기업의 IT 인프라스트럭처 및 비즈니스의 보안, 가용성에서 엔드포인트가 차지하는 비중이 점점 더 높아짐에 따라 이에 대한 보안의 중요성 또한 점점 더 증대되고 있다. 한편으로 현재의 보안 공격은 금전적인 이익을 위해 특정 기업을 대상으로 더욱 정교하고 은밀하게 이루어지고 있으며 데스크탑, 노트북 등의 엔드포인트 디바이스를 비즈니스 정보에 접근하기 위한 백도어로 악용하고 있다. 이제 기업들은 네트워크에 연결된 서버나 PC 등의 엔드포인트를 보호할 수 있는 보안 수단을 갖춰야 할 뿐만 아니라 각종 위협에 대한 보호와 더 나아가 운영 시스템이나 다른 엔드포인트 보호 제품과의 상호운영, 완벽한 보안 기능 제공, 중앙집중화된 관리를 제공하는 포괄적인 솔루션을 통해 엔드포인트 보안에 대해 보다 구조적으로 접근할 필요가 있다.

기업의 IT 인프라스트럭처 및 비즈니스의 보안, 가용성에서 엔드포인트가 차지하는 비중이 점점 더 높아짐에 따라 이에 대한 보안의 중요성 또한 점점 더 증대되고 있다. 한편으로 지난 몇 년간 IT 환경의 보안 공격은 금전적인 이익을 위해 특정 기업을 대상으로 더욱 정교하고 은밀하게 이루어지고 있으며 데스크탑, 노트북 등의 엔드포인트 디바이스를 비즈니스 정보에 접근하기 위한 백도어로 악용하고 있다.

이 같이 타깃화된 공격으로부터 기업 내부 환경을 보호하기 위해서 기업은 각각의 엔드포인트가 보안규정 및 구성 관리 정책을 준수하고 있음을 보장, 확신할 수 있어야 한다. 이에 실패할 경우 기업은 악성 코드의 확산, 비즈니스 핵심 서비스의 중단, IT 복구/관리 비용의 증가, 기밀 정보의 유출은 물론이고 더 나아가 브랜드 이미지의 저하, 법규 위반으로 인한 책임 등과 같은 위협에 노출될 수 밖에 없다.

더불어 외부로부터의 공격뿐만 아니라 직원들 역시 기업에게 있어 보안을 위협하는 요소가 될 수 있다. 의도적이든 의도적이지 않든 직원들은 일상적인 업무 습관을 통해 악성 애플리케이션을 기업 네트워크에 들여올 수 있기 때문이다.

따라서 이제 기업들은 네트워크에 연결된 서버나 PC 등의 엔드포인트를 보호할 수 있는 보안 수단을 갖춰야 할 뿐만 아니라 각종 위협에 대한 보호와 더 나아가 운영 시스템이나 다른 엔드포인트 보호 제품과의 상호운영, 완벽한 보안 기능 제공, 중앙집중화된 관리를 제공하는 포괄적인 솔루션을 통해 엔드포인트 보안에 대해 보다 구조적으로 접근할 필요가 있다.

기존 엔드포인트 보호 방식의 문제

IT 관리자가 엔드포인트 보호의 중요성을 이해하고 있다고 해도 각각의 엔드포인트에 안티바이러스, 안티스파이웨어, 데스크탑 방화벽, 침입 방지 장치 제어 및 애플리케이션 제어 솔루션을 설치하는 것으로 충분하다고 여기는 경우가 종종 있다.

하지만 이러한 보안 제품을 각 엔드포인트에 개별적으로 설치하는 것은 많은 시간이 소요될 뿐만 아니라 IT 복잡성과 비용을 증가시킨다. 또한 기업은 동일한 시스템 리소스를 필요로 하는 다양한 엔드포인트 솔루션을 관리해야 하고 각 솔루션 이용을 위한 트레이닝과 각종 지원 프로그램 역시 제공해야 한다. 이는 결국 과도한 리소스 소비로 인한 시스템 성능의 저하로 이어질 수밖에 없다.

엔드포인트 보호 = 안티바이러스?

엔드포인트 보호를 위해 주로 사용되고 있는 안티바이러스와 안티스파이웨어 솔루션은 일반적으로 기존의 스캔 기반 기술로 엔드포인트장치 상의 바이러스, 웜, 트로이목마, 스파이웨어 및 기타 맬웨어 등을 식별한다.

전형적인 안티바이러스와 안티스파이웨어 솔루션은 알려진 위협의 특징이나 시그니처와 일치하는 파일을 검색하는 방식으로 이러한 위협요소를 탐지한다. 일단 맬웨어가 시스템 상에서 탐지되면 안티바이러스나 안티스파이웨어는 위협을 제거하기 위해 악성 코드를 삭제 또는 차단하게 된다.

오늘날 안티바이러스와 안티스파이웨어 솔루션이 제공하는 엔드포인트 보호의 수준은 다양하다. 우수한 솔루션의 경우 높은 수준의 루트킷 탐지 및 제거뿐만 아니라 다형 위협(Polymorphic Treats)과 복합적인 바이러스에 대한 실시간 보호와 같은 수준 높은 보안 기능을 제공한다. 뛰어난 엔드포인트 보호 솔루션은 다양한 운영 시스템 상에서 그 기능을 제공할 수 있어야 하며 여타의 주요 엔드포인트 보안 기술과 상호 운영이 가능해야 한다.

