단일 플랫폼·경량 에이전트로 복잡한 대규모 엔드포인트 쉽게 관리
[데이터넷] “화재 진압보다 예방이 먼저다. 사이버 보안 역시 침해 후 대응하는 것 보다 사고를 당하지 않도록 화재를 일으킬 수 있는 요인을 제거하고 안전하게 관리하는 것이 급선무이다.”
강두원 태니엄 코리아 부장은 ‘차세대 보안 비전 2022’의 ‘사이버 위생상태(Cyber Hygiene) 강화 전략’ 주제의 세션에서 사이버 하이진에 대해 설명하며 이같이 밝혔다.
사이버 하이진은 기업이 운영하는 모든 자산을 가시화하고, 관리하는 방법을 말하며, 모든 자산에 대한 취약점 관리, 잘못된 정책이나 구성 탐지와 조치, 컴플라이언스, OS·소프트웨어 취약점 관리와 버전관리 등의 보안관리 활동을 취한다.
"사이버 하이진, 97% 위협 완화"
사이버 하이진은 코로나19로 인해 주목받게 된 개념이기도 하다. 전염병 예방을 위해 개인 위생을 철저히 하듯, 사이버 위협 예방을 위해 IT 시스템을 무결한 상태로 유지해야 한다는 것이다.
사이버 하이진은 세계 각국의 보안 담당 기관에서도 적극적으로 강조하고 있다. 유럽연합(EU) 사이버 보안청(ENISA)의 네트워크·정보 보안 지침(NIS)에서 권고한 기본 원칙에 사이버 하이진의 중요성을 시사하고 있으며, 영국 국가사이버보안센터(NCSC)에서는 사이버 하이진의 필요성을 강조했고, 미국 국방부(DoD)의 사이버 보안 성숙도 모델(CMMC)에서 사이버 하이진 성숙도를 3단계로 정의하면서 사이버 하이진 도입을 안내했다.
사이버 하이진을 통한 위협 효과를 수치로 공개한 기관도 다수인데, 미국의 인터넷 보안센터(CIS)에서는 사이버 하이진으로 97% 위협 완화 효과를 보았으며, 미국 국토안보부(DHS)는 사이버 하이진의 지속적 진단을 통해 85%이 위협 완화 효과가 있었다고 밝혔다. 호주 사이버시큐리티 센터(ACSC)는 8개의 중요한 위협 완화 전략으로 사이버 하이진을 들며 85%의 위협완화 효과가 있다고 밝혔다.
강두원 부장은 “기업이 운영하는 자산의 40%가 잠재적인 위협을 보유하고 있다고 분석된다. 이 중 패치 미적용 자산이 20%, 관리되지 않는 자산이 20%를 차지한다”며 “자산의 보안 위생상태를 상시 점검해 공격당할 가능성을 원천적으로 제거하는 것이 최근 복잡한 보안 문제를 해결할 수 있는 방법”이라고 강조했다.
다양한 엔드포인트 통합 보호하는 XEM 지원
강두원 부장은 사이버 하이진을 위해 4가지 대응이 필요하다고 설명했다. 첫번째는 자산관리로, 자산 인벤토리 실시간 업데이트와 인사·자산 정보 통합 관리 체계를 구축하는 것이다. 두번째는 자산탐지로, 주기적인 미인가 자산 검출, 유실자산 목록화를 수행한다. 세번째는 취약점·정책 관리로, 보안정책 설정과 이행 조사, CVE 기반 취약점 조사를 실시한다. 네번째는 OS와 소프트웨어, 써드파티 솔루션의 최신버전 유지, 패치 적용 등이다.
태니엄이 자산관리를 통한 사이버 하이진을 강조하는 이유는 엔드포인트가 심각한 보안 위협이 되고 있기 때문이다. 기업에서 발견되는 취약점의 20.4%가 높음 또는 치명적 위험으로 분류되는데, 중대한 취약점을 조치하는데 평균 61.4일이 소요되는 것으로 나타난다.
취약점 공격을 가장 많이 받는 것이 엔드포인트인데, 태니엄이 CISO를 대상으로 조사한 바에 따르면 82%는 엔드포인트 보안에 어려움을 겪고 있으며, 94%는 보호되지 않거나 충돌하는 에이전트에 대한 고민이 있으며, 전체 엔드포인트의 20%가 공격에 취약한 상태로 파악된다. 엔드포인트 보안을 위해 사용되는 안티바이러스(AV)의 탐지율은 극히 낮은 상태로, 최근 조사에 따르면 전체 위협의 5%도 탐지하지 못하는 것으로 분석된다.
강두원 부장은 “엔드포인트로 인한 보안 문제를 해결하기 위해서는 경량 단일 에이전트, 단일 관리 화면으로 분산된 대규모 엔드포인트를 관리할 수 있어야 한다. IT 자산의 실시간 추적과 효율적인 단말 관리, 리스크와 컴플라이언스 관리, 취약점 검색과 조치, 민감 데이터 관리, 위협 헌팅, 실시간 침해사고 대응 등이 통합된 엔드포인트 관리 플랫폼이 필요하다”고 설명했다.
태니엄은 단일 플랫폼에서 이러한 기능을 모두 지원하며, 대규모 분산 환경에서도 단 몇 초만에 엔드포인트를 가시화하고 취약점을 스캔해 조치한다. 태니엄의 XEM(Converged Endpoint Management)은 여러 엔드포인트 도구와 데이터를 결합해 조직이 단일 인터페이스를 통해 모든 엔드포인트에 대한 가시성과 실시간 데이터를 가질 수 있도록 한다. XEM 기반 접근 방식을 통해 조직은 포인트 솔루션을 기반으로 하는 보안 인프라는 물론 IT 운영 및 보안의 융합을 제공할 수 있다.
