EPP·EDR부터 ASM·SOAR까지 단계별 필수 솔루션과 이행방안 소개
[데이터넷] 사이버 공격자는 가능한 많은 피해자를 감염시킬 수 있도록 자동화된 툴을 이용하고 랜섬웨어 서비스와 같은 서비스형 범죄를 채택한다. 초기 침투 후 오랫동안 머무르다가 적절한 시기에 공격을 개시하기도 하고, 침투 즉시 공격하기도 한다. 또 기존 보안 솔루션을 우회하는 다양한 방법을 사용하면서 보안조직의 대응을 어렵게 만든다.
교묘하고 지능적인 공격에 대응하기 위해서는 침투 가능성을 최소화해야 한다. 특히 첫번째 침투 경로로 많이 사용되는 엔드포인트의 보안 문제를 선제적으로 제거하고 지속적인 대응을 가능하게 하는 기술과 정책을 마련해야 한다. 이를 위해 백신, EDR 등이 필요하지만, 솔루션만으로 모든 위협을 제거할 수는 없다.
가트너의 ‘엔드포인트 보안을 개선하여 지능형 사이버 공격으로부터 조직을 보호하는 방법’ 보고서에서는 ▲조직에 미치는 위험 평가 ▲공격자 지형 평가 ▲공격표면 제거 ▲우선순위에 따른 대응이 필요하다고 설명하면서 엔드포인트 보호를 위한 단계별 조치와 필요한 솔루션을 소개했다.
최근 공격에 대응할 수 있는 엔드포인트 보안 대책 마련해야
엔드포인트 보호를 위해서는 보안 목표 수준을 결정하고, 비즈니스 위험을 정의한다. 그리고 공격 유형과 공격자 프로파일을 기반으로 적절한 대응책을 마련한다. 최근 공격은 사회공학 기법의 피싱과 BEC, 자격증명 도용, MFA 경고피로, 하드웨어·소프트웨어 공급망 공격 등을 이용하며, 랜섬웨어도 이중 삼중의 다중강탈 공격을 진행한다. 현재 엔드포인트 보안 성숙도가 이러한 공격에 대응할 수 있는지 파악하고 대응책을 마련해야 한다.
가트너는 엔드포인트 보안 로드맵으로 5개 단계를 소개했다. 모든 단계를 완수해야 하는 것은 아니며, 비용 대비 리스크를 따져보고 달성 가능한 보안 수준과 할당된 리소스를 고려해 선택할 것을 조언했다.
첫번째 단계는 연결된 모든 기기를 파악하고 보안 제어 기능이 제대로 작동되는지, 패치와 최신 소프트웨어 업데이트가 잘 적용됐는지 확인한다. 엔드포인트 통합 보호 플랫폼(EPP), 보안 이메일 게이트웨이(SEG), 보안 웹 게이트웨이(SWG) 등의 솔루션을 도입하고, 임직원 대상 보안인식 교육 프로그램을 실시한다. 보안 예산과 조직이 부족한 기업은 통합 플랫폼을 도입하거나 MSSP를 선택하는 것이 좋다.
두번째 단계는 사용하는 애플리케이션과 인증 수준을 파악하고, 보안·백업·복구 프로세스를 점검한다. EDR 솔루션을 비롯한 행위기반 탐지 솔루션이 필요하며, 자동화된 취약점·패치관리, 고급 피싱 방지, SSE와 ZTNA 등의 도입을 검토한다.
세번째 단계는 보안운영센터(SOC)를 설립하고 위협 탐지와 대응(TDIR)을 강화한다. XDR, SIEM을 사용하며, 샌드박스 서비스를 EPP·EDR과 통합해 분류되지 않은 파일의 심층 동적 분석을 수행한다. 취약점과 패치관리 범위를 확장시키고, PAM·MFA를 도입해 자격증명 도용 공격을 막는다. BYOD와 OT·IoT를 위한 엔드포인트 보호 솔루션을 선택하며, 클라우드 워크로드 보호 솔루션으로 안전한 클라우드 여정을 시작한다. 보안팀에 충분한 예산과 인력을 지원하며, 그렇게 하지 못할 때는 MDR을 고려한다.
네 번째 단계는 OT·IoT 기기에 대한 보호까지 확장된다. 사이버 물리 시스템(CPS), 산업용 IoT(IIoT), 의료IoT(MIoT) 등과 IT를 공동 거버넌스 모델에 포함시키며, 고도화된 침입공격 방지를 위해 이동하는 표적방어 기술을 구현한다. 이러한 도구는 네트워크, 호스트, 소프트웨어 보안 솔루션에 통합될 수 있으며, 하이브리드 및 원격인력으로 전환하는 조직에 중요하다.
모바일 위협 방어(MTD)를 적용해 보호 기능을 모바일 기기까지 확장시키며, ZTNA 솔루션을 이용하고, 사용자와 기기, 애플리케이션을 분류하는 격리 기술을 사용하며, 마이크로 세그멘테이션으로 공격자의 수평이동을 막고, 디셉션 기술을 이용해 공격을 파악하고 조치한다.
ID 위협 탐지 및 대응(ITDR)을 사용해 IAM을 우회하는 공격을 탐지하고, 능동적인 레드팀-블루팀 훈련과 BAS를 통해 공격자 관점의 취약점과 공격 가능한 지점을 파악하고 대응책을 마련한다.
가장 높은 성숙도의 다섯번째 단계에서는 펌웨어 공격과 같은 고도화된 공격까지 대응할 수 있는 프로세스를 마련한다. 펌웨어와 마이크로컨트롤러 패치와 모니터링, 장비 제조업체와 애플리케이션 공급망을 보호해 국가기반 공격자와 잘 조직된 APT 공격그룹의 치밀하게 계획된 공격까지 막아야 한다. 공격표면관리(ASM), 지속적인 위협 노출관리(CTEM), SOAR 도입으로 지속적인 공격접점 제어와 SOC 고도화를 진행한다.
