[데이터넷] 엔드포인트 보호 솔루션은 대체로 PC와 서버를 모두 보호할 수 있다고 소개해왔으나 클라우드 환경에서 엔드포인트를 위한 EPP·EDR은 클라우드 서버나 워크로드를 보호하지 못한다. 특히 클라우드는 컨테이너, 쿠버네티스, 서버리스 채택이 증가하면서 EPP·EDR로 해결하지 못하는 취약점 관리, 구성·설정 오류, 이상행위 탐지 등을 위한 기술이 필요하다.

가트너는 ‘엔터프라이즈 서버 및 최종 사용자 엔드포인트에 대한 보안 제어 우선 순위 지정’ 보고서에서 엔드포인트와 서버를 동일한 기술로 보호했을 때 어떤 문제가 발생하는지 자세히 설명했다.

엔드포인트에 대한 위협은 이메일, 웹, 클라우드, USB 등을 통해 침해당하는데, 공격자는 백도어를 만들고 트로이목마 등의 악성코드를 이용해 공격을 진행한다. 워크로드는 컨테이너·쿠버네티스·서버리스 취약성, 구성과 설정 오류, 도난당한 자격증명을 이용하며, 수평이동하면서 침해 범위를 넓혀간다.

가트너는 서버 보호는 엔드포인트 보호보다 엄격한 제어 프로세스를 적용하기 용이하다고 설명했다. 서버는 엔드포인트에 비해 접근이나 변경이 어려우며, 사전에 승인된 프로세스만 허용하기 때문에 최소권한관리모델에 따라 엄격한 제어를 적용할 수 있다고 설명했다.

서버 워크로드 이상행위 분석으로 공격 징후를 사전에 모니터링하고 조기에 탐지할 수 있다고 설명했다. 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)에서 워크로드 제어 및 모니터링을 사용하면 클라우드 환경에서 공격 경로 분석을 수행할 수 있다.

클라우드에서 공격표면이 확장된다는 문제가 있기 때문에 이를 제거하는 노력도 있어야 한다. 원격 액세스 게이트웨이를 통해 인증된 사용자만 액세스 할 수 있는 정책 적용이 필요하며, ZTNA를 도입하고 PAM·모니터링을 통해 자격증명 남용을 방어해야 한다고 가트너는 설명했다. 최소한의 기본 이미지만 사용하고, 불필요한 서비스를 제거하며, 마이크로세그멘테이션으로 위험성이 높은 애플리케이션과 워크로드를 보호할 것을 권고했다.

클라우드 워크로드를 보호하기 위한 CWPP는 퍼블릭·프라이빗 클라우드에서 물리·가상서버와 컨테이너·서버리스 보호 기능을 제공한다. 클라우드 제어·구성오류 찾아내는 CSPM으로 클라우드 환경을 지속적으로 검색하고 오류를 제거해야 한다. 코드형 인프라(IaC)의 평가도 필수이며, 정책과 컴플라이언스를 확인해야 한다.

EDR도 필요하지 않은 것은 아니다. EDR은 엔드포인트와 워크로드를 포함해 보안침해를 탐지하고 악의적인 활동을 찾아낼 수 있다. 가트너는 EDR의 이점을 최대한 활용하기 위해 MDR을 고려할 수 있다고 설명했으며, XDR을 통해 경고피로를 줄이고 통합의 이점을 누리는 것도 좋다고 덧붙였다.

김선애 기자 다른기사 보기