| 미래는 통합된 엔드포인트 보안 에이전트가 대세 | 2009.11.10 |
엔드포인트 위협 증가, 기업의 새로운 엔드포인트 보안 전략 필수
전통적인 보안 관심사항은 기업(조직)의 경계선을 안전하게 통제함으로써 외부 침입으로부터 보호하는 것이었다. 현 시점에도 경계선 보안은 기업의 정보보호의 핵심 사항이지만 최근에는 엔드포인트가 잠재적인 가장 큰 위험으로 부각되고 있다.
현재 엔드포인트는 세 가지 정도의 새로운 위협에 직면해 있다. 첫째, 전통적인 경계선 보안체계를 우회하는 공격들이 계속적으로 증가하고 있는 것이며, 둘째 경계선 보안의 안과 밖 모두에서 사용 가능한 모바일(Mobile) 엔드포인트가 점차 증가하고 있다는 것이다. 마지막으로 소프트웨어 에이전트 형태로 일일이 설치되어야 하기 때문에 IT 관리자에게 큰 부담이 된다는 점이다.
엔드포인트들은 취약점을 악용(Exploit) 당할 수 있는 가능성이 높기 때문에 적절한 보안통제를 필요로 한다. 만약 외부 공격자가 기업의 엔드포인트 공격에 성공했다면 기업 데이터가 유출될 수 있고 그 엔드포인트는 정상작동을 멈출 수도 있다. 또한 나날이 강화되고 있는 정보보호 관련 법과 규제들에 대한 미준수로 이미지 실추, 피해보상 등 손실이 발생할 수 있다.
기업(조직)은 이런 보안위험에 대응하기 위해 새로운 엔드포인트 보안 전략을 세워야 한다. 필자가 생각하는 최선의 전략은 첫째, 다양한 위협에 대응할 수 있도록 모든 중대한 위협을 통제할 수 있는 포괄적인 보안기능이 제공돼야 한다는 것이다. 개개의 보안 에이전트들의 합이 제공하는 보안통제는 통합된 보안 에이전트가 제공하는 보안통제보다 결코 강할 수 없다. 둘째, 전체 보안 에이전트에 대한 모든 관리가 중앙에서 통합, 제공되어야 하며 이를 운영하는 IT관리자의 부담을 최소화 할 수 있어야 한다는 것이다.
엔드포인트의 보안 환경 기반 시스템들과 데이터 보호를 책임지고 있는 IT관리자의 입장에서는 PC, 네트워크, 인터넷이 널리 보급되기 이전이 보호하기 쉬웠다. IT인프라가 비약적으로 발전하는 시기를 거치면서 네트워크 경계선 보호가 디지털 공격방어의 핵심이 되었고 이 시기에는 네트워크 계층에 대해서 포괄적인 보호를 제공하는 것이 제1의 목표였기 때문에 다른 잠재적인 위험들은 세밀하게 고려되지 못했다.
근래에는 상황이 많이 바뀌었다. 최근의 해커들과 범죄자들은 기존의 보안 솔루션으로는 차단 할 수 없는 새로운 종류의 공격들을 시도한다. 이에 엔드포인트가 중요한 보호 대상으로 부각되었으며 엔드포인트만을 위한 별도의 보안계층에 대한 관심이 커져가고 있다. 엔드포인트는 PC, 랩탑, 팜탑, 스마트폰은 물론이며 저장장치, I/O장치, 네트워킹 장치 및 논리 컨트롤러를 갖춘 모든 전기적인 장치라 정의할 수 있다.
엔드포인트는 네트워크 프로토콜의 취약성을 이용하는 공격, 소프트웨어 프로그래밍의 버퍼관련 오류를 이용하여 메모리 스택(Stack) 또는 힙(Heap) 영역의 오버플로우를 일으켜 악의적인 코드를 실행시키는 공격 등, 많은 공격에 취약하다. 대부분의 PC들은 마이크로소프트의 윈도우 OS를 선택하고 있으며 이 OS는 많은 취약점이 알려져 있고 지금 이 시간에도 새로운 취약점이 계속 발견되고 있다.
이 취약점들이 수많은 해커들의 공격의 대상이 된다. 하지만 OS가 어떤 것이건 간에 인터넷 프로토콜(Internet Protocol)을 사용하는 모든 엔드포인트들은 공격에 취약하며 엔드포인트들이 기업보안에 있어서 새로운 아킬레스건이 되고 있다.