떠오르는 차세대 엔드포인트 보호

오늘날에는 엔드포인트 보호를 위한 보다 포괄적인 접근방식이 요구되고 있다. 이 차세대 엔드포인트 접근 방식은 바이러스, 웜, 트로이목마, 스파이웨어, 애드웨어, 루트킷, 제로데이 공격 등 이미 알려지거나 알려지지 않은 모든 위협에 대해 매우 높은 수준의 보호를 제공하기 위해 필수적인 보안 기술을 결합하고 있다.

이러한 접근방식은 안티바이러스, 안티스파이웨어, 방화벽과 사전예방적인 보호 기술을 단일 에이전트에 결합함으로써 중앙 콘솔에서 관리가 가능하다. 또한 관리자는 기업의 요구에 따라 특정 보안기술을 적용하거나 억제할 수 있어 엔드포인트 보호의 유연성을 확보할 수 있다.

이 같은 엔드포인트 보호에 대한 진일보한 접근과 관리를 통해 기업은 리스크를 줄이고 비즈니스 자산이 안전하게 보호되고 있다는 확신을 가질 수 있다. 또한 단일 관리 콘솔을 통해 관리 및 운영이 가능한 단일 에이전트로 포괄적인 엔드포인트 보호를 제공함으로써 다수의 제품을 사용했을 때 발생하는 업무 부담과 관리 비용을 상당히 줄일 수도 있다. 나아가 엔드포인트 보안의 관리를 단순화하고 이용이 간편한 소프트웨어와 정책 업데이트, 통합된 중앙 집중식 보고 기능, 단일 라이선싱 및 유지보수 프로그램을 통한 운영상의 효율성 제고 역시 가능하다.

네트워크 위협과 알려지지 않은 위협

차세대 엔드포인트 보안은 네트워크 위협과 알려지지 않은 위협에 대한 보호 역시 포괄하고 있다. 엔드포인트 상에서 네트워크 위협에 대한 보호 역시 혼합된 위협으로부터 기업을 보호하고 보안 공격을 억제하기 위해 필수적이다.

보다 효과적인 네트워크 보호를 위해서는 기업의 네트워크에 연결된 엔드포인트를 통해 이루어진 내부의 네트워크 공격뿐만 아니라 네트워크 상에 남아 있는 감염된 엔드포인트로 인한 위협 역시 차단할 수 있는 방화벽 기능이 포함돼야만 한다. 또한 다수의 변형된 위협을 차단할 수 있는 포괄적인 시그니처를 갖춘 취약점 기반의 침입 방지 역시 반드시 제공해야 한다.

오늘날 알려지지 않은 위협은 증가 추세에 있으며 은밀하게 이루어지는 공격에서 빈번하게 사용되고 있다. 사전방역(Proactive Threat Protection) 기술은 이러한 알려지지 않은 위협에 대응하기 위한 비 시그니처 기반 기술이다. 이러한 학습 기반(Heuristics-based)의 기술은 자동적으로 애플리케이션의 행동양식을 분석함으로써 오탐지는 줄이고 보다 정확하게 위협을 탐지할 수 있다. 사전방역은 또한 장치 및 애플리케이션 제어 기능을 통합함으로써 관리자가 파일공유나 P2P와 같이 위험도가 높다고 간주되는 특정 장치나 애플리케이션 활동을 거부할 수 있다.

포괄적인 엔드포인트 접근 방식을 위한 고려사항

전체적이고 포괄적인 엔드포인트 보호 시스템을 도입하는데 있어 기업은 엔드포인트 보안, 시스템 관리, 백업 및 복구를 아우르는 통합적인 접근 방식을 고려해야만 한다.

이러한 요소를 통합함으로써 기업은 정보보호 수준은 높이고 필요한 때에 이용이 가능하도록 하면서 자원 활용의 능률을 향상시킬 수 있다. 또한 이기종의 엔드포인트 제품 보호 제품으로 인해 소요되는 비용 역시 줄일 수 있다.

엔드포인트 보안 솔루션을 도입한다 하더라도 각 사용자들이 보안 솔루션 설치, 사용, 업데이트 등에 대한 가이드라인이나 내부 정책을 제대로 수행하고 있는지에 대한 관리가 제대로 이루어지지 않는다면 보안 시스템 구축을 위해 상당한 금액을 투자하고도 그 가치를 극대화시키지 못하거나 더 나아가서는 보안 문제를 사전에 예방하지 못할 수도 있다. 따라서 기업 정보 유출 방지 시스템에서는 솔루션 도입도 중요하지만 도입된 솔루션 활용을 얼마나 효율적으로 극대화할 수 있는지가 매우 핵심적인 이슈라고 할 수 있다.

이와 함께 보안에서 가장 중요하고 어려운 것은 비싼 보안 기술이 아니라 그 보안 기술이 제대로 운영될 수 있도록 하는 프로세스다.

아무리 좋은 제품이나 서비스를 갖고 있더라도 정책이나 사람이 뒷받침되지 않으면 소용이 없기 때문이다.

보안 정책 프로그램이란 보안 관련 전담 인력이 얼마나 있는지, 정책을 제대로 세워져 있는지, 일상적인 업무에서 어떻게 적용되고 있는지, 취약한 부분에 대해서 집중적으로 관리하고 있는지, 사고가 났을 때 대응 계획은 세워져 있는지 등에 대해 기업이 정한 원칙이 있는가에 대한 것이다. 그리고 무엇보다 중요한 것은 사고가 나기 전에 미리 예방하는 관리 체계를 확립해야 한다는 점이다.

<글 : 윤광택 시만텍코리아 이사(patrick_youn@symantec.com)>

[월간 정보보호21c 통권 제111호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>