 클라우드로 확장할 수 있도록 한다.

클라우드 기반 분석으로 정확도·편의성 높아

크라우드스트라이크는 SaaS로 제공되기 때문에 국내 기업들이 다소 소극적으로 접근하는 경우가 있다. 그러나 신승목 이사는 “클라우드에 대한 인식이 빠르게 개선되고 있기 때문에 클라우드 기반 분석은 점점 더 장점이 되고 있다”고 소개했다.

신 이사는 최근 직접 수행한 랜섬웨어 사고 대응 사례를 설명했다. 이 기업에서 사용하는 모든 서버, PC가 랜섬웨어로 동작이 정지된 상태였다. 모든 기기가 다운돼 있었으며, 랜섬웨어 공격이 진행중이어서 다시 부팅을 해도 다운되는 상황이었다. 서버를 구동시킬 수 없어 온프레미스 보안 솔루션으로는 분석이 불가능했다.

크라우드스트라이크는 클라우드에서 서버 상태를 확인하고 분석해 원인을 찾아내 치료했다. 이 기업은 그 후 크라우드스트라이크를 이용해 위협 탐지·대응 능력을 테스트 하던 중 랜섬웨어가 다시 공격하는 것을 감지했다. 이 때 크라우드스트라이크가 이 이상행위를 탐지하고 선제적으로 차단해 공격이 일어나기 전에 선제적으로 차단했다.

신 이사는 “크라우드스트라이크는 클라우드에서 분석·관리되기 때문에 전사 엔드포인트 보안 위협을 분석, 탐지하고, 전체 자산을 가시화·정책 배포가 용이하다. 진행중인 위협에 대한 다양한 탐지·분석 엔진을 클라우드에서 제공해 더 가볍고 빠르게 공격 탐지가 가능하다”고 설명했다.

고객 환경 최적화된 ‘탐지와 대응’ 솔루션 제공

이어진 세션에서 김병문 동훈아이텍 책임이 데모를 통해 크라우드스트라이크 관리 콘솔의 편의성에 대해 시연하면서 소개했다. 크라우드스트라이크는 위협 심각도 순으로 보여주며, 사전에 차단된 프로세스는 차단 이유와 과정을 상세히 보여준다. CVE 취약점 안내와 어떤 시스템에 취약점이 있으며 치료할 수 있는 방법 등을 제공한다.

김병문 책임은 “크라우드스트라이크는 사용 방법을 상세한 매뉴얼로 제작해 온라인으로 제공한다. 언제나 쉽게 각 메뉴의 내용을 상세하게 확인할 수 있으며, 필요한 툴을 다운받아서 이용할 수 있다. 쉽고 편하게 운영할 수 있는 크라우드스트라이크 엔드포인트 보안을 경험해보기를 바란다”고 말했다.

신승목 이사는 “최근 EDR, NDR, XDR 등 ‘위협 탐지와 대응’ 개념으로 제안되는 솔루션이 매우 많다. 이 모든 솔루션이 모든 고객에게 맞는 것은 아니다. 개념은 개념일 뿐이며, 실제 현장에 어떻게 적용되는지는 다른 문제”라며 “동훈아이텍은 크라우드스트라이크가 제공하는 탁월한 엔드포인트 보안 기술을 최적화 해 제공할 수 있다. 이외에도 위협 탐지와 대응을 위한 다양한 솔루션과 서비스를 제공해 고객이 직면한 보안 문제를 해결할 수 있도록 돕겠다”고 말했다.