엔드포인트가 직면한 세 가지 위험 엔드포인트들은 기업의 IT 환경에 다음과 같은 중대한 위험을 초래한다. 첫째 전통적인 경계선 보안시스템으로 차단할 수 없는 방향으로 공격이 진화하고 있으며 엔드포인트에서 사용하는 웹 기반의 애플리케이션들을 통해 악성코드가 기업의 네트워크로 스며들고 있다.
어떤 악의적인 웹 페이지들은 엔드포인트가 해당 페이지를 접근하기만 해도 웹 브라우저의 취약성들을 악용 할 수 있다. 크로스사이트 스크립팅(Cross-site Scripting) 등 이런 위험요소들의 대부분은 거의 모든 종류의 웹 브라우저에게 위협이 된다. 또한 쿠키와 로컬 파일의 노출, 악의적인 코드 실행, PC의 제어권 상실 등 많은 다른 종류의 위협들이 존재한다.
두 번째 위험은 경계선 보안통제의 안과 밖에서 모두 사용 가능한 모바일 엔드포인트의 비중이 점차 커진다는데 있다. 451Group(http://www.the451group.com)의 조사에 의하면 전세계 PC 판매고의 거의 절반이 랩탑이며 그 비중은 점차 커지고 있다. 적절한 보호조치가 취해지지 않은 엔드포인트들이 네트워크 경계선 통제가 없는 사외에서 사용되면 다양한 보안 위협에 노출된다. 만약 외부에서 악성코드에 감염된 엔드포인트들이 다시 기업 네트워크에 접근하게 되면 기업 전체 네트워크에 위협이 된다.
마지막으로 보안을 책임지고 있는 IT관리자에게 엔드포인트는 큰 난관이다. 수많은 엔드포인트가 있는 조직의 관리자가 하나하나 보안 소프트웨어 설치를 관리하고 업데이트와 새로운 탐지패턴을 제공하고 일관된 보안정책을 유지하는 것은 매우 힘들고 시간이 많이 소요되는 부담스러운 작업이다. 특히 모바일 사용자가 많을수록 엔드포인트에 설치되어야 하는 보안 에이전트(개인방화벽, 안티바이러스 등)의 수가 많을수록 더욱 어려워진다.
새로운 전략, 엔드포인트 보안의 통합 엔드포인트 취약점의 악용을 막는 방법은 개개의 엔드포인트에 보안솔루션을 전개하는 것이다. 기업들은 이미 안티바이러스 소프트웨어와 개인방화벽 같은 몇몇 독립적으로 동작하는 포인트 솔루션을 전개해왔다.
이러한 접근방법은 수백 수천의 PC가 있는 환경에서는 ‘관리’라는 또 다른 문제에 봉착한다. IT 관리자는 엔드포인트에 새로운 소프트웨어를 설치하거나 업데이트를 내보낼 때마다 성능과 호환성을 검증하기 위해 반복적으로 테스트를 실행해야만 하는데 이는 매우 소모적이며 힘든 과정이다.
이런 상황을 극복하기 위한 최선의 전략은 중대한 위협을 모두 통제할 수 있는 포괄적인 보안기능을 제공함과 동시에 IT관리자 의해 중앙집중적으로 전개되고 관리될 수 있는 엔드포인트 보안시스템을 구축하는 것이다.
보안기능을 통합하면 배포와 관리가 쉬워지며 이를 통해 전체적인 보안시스템 운영비용이 줄어들게 된다. 통합된 에이전트 환경이 구현되면 IT관리자는 하나의 통합에이전트만 테스트 하면 되고 통합에이전트에 있는 각각의 기능은 호환이 보장된다.
강력한 보안을 위해서 통합되어 있는 보안기능들에 대한 면밀한 검토 또한 필요하며 멜웨어(malware) 탐지 및 차단, 데이터에 대한 보호, 지켜야 할 정책에 대한 강제, 원격지로부터 안전한 접속, 효율적인 관리, 사용자 영향 최소화 등의 기능들은 필수적으로 제공되어야 한다.
엔드포인트의 필수 보안기능 Malware 탐지 및 차단 Malware를 탐지하고 Malware가 엔드포인트에서 실행되는 것을 방지하는 것은 방화벽, 안티바이러스, 안티 스파이웨어 애플리케이션에 의해 수행된다. 이들 보안 애플리케이션들은 각각 Malware를 탐지하고 차단하는데 있어 필수적이고 고유한 기능을 제공한다.
