[데이터넷] 고도화되는 사이버 위협에 대응하기 위해 기업·기관은 지속적으로 보안에 투자해왔으나 여전히 보안에 자신감을 갖지 못하고 있다. 사회공학기법을 사용해 교묘하게 접근하는 공격자를 원천적으로 차단할 수 없기 때문이며, 너무 많은 보안 사각지대, 관리되지 못한 취약점, 잘못 설정된 정책, 보안에 대한 이해가 없는 직원으로 인해 너무 쉽게 침해를 당하고 있기 때문이다.

보안 대비가 충분하지 않은 중소기업뿐만 아니라 보안에 많 은 투자를 진행하는 엔터프라이즈 역시 이 문제를 겪고 있다. 이는 솔루션 도입만으로 해결할 수 있는 문제가 아니기 때문이다. 그래서 매니지드 보안 서비스(MSS)가 대안으로 부상하고 있다.

MSS는 매니지드 위협 탐지와 대응(MDR), 디지털 포렌식과 사고대응, 취약성 평가 등 노출 관리 서비스, 보안 위협 인텔리전스 등 위협을 탐지하고 대응하는 모든 기술을 서비스하는 것을 말한다. 가트너는 고객이 MSS를 도입하는 목적에 대해 보안운영센터(SOC) 기능을 강화하려는 목적이라고 설명했으며 ▲순수한 보안 솔루션 기업 ▲시스템 통합 서비스, IT 아웃소싱 서비스 ▲컨설팅 회사 등이 MSS의 주요 업체라고 설명했다.

엔드포인트 위협 방어·데이터 유출 방지 통합 방안 필요

MSS가 부상하는 이유는 기존의 보안관제 서비스가 지원하지 못하는 보안 관리 영역이 너무 크기 때문이다. 보안관제는 방화벽, SIEM 등 네트워크 중심의 이벤트 분석으로, 엔드포인트, 클라우드 등의 영역에서의 보안위협은 제대로 대응하지 못한다. 특히 엔드포인트 위협은 네트워크 기반 보안관제로는 한계를 가질 수밖에 없다.

엔드포인트 보안위협 대응을 위해서는 광범위하게 분산된 대규모 엔드포인트도 체계적으로 지원해야 하며, 다양한 OS 및 기기 지원, 지능형 위협 방어와 데이터 유출 방지 및 보호 등의 기술이 반드시 필요하다. 또한 재택·원격근무와 클라우드 환경으로 보안 경계가 사라지고 있으므로, 보호되지 않는 외부에서 접근하는 기기에 대한 지원이 반드시 필요하다.

그러면서도 사용자 경험을 보장해 생산성에 영향을 미치지 못하도록 해야하고, 관리 복잡성도 낮춰 관리 소홀이나 실수 로 인한 침해 가능성을 제거해야 한다.

몇 가지 보안 솔루션으로 이 문제의 일부를 해결할 수 있지만, 전사 관점의 통합 위협 탐지와 대응은 한계가 있다. SOC가 잘 조직된 기업에서도 전 세계 분산된 지점·지사 및 사무소에서 접근하는 수십만대의 기기를 가시화하고 통제하는 것은 매우 어려운 일이다.

그래서 엔드포인트 보안 영역에서 MSS가 제안되고 있으며, 특히 엔드포인트 침해 탐지 및 대응(EDR) 솔루션 벤더와 서비스 기업들이 엔드포인트에 특화된 MSS를 제공하고 있다. 이 서비스는 엔드포인트를 타깃으로 하는 위협을 제거하 는데 초점을 맞추고 있지만, 가장 중요한 ‘데이터’를 보호하는 기능은 별도의 DLP 솔루션을 사용해야 한다.

이 때문에 공격자가 침투해 데이터를 유출하는 전 과정을 가시화하고 통제하지 못하며, 여러 개의 탐지 엔진을 엔드포인트에 설치해야 해 기기 리소스 사용이 늘어나고 장애·충돌 로 인해 업무에 지장을 준다.

동훈아이텍, 엔드포인트 통합 보호하는 MSS 출시

효과적인 엔드포인트 보안을 위해서는 단일 에이전트에 필요한 보안 기능을 통합시키면서 매니지드 서비스까지 제공받을 수 있어야 한다. 동훈아이텍은 엔드포인트 위협 대응과 차세대 DLP를 통합한 MSS를 연내 출시하고 엔드포인트 보안과 관련한 고객의 당면 과제를 해결한다. 이 서비스는 디지털 가디언(Digital Guardian)의 ‘ARC(Analytics & Reporting Cloud)’를 활용한다.

디지털 가디언은 위협 인지 데이터 플랫폼(TADP) 기업으로, EDR, APT 방어, 차세대 DLP를 완벽하게 하나의 에이전트에 통합시켜 제공한다. ARC는 SaaS로 제공되며, 엔드포인트 에이전트와 네트워크 센서의 스트리밍 데이터를 활용해 시스템, 사용자, 데이터 이벤트에 대한 깊이 있는 가시성을 제공한다. SaaS로 사용 가능하기 때문에 도입 기간과 비용을 크게 줄일 수 있으며, 재택·원격근무와 원격 지점·지사 등 분산된 업무 환경에도 쉽게 배포할 수 있다.

