크라우드스트라이크·마이크로소프트, 리더 그룹 선정
[데이터넷] 엔드포인트 보안 시장에 EPP, EDR, UEM, XDR 등 다양한 솔루션이 제안되고 있지만, 가장 핵심 요소인 위협 탐지와 차단을 소홀히 해서는 안된다. IDC의 ‘마켓 스케이프: 엔터프라이즈를 위한 전 세계 모던 엔드포인트 보안(MES) 벤더 평가 2021’에서 “새로운 공격을 자동적으로, 정확하게 차단하는 것 보다 더 좋은 결과는 없다”며 “POC를 통해 MES의 실제 기능과 차단 능력을 반드시 검증해 볼 것”을 조언했다.
이 보고서에서는 재택·원격근무 도입으로, 집이나 원격지에서 관리되지 않은 네트워크를 통해 접속하는 사용자, 보안에 취약한 VPN을 이용해 접근하는 사용자로 인한 문제가 심화되고 있다는 점을 강조하며 실제로 효과적인 엔드포인트 보안 전략을 수립할 것을 강조했다.
공격자들은 쉽게 침투할 수 있는 엔드포인트를 집요하게 노리고 있으며, 악성코드, 악성문서, 취약점 공격, 합법적인 소프트웨어 프로그램과 정상 도구 및 파일을 이용해 효과적으로 사용자 기기를 감염시킨다. 그 후 네트워크와 시스템으로 수평이동하면서 공격 목표를 달성해간다.
공격이 시작되고 피해가 발생하기 전 차단하기 위해서는 엔드포인트에서 이상행위를 파악해 선제적으로 대응해야 하지만, 엔드포인트에서 일어나는 수많은 이벤트에서 악의적인 행동을 식별하는 것이 간단한 일은 아니다. 특히 평소 사용하는 윈도우 도구를 이용하거나 정상적인 프로세스를 이용하는 공격을 미리 차단하기 쉽지 않다. 다양한 엔드포인트 환경을 통합 지원할 수 있도록 윈도우, 리눅스, 맥OS 등 여러 OS와 IoT 기기를 통합 관리하는 것도 난제로 꼽힌다.
기업들은 엔드포인트 보호 플랫폼(EPP), 엔드포인트 침해 탐지 및 대응(EDR), 통합 패치관리, 통합 엔드포인트 관리(UEM) 솔루션을 도입하면서 복잡한 엔드포인트 보안 문제를 해결하고자 하지만, 이들이 통합되지 않고 제각각 독립적으로 작동하면 보안홀을 제거할 수 없다. 물론 개별 솔루션의 장점은 충분히 활용될 수 있어야 하지만, 여러 기술을 통합하고 워크플로우를 효율화 해야 보안사각지대와 보안홀 없이 엔드포인트를 보호할 수 있다.
자동화·랜섬웨어 차단 및 복구 기능 필수
IDC 보고서는 MES 도입 전, 엔드포인트의 위협 탐지와 대응 기술이 실제로 효과적인지 반드시 확인해 볼 것을 권고하고, 자동화를 통해 사고 조사 속도와 용이성을 높여야 한다고 조언했다. EDR은 솔루션만으로 위협을 차단할 수 없으며, 분석가의 개입이 필요하다. 분석가의 업무를 최소화해 더 높은 수준의 위협에 시간을 쏟을 수 있도록 자동화 대응 역량이 높은 EDR을 선택하는 것이 필요하다.
랜섬웨어 위협 차단과 복구 기능도 필수다. IDC가 7월 발표한 보고서에 따르면 지난 12개월 동안 한 번 이상의 랜섬웨어 공격을 당한 기업의 75%가 내부직원이 처리한 것 보다 더 많은 추가 리소스를 필요로 했다고 답했다. MES를 첫 번째 방어선으로 삼아 보안 리소스 추가를 줄여야 한다고 보고서는 권장했다. 펌웨어 취약점 공격 대응 방안도 마련돼야 한다. 펌웨어 무결성과 복원 확인 기능이 MES에 포함돼 있는지 확인해야 한다.
더불어 엔드포인트 기기 OS 지원뿐 아니라 물리·가상 서버, 컨테이너·서버리스 등 클라우드 워크로드에 대한 보안도 고려해야 한다. 엔드포인트에 영향을 미치는 모든 요소에 대해 분석하고 실제 위협을 가시화, 대응하기 위해 XDR 통합도 반드시 고려해야 한다. 엔드포인트 보안 솔루션 기업이 직접 XDR로 포트폴리오를 확대하거나, 네트워크·XDR 전문벤더와 협력해 탐지·대응 영역을 확장하는 것이 필요하다.
이와 함께 관리형 서비스 옵션을 고려해 숙련된 전문가를 확보하지 못한 조직도 효과적으로 지능적인 공격에 대응해야 한다고 설명했다.
보고서에서는 이러한 기능을 완성도 있게 수행하는 리더 그룹으로 크라우드스트라이크와 마이크로소프트를 선정했다. 대부분의 다른 엔드포인트 보안 솔루션은 메이저 플레이어 영역에 머물렀는데, 카스퍼스키, 센티넬원, 트렌드마이크로, 체크포인트, 파이어아이, 포티넷, 이셋 등이 이 영역에 자리했다.