방화벽기능과 프로그램 통제기능이 인바운드(inbound) 및 아웃바운드(outbound) 트래픽에 대한 통제를 제공하기 때문에 가장 중요한 보안기능이다. 방화벽만이 악의적인 코드 등 원하지 않는 트래픽의 유입을 차단하고 응용프로그램의 네트워크 접근 허용여부를 통제하며 외부에서 볼 때 엔드포인트가 존재 하지 않는 것처럼 보이도록 만들 수 있다.
안티바이러스는 바이러스를 식별하고 차단한다. 좋은 안티바이러스 애플리케이션은 시그너처(signature) 매칭방식과 휴리스틱스(heuristics, 스스로 판단해서 변종 바이러스 등을 탐지하는 기술)의 조합을 사용한다.
시그너처 매칭은 기존에 식별된 악성코드 DB를 기반으로 일치 여부를 검색하는 기술이며 휴리스틱은 알려진 위협들을 기반으로 코드들의 행동 양태를 분석하여 바이러스를 식별한다.
안티스파이웨어는 실시간으로 웜, 트로이목마, 애드웨어, 키보드 입력 값 탈취 소프트웨어 등의 설치를 방지하고 이미 설치된 스파이웨어를 탐지하여 제거 한다. 위에서 기술된 보안 기능들을 통제함에 있어서는 중앙관리가 제공되어야 한다. 예를 들어 주기적인 바이러스 스캔을 설정하거나, 지난주에 바이러스 스캔을 수행한 PC들의 비율을 파악하는 것, 현재 감염된 PC의 수를 파악하는 것 등 중앙관리 기능을 통해 전사적인 통제를 구축하는 것이 중요하다.
데이터에 대한 보호 엔드포인트들에 존재하는 데이터를 보호하는 것은 매우 중요하다. PC, 랩탑, 스마트 폰에서 데이터를 훔치는 것은 매우 쉽다. 만약 어떤 엔드포인트가 악의적인 사용자의 손에 넘어간다면 그 안에 있는 모든 평문 데이터는 유출될 수 밖에 없다. 엔드포인트의 데이터를 안전하게 통제하기 위해서는 디스크 암호화, 외부 저장매체(USB, CD 등)에 대한 암호화, 포트 및 디바이스에 대한 사용권한 통제 등이 필요하다.
암호화는 합당한 권한을 가진 사람을 제외한 어느 누구도 데이터를 읽을 수 없는 형태로 만드는 것이다. 이는 개개의 파일 혹은 폴더에 적용될 수도 있고 전체 디스크에 적용될 수도 있으며 다른 형태의 저장 매체(USB, CD)에도 적용될 수 있다. 과거의 암호화 솔루션들은 암호화 적용이 까다로웠으며 시스템 성능을 상당히 저하시켰으나 최근 제공되는 새로운 암호화 솔루션은 이를 해결하여 수백, 수천의 엔드포인트가 있는 조직이라도 쉽게 전사적으로 전개될 수 있다.
암호화가 전통적인 데이터 보호의 방법인 것에 비해 포트 및 디바이스 통제는 상대적으로 새로운 기술이다. 엔드포인트에 존재하는 USB, CD/DVD, 적외선 통신포트, 시리얼포트, 프린터포트 등 모든 포트 및 디바이스의 사용 여부에 대한 중앙통제를 제공한다.
이를 통해 기업 비밀이 USB 메모리 스틱 같은 개인용 저장장치로 유출되는 것을 막을 수 있으며 외부 저장장치 삽입 시 바이러스 스캔을 강제함으로써 USB 메모리 스틱에 존재하는 Malware가 기업 전체의 네트워크로 퍼지는 것도 차단할 수 있다.
정책준수에 대한 강제 정책의 준수를 강제하는 것은 엔드포인트가 기업 네트워크에 접근하는 것을 허용하기 전에 모든 보안정책을 준수하는지 확인하는 것을 의미 한다. 예를 들면 최신 버전의 안티바이러스 소프트웨어가 설치되었는지, 중요한 보안패치가 적용되었는지, 금지된 프로그램을 실행 중 인지 여부를 확인 하는 것 등이며 정책이 준수되지 않은 엔드포인트는 네트워크 접근이 불허 되어야 한다.