동훈아이텍 MSS의 경쟁력은 엔드포인트 보안에 대한 뛰어난 전문성에 있다. 동훈아이텍은 디지털 가디언의 차세대 DLP를 현대기아차 글로벌 47개 계열사 12만 사용자를 대상으로 구축하고 있다. 3년여에 걸쳐 전 세계 현대기아차 본사와 계열사 전체에 솔루션을 구축하고 운영하면서 대규모 분산환경에 서의 구축과 운영 방법에 대한 노하우를 쌓았기 때문에 경쟁사와 차별화된 서비스를 제공할 수 있다고 자신한다

현대기아차는 차세대 DLP 솔루션 도입을 위해 수년간 국내외 다양한 솔루션을 검토한 끝에 2019년 디지털 가디언을 선했다. 현대기아차는 단일 에이전트에 엔드포인트 보안을 위 한 모든 기능이 통합될 것과 본사와 전 세계 모든 법인까지 표준화된 DLP를 운영할 수 있을 것을 요구했다.

이 사업은 배포 범위가 전 세계 사업장 사용자이기 때문에 다양한 엔드포인트 환경과 업무 환경 및 문화를 고려해야 하며, 각 지역별 위협 상황도 고려해야 하기 때문에 엔드포인트 보안 전문성과 다양한 산업군에 보안을 공급해 온 수준 높은 전문 역량이 필요했다.

동훈아이텍은 디지털 가디언을 비롯한 글로벌 엔드포인트 보안 제품을 공급해 온 전문가와 포렌식 전문가, 관제 전문가로 구성된 전담조직을 현대기아차 차세대 DLP 구축 사업에 투입시켜 성공적으로 마무리하고 있다. 이 사업이 마무리되는 2022년 하반기부터 MSS를 시작해 현대기아차를 포함한 기존 고객을 대상으로 서비스를 제공하며, 내년에는 본격적으로 고객군을 확장시켜 나갈 계획이다.

동훈아이텍의 MSS는 온프레미스와 프라이빗 클라우드, 하이브리드 클라우드 환경을 모두 지원해 클라우드 전환의 여정에 있는 모든 조직을 보호한다. 구독형 서비스이기 때문에 초기 시스템 구축 비용 부담 없이 다양한 엔드포인트 환경을 보호할 수 있으며, 사용한 만큼 과금하기 때문에 보안 예산 측정과 평가를 객관적으로 진행할 수 있다.

고급 엔드포인트 위협 방어로 APT 차단

동훈아이텍 MSS의 핵심인 디지털 가디언은 전 세계에서 유일한 엔드포인트 위협 방어와 차세대 DLP 통합 솔루션이다.

엔드포인트 보안 솔루션으로 안티 바이러스(AV), EDR, DLP가 필수로 요구된다. AV와 EDR을 통합한 통합 엔드포인트 보호 플랫폼(EPP)이 제 안되지만, 두 개의 엔진을 연결시켜놓은 수준이며, DLP는 별도 솔루션으로 이용해야 해 단일 에이전트로 통합되지 않는다.

디지털 가디언은 단일 에이전트에 이 기능을 모두 완벽하게 통합했으며, 컨텍스트 인지·데이터 중심 보안정책을 구현해 지능적인 위협에도 대응할 수 있다. 또한 파일 포렌식 감사 로그 기록을 대체해 데이터 보호 기능을 한층 강화한다.

디지털 가디언의 지능형 위협방지(ATP) 모듈은 지능화된 위협을 감지해 사고에 대처할 수 있게 한다. 실행가능한 파일 이 단 한 번이라도 엔드포인트에서 실행되면 그 로그를 분석하며, 모든 비정형 데이터의 사용 로그도 분석한다.

조사 모듈(IM)을 활용해 실시간 포렌식 이미지를 수집, 분 석해 사고가 일어나기 전 침해 사실을 인지하고 조치할 수 있게 한다. 애플리케이션 화이트리스트 모듈을 통해 허가되지 않은 애플리케이션 사용을 원천 차단하고, 불법 소프트웨어 사용 방지와 악성코드 실행을 차단한다.

저장·이동·사용 중 데이터까지 보호

디지털 가디언의 차세대 DLP 기능은 엔드포인트에 저장된 모든 정형·비정형 데이터를 식별하고 자동으로 분류하며, 마 이크로소프트 애저 정보보호(AIP) 분류 기능도 연동할 수 있다. 스테가노그라피와 같은 안티 포렌식 기술을 사전에 탐지하고 제어할 수 있으며, 데이터가 변조된다 해도 그 흐름을 추적해 불법 유출 전에 차단할 수 있다.

