| 안전한 엔드포인트 보안 전략 및 기능적 고려 사항 | 2009.11.10 |
가능한 범위 내에서 통합된 솔루션 형태로 단일 벤더 통합이 중요
맬웨어를 비롯한 다양한 보안 위협은 그 발생 건수에 있어 해마다 급격한 증가를 보인다. 맥아피 Avert Labs에서 발표한 아래의 통계 자료를 참고해 보자. 2006년도 한 해만 7만8천여건의 새로운 위협(맬웨어)이 발생했다. 2007년으로 넘어오면서 그 수는 약 3.4배 증가하여 27만여건의 맬웨어가 출현했다는 것을 알 수 있다.
이러한 증가세로 가늠하여 McAfee에서는 2008년도에는 전년 대비 400% 정도의 증가세를 예측하였으나 실제 2008년도 자료는 예상치를 훨씬 웃도는 150만건 이상의 맬웨어가 발생했다(약 550% 증가율). 이와 같이 악성코드/맬웨어의 증가율은 예측이 어려울 정도로 급격히 증가하고 있으며 이러한 증가 추이는 Web 2.0 사용 확대 및 모바일기기 사용 증가와 같은 기술적 요인 그리고 글로벌 경제 침체라는 사회적 요인에 따른 악성코드 제작자, 유포자의 증가로 인해 더욱 더 커질 것으로 전망된다.
기업 보안의 딜레마 위협의 급격한 증가에 따라 기업 보안 역시 날마다 진화하지 않으면 안된다. 진화하는 위협에 따라 보안 기술도 기존 기술의 업그레이드, 새로운 보안 영역 창출과 같은 형태로 진화하고 있다. 이 결과로 보안 담당자가 수많은 보안 솔루션 동향과 기술적 특징을 검토하는 것만도 기존 업무 시간에 벅찰 지경으로 시장에는 하루가 다르게 새로운 보안 제품들이 쏟아져 나오고 있다.
새로운 위협(악성코드, 취약성, 데이터 유출, 컴플라이언스 충족 등)에 대응하기 위해 필요한 보안 솔루션을 모두 도입하기엔 투자 비용도 만만치 않을뿐더러 새로운 솔루션을 제대로 학습, 운영하기 위한 역량도 턱없이 부족한 것이 기업 내 현실이다. 대외적 경쟁의 심화에 따라 기업에서 요구되는 핵심 비즈니스 가치는 기민함, 신속한 의사결정, 혁신, 가용성, 유연성, 비용절감과 같은 것들이다.
그러나 보안을 수행함에 있어 보안투자, 컴플라이언스, 통제, 가용성의 담보와 같은 비즈니스 가치와 상충하는 가치들이 강조되는데 이점도 보안담당자의 업무 수행을 어렵게 만드는 요인이다. 수많은 보안 솔루션 중 꼭 필요한 올바른 솔루션을 선택하고 이를 효율적으로 구축, 관리함으로 비즈니스적 가치와 이해 상충을 최소화하는 것이 기업 보안의 성패 요인이라 해도 과언이 아니다.
효율적 보안을 위한 필수적 요건
엔드포인트 보안 솔루션 관리, 운영의 최적화 일반적 기업 IT환경은 다양한 운영체제 및 애플리케이션으로 구성된다. 이러한 환경에는 각기 다양한 보안 위협이 존재하며 이러한 보안 위협 관리를 위해 다양한 보안 제품들이 설치되어 있기 마련이다. 통상적으로 엔드포인트 보안 솔루션으로는 바이러스 백신, 안티스파이웨어 모듈, Host IPS, 패치 관리, NAC, 개인 방화벽, DLP, 암호화 등의 다양한 솔루션들이 사용된다.
기업에서는 도입 당시 대내외적인 검증을 통해 최고 성능, 기능의 제품을 선정하기 마련이다. 그러나 각기 제품의 보안 기능 영역이 확대됨에 따라 중복된 보안 기능을 갖는 경우도 있고 상이한 벤더사 제품간의 이벤트, 정보 교환이 되지 않음으로 관리적인 오버헤드가 발생되는 것이 현실이다.
또한 향후 새로운 보안 이슈를 해결하기 위해(예, 기업 데이터 보안을 위한 DLP솔루션) 새로운 솔루션이 도입되면 또 다른 에이전트 설치 및 관리 콘솔이 필요하게 된다.
이렇게 더 많은 포인트 제품이 추가되면 추가될수록 이에 대한 관리는 더 복잡해지고 이로 인한 관리 비용의 증가로 이어진다. 이 경우 사내 운영 중인 다양한 보안 제품들에 대한 통합적인 가시성 확보도 어렵고 단일 보안 사고에 대응하는 방식도 솔루션 별로 별도 제공되므로 신속한 대응도 어려워진다.