일반적으로 기업 네트워크는 다양한 벤더들의 제품으로 구성되어 있으며 이런 멀티벤더 환경에서 네트워크 접근제어를 구현하기 위해서는 산업표준인 802.1x 인증을 지원하는 것이 필수적이다. 한편으로 정책 미 준수 엔드포인트에 대해서는 업데이트 파일 제공 등 정책이 준수 될 수 있도록 복구 기능도 제공되어야 한다.
원격지로부터 안전한 접속 랩탑, 스마트폰 등 이동형 컴퓨팅이 널리 퍼지면서 안전한 원격접속 지원이 필요하다. 가상사설망(VPN) 기술은 원격지 사용자에게 기업 네트워크로 안전한 접속을 제공하는 가장 보편적인 방법이며 암호화된 터널을 제공하여 도청과 데이터 변조를 방지한다. 다이얼 업, 케이블 모뎀 또는 전용회선 등으로 원격 접속하는 사용자에 대해서 정적, 동적 IP 할당이 가능해야 하며 토큰, 유저네임(username)과 패스워드, RADIUS, TACACS, 생체 인식 등 다양한 인증옵션을 제공해야 한다.
효율적인 관리체계 엔드포인트 보안체계 구축에 있어 주안점을 두어야 할 다른 부분은 ‘효율적인 관리’이다. 소프트웨어 에이전트 형태로 동작하는 엔드포인트 보안솔루션의 특성상 IT관리자의 업무가 증가하며 솔루션의 수가 많아질수록 설정, 정책관리, 업데이트, 벤더간 호환성 문제 등 관리자의 부담은 기하급수적으로 증가한다. 그렇기에 최근에는 IT관리자를 보조하여 엔드포인트 지원만을 담당하는 별도의 외부 인력을 선정하는 경우가 많다.
이는 재정적으로는 총 소유비용의 증가를 의미하며 보안 관점에서는 또 다른 홀이 될 수도 있다. 따라서 관리의 효율성에 대한 면밀한 검토가 필요하며 최종 목표는 ‘하나의 콘솔에 의한 통합관리’에 두어야 한다. 효율적인 관리를 위한 고려사항은 다음과 같다.
최종 사용자 영향 최소화 엔드포인트 보안이 사용자들이 본연의 업무를 방해하는 것을 최소화 하는 것 또한 중요하다. 이를 위해 모든 보안기능들을 하나의, 그리고 작은 용량의 에이전트에 담는 것이 좋다. 많은 엔드포인트 보안 제품들은 셋, 넷 혹은 그 이상의 에이전트 모듈을 PC에 로딩해야만 하기 때문에 메모리 사용량이 많아지고 CPU부하가 커지게 되어 업무용 애플리케이션처리 성능을 느리게 만든다.
그리고 사용자들은 보안 소프트웨어들에 대한 업데이트, 패치 적용 등 부가적인 시스템 관리에 소홀하고 이를 어려운 일이라고 여기는데, 통합된 보안에이전트는 사용자들의 불편함을 경감해 준다. 앞서 살펴본 것처럼 보안기능을 포괄적으로 통합한 에이전트는 강력한 엔드포인트 보안통제를 제공하고 하나의 콘솔에서 모든 관리를 통합제공 하며 보다 적은 총 소유 비용과 보다 나은 사용자 편의를 제공한다. 이제는 하나로 통합된 엔드포인트 보안에이전트를 구축에 대해 고려해야 할 때이며 멀지 않은 미래에는 통합된 엔드포인트 보안 에이전트가 대세를 이룰 것이라 믿는다. <글 : 한승수 체크포인트코리아 보안컨설턴트(sshan@checkpoint.com)> [월간 정보보호21c 통권 제111호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
엔드포인트들은 취약점을 악용(Exploit) 당할 수 있는 가능성이 높기 때문에 적절한 보안통제가 필요하다. 외부 공격자가 기업의 엔드포인트 공격에 성공했다면 기업 데이터가 유출 될 수 있고 그 엔드포인트는 정상작동을 멈출 수도 있다. 이와 더불어 나날이 강화되고 있는 정보보호 관련 법과 규제 미준수로 기업 이미지 실추, 피해보상 등의 손실이 발생할 수 있기 때문에 기업의 새로운 엔드포인트 보안 전략은 꼭 필요하다.