DLP는 외부 통신을 이용한 데이터 유출을 차단하기 위해 블루투스 통신도 사용할 수 없게 했기 때문에 블루투스 키보드, 마우스, 헤드셋 등 사용자들이 원하는 주변기기를 사용할 수 없다. 디지털 가디언은 데이터 유출 채널로 사용되지 않는 컴퓨터 주변기기 연결을 위한 블루투스 연결을 허용해 사용자 불편도 해소했다.

마이크로소프트 환경을 원활하게 지원하는 것도 디지털 가디언의 특별한 장점이다. 마이크로소프트는 윈도우10 발표 후 인증되지 않은 후킹 방식의 보안 기술을 허용하지 않기로 해 DLP·DRM 사용에 제약이 있었다.

디지털 가디언은 마이크로소프트와 오래전부터 긴밀하게 협력해 왔기 때문에 이러한 정책에 영향받지 않고 엔드포인트를 보호할 수 있으며, M365를 포함한 마이크로소프트 제품 과도 원활하게 연동할 수 있다.

마이크로소프트는 AIP·MIP 등의 데이터 보호 솔루션을 제 공하지만, 지원하는 애플리케이션의 종류가 제한돼 있다는 문 제가 있다. 디지털 가디언은 국내외에서 사용하는 거의 대부 분의 애플리케이션과 SaaS 애플리케이션을 지원하며, 지라· 서비스나우 등 SaaS 기반 ITSM까지 원활하게 연동 가능하다. 또한 사전 정의된 정책 없이 개인 식별정보, 신용정보, 의료정 보 등 중요 정보를 식별하고 정책에 따라 보호할 수 있다.

디지털 가디언은 데이터 저장(Data at Rest), 이동(Data in Motion) 중에만 보호하는 것이 아니라 사용 중인 상태(Data in Use)에서도 통제 대상 여부를 판단하고, 조직 내 핵심 자산 인 데이터에 대한 가시성 확보와 실질적인 보호 효과를 기대 할 수 있다. 알려진 데이터 유형이나 사용자 그룹 등 잘 알려 진 사용사례를 기반으로 데 이터 유출을 방지하는 것은 물론 알 수 없는 사용사례까지 식별할 수 있는 데이터 위험 검색 접근 방식도 지원한다.

데이터의 외부 유출 시 자 동 암호화 해 외부로 공유된 데이터도 안전하게 지킬 수 있게 한다. 파일 서버부터 유출까지 모든 이벤트를 추적할 수 있는데, 경쟁사는 여러 솔루션을 연동해서 지원하지만 디지털 가디언은 별도 연동 없이 단일 에이전트에서 모두 지원할 수 있다.

고급 머신러닝 활용 UEBA 적용

디지털 가디언은 제로 트러스트 원칙을 구현하기 위해 ‘신뢰 할 수 있는 내부자’라는 전제를 제거하고 보안 정책을 수립한다. 실수 혹은 고의적인 내부자의 위협 행위와 외부 공격으로부터 데이터를 지키기 위해 고급 머신러닝을 활용한 UEBA를 적용한다. 사용자와 동료그룹, 엔티티의 정상활동을 프로파일링하고, 다양한 분석 접근 방식을 사용해 기준선으로부터 편차를 측정해 이상행위 수준을 수치화한다.

디지털 가디언은 분석 중인 데이터의 유출 방지와 엔드포인트 위협 탐지 및 대응 영역에도 모두 적용될 수 있는 50개 이상 사전 정의된 이상행위 모델을 지원하며, 탐지모델은 지속적으로 증가시키고 있다. 보호 대상 기기 밖으로 행위 정보를 미러링해 엔드포인트에 영향 없이 상세한 행위 기록을 탐지하며, 육하원칙에 따른 정책 설정도 가능하다.

또한 팔로알토 네트웍스, 트렐릭스, 마이크로포커스 등 다양한 SIEM 및 APT 방어 솔루션, 위협 인텔리전스 서비스와 보안 에코시스템을 만들어 지능형 위협에 대한 깊은 통찰력을 확보하고 체계적인 대응을 가능하게 한다.

디지털 가디언은 전 세계 주요 기업·기관에 공급되어 오랫동안 검증받은 솔루션으로, 우리나라에서도 현대기아차 본사 및 전 세계 계열사, 노루홀딩스 7개 계열사, 가상화폐 거래소 코빗, 카페24 등에 공급됐으며, 금융·엔터프라이즈에서 적극적으로 도입을 검토하고 있다.

신재욱 동훈아이텍 대표이사는 “고객들은 단편적이고 파편화된 가시성을 제공하는 포인트 보안 솔루션으로 진화하는 보안위협에 대응할 수 없다는 문제를 잘 알고 있다. 또한 복잡한 비즈니스 환경을 고려하면서 사용자 편의성과 비즈니스 유연성을 해치지 않는 범위에서 강력한 엔드포인트 보안 정책을 유지하는 것도 어려워한다”며 “동훈아이텍은 업계에서 유일한 EDR·ATP·DLP 통합 보안 솔루션인 디지털 가디언과 함께 엔드포인트 매니지드 서비스를 제공해 고객의 현재와 미래 문제를 해결할 수 있도록 돕겠다”고 말했다