또한 복잡한 연간 유지보수 정책 및 기술지원 채널의 다원화로 인한 복잡성이 증가할 수도 있다. 실제로 Gartner의 보안분석가인 Peter Firstbrook 역시 엔드포인트 보안에 있어 최대한 가능한 범위 내에서 통합된 솔루션 형태로 단일 벤더 통합을 이루는 것이 중요하다고 강조했다. 통합을 통해 에이전트 및 관리 콘솔을 일원화하고 복잡한 수작업으로 단순 반복되는 보안 관리 작업을 간소화, 자동화하며 외부 유지보수 계약 및 기술지원 채널을 단일화함으로 엔드포인트 보안을 최적화할 수 있을 것이다.
보호갭을 최소화하라! 실시간 맬웨어 보호 기능 게임의 룰은 바뀌었다. 의심 파일 접수 후 업데이트까지 걸리던 하루~이틀의 보호 갭이 15분 이내로 줄어들고 있다. 과거 전통적인 바이러스 백신 제품에서는 기업의 보안 관리자는 바이러스 의심 샘플을 벤더사의 연구소에 접수하고 반나절에서 수일을 기다려 내려 받은 새로운 악성코드 DB파일을 전사 업데이트해야만 보호 기능이 제공되는 것이 당연하게 받아들여졌다.
하지만 최근에는 이러한 보호 기능을 전 세계에서 수집되는 의심 샘플 DB를 온라인으로 운영하거나 평판기술을 이용함으로 능동화, 실시간화하고 있다. 이렇게 함으로 고객은 신종, 변종 위협에 노출되는 시간(보호갭)을 10분 이내로 줄일 수 있다.
이러한 기술을 제공하는 벤더사에서는 전 세계에서 자동으로 수집되는 악성코드 의심 샘플의 시그니쳐 데이터베이스를 온라인으로 운영하고 있으며 사용자 PC에서 의심스런 샘플이 탐지되는 경우 백신 프로그램이 이를 온라인으로 조회함으로 기존 의심 샘플로 분류된 파일인지 파악하고 이 파일의 삭제, 차단 조치를 취함으로 바이러스 시그니처 DB 업데이트 없이도 실시간 맬웨어 보호 기능을 제공한다. 이 기술은 전세계에서 수집된 수많은 샘플을 근거로 악성 여부를 판단함으로 오탐 위험성을 최소화하고 DNS쿼리와 같은 매우 컴팩트한 패킷 교환을 통해 악성여부를 조회함으로 네트워크 부하에도 영향을 주지 않는 뛰어난 기술로 평가되고 있다. 이미 McAfee의 제품을 사용하고 있는 전세계 2,000만대 이상의 PC에서 사용되고 있는 검증된 기술이다.
엔드포인트 보안 - 기능적 고려 사항
아래 기업에서 아래 모든 기능이 요구되는 것은 아니지만 사안별로 중요도를 매겨 순차적으로 도입, 적용을 고려해 보는 것이 필요하다.
또한 아래의 다양한 기능을 동시에 적용함에 있어 기존 PC운영 환경에 미치는 성능 영향이 최소화되어야 함은 물론이다.
<글 : 강하라 한국McAfee Presales Engineer 차장(Hara_kang@mcafee.com)> [월간 정보보호21c 통권 제111호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
맬웨어를 비롯한 다양한 보안 위협은 그 발생 건수에 있어 해마다 급격한 증가를 보인다. 2006년도 한 해만 7만8천여건의 새로운 위협(맬웨어)이 발생했다. 2007년으로 넘어오면서 그 수는 약 3.4배 증가하여 27만여건의 맬웨어가 출현했다는 것을 알 수 있다. 그리고 2008년도에는 전년 대비 400% 정도의 증가세를 예측했으나 실제로는 150만건 이상의 맬웨어가 발생했다(약 550% 증가율). 이와 같이 악성코드/맬웨어의 증가율은 예측이 어려울 정도로 급격히 증가하고 있으며 이러한 증가 추이는 Web 2.0 사용 확대 및 모바일기기 사용 증가와 같은 기술적 요인 그리고 글로벌 경제 침체라는 사회적 요인에 따른 악성코드 제작자, 유포자의 증가로 인해 더욱 더 커질 것으로 전망된다. 
더구나 최근의 악성코드 제작/유포자들은 과거와 같이 자신의 기술적 능력을 과시하는 낭만적 동기보다는 금전적 이익을 위해 범죄를 저지르며 이 또한 조직 범죄화되고 있다는 점에서 그 심각성이 증가하고 있다.
효율적 관리의 밑바탕에는 반드시 업계에서 인정받는 보호 기능이 필요할 것이다. 통합 엔드포인트 보안을 위해 기업에 고려해야할 기능적 요소들은 표 1과 같다. 