전통적인 백신으로는 공격의 절반도 탐지하지 못해
차세대 솔루션에 대한 투자는 늘어나나 구축 및 사용은 미비해

[보안뉴스 문가용 기자] 보다 고급화된 엔드포인트 보안 툴에 기업들이 투자액을 늘려가는 중이다. 그러나 구입까지만 잘 하지 구축과 사용에 있어서는 그다지 효과적인 모습을 보이지 못하고 있다고 SANS 인스티튜트(SANS Institute)가 발표했다.


SANS는 엔드포인트를 전문으로 하는 IT 전문가 277명을 상대로 현재 엔드포인트 기술과 보안의 현황에 대해 물은 이후 ‘2018년 엔드포인트 보호와 대응 연구 보고서’를 발표했다. 응답자의 42%는 엔드포인트 익스플로잇을 경험했다고 답했는데, 이는 2017년의 53%보다 낮아진 수치다. 하지만 침해 사실을 잘 모르겠다고 답한 비율은 2017년 10%에서 2018년 20%로 배나 올라갔다.

이번 연구를 통해 중요하게 드러난 것은 기존의 보안 툴만으로는 효과적은 방어 체계를 구축할 수 없다는 것이다. 백신 시스템이 엔드포인트의 침해 사실을 탐지한 건 47%의 경우에 불과했다. 자동화 된 SIEM 경보 시스템은 32%의 공격을 탐지해냈고, 엔드포인트 탐지 및 대응 플랫폼은 26%의 공격을 탐지했다.

엔드포인트를 겨냥한 공격은 대부분 사용자에 대한 침해를 목적으로 한다. 이번 연구의 응답자 50% 이상이 웹 드라이브바이(Web drive-by) 사건을 경험했으며, 53%는 소셜 엔지니어링 공격을 접한 바 있다고 답했다. 피싱 공격과 랜섬웨어 공격을 받았다고 답한 응답자 역시 절반 정도 되었다. 침해 사고의 40% 정도는 크리덴셜 탈취와 관련이 있었다.

또한 엔드포인트 보안 사고의 대부분(84%)은 한 대 이상의 기기에 대한 침해로 이어졌다고 한다. 가장 많은 공격을 받은 장비는 데스크톱과 랩톱이었지만 서버 엔드포인트와 클라우드 기반 엔드포인트, SCADA, 각종 사물인터넷 장비에 대한 공격자들의 관심 또한 의미 있게 올라갔다. 클라우드 기반 엔드포인트들이 특히 인기가 높아졌는데, 2017년 40%에서 2018년 60%로 껑충 뛰었다.

사용자를 겨냥한 공격이 굉장히 흔한 것에 비해 사용자나 엔드포인트 시스템의 행동을 모니터링하고 분석하거나 정보를 맥락적으로 분석해주는 기술은 아직 널리 사용되고 있지 않다는 것도 주의해볼 만한 일이라고 SANS는 설명한다. 행동 분석 모델링을 통해 공격이 탐지된 사례는 23%에 불과했으며, 행동 분석을 통한 탐지는 11%에 그쳤다.

SANS는 “기업들이 이러한 최신 기술을 잘 사용하려 하지 않는 것은, 구축 및 사용 방법을 아직 잘 모르기 때문”이라고 설명한다. “응답자들 중 대부분이 차세대 기술에 대한 투자를 늘려간다고는 하지만, 구매만 하지 설치는 하지 않고 있다고 답하기도 했습니다. 차세대 백신 솔루션을 구매한 응답자는 절반이 넘는데, 37%가 아직 제대로 도입하지 않았다고 답했고, 49%가 파일레스 공격 탐지 기술을 구매했으나 38%가 아직 도입하기 전이라고 답했습니다.”

하지만 유출 사고가 발생할 경우, 상당히 많은 기업들이 사고가 발생한 지점을 추적할 수 있다고 답했다. 약 80%가 “절반 이상의 경우, 사건과 연관이 있는 한 사용자나 엔드포인트 기기까지도 추적이 가능하다”고 답한 것. 34%는 항상 추적이 가능하다고 답했고, 45%는 거의 절반의 경우라고 답했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>