BLOG

[2020 결산/엔드포인트 보안] 공격과 보안의 시작 ‘엔드포인트’
2020.12.18

다양한 엔드포인트 환경 지원 기술 등장 … 가볍게·정확하게 위협 

[데이터넷] 코로나19가 강타한 2020년 기업·기관은 재택·원격근무를 위한 솔루션 도입에 열중했지만, 다른 IT 시스템 투자에는 극히 소극적인 모습이었다. 특히 보안 투자는 매우 보수적으로 집행해 보안 업계 어려움을 더하고 있었다. 

 

재택·원격근무 시 가장 중요하게 고려해야 할 것이 엔드포인트 보안이다. 공격은 사용자 기기를 감염시키는 것에서부터 시작된다. 악성파일이나 악성 웹사이트, 감염된 패치파일 등을 이용해 보안에 취약한 사용자 기기를 감염시키고 데이터 유출, 랜섬웨어, 계정정보 탈취, 봇 감염 등의 공격을 진행한다. 그리고 VPN 등으로 연결할 때 사내 시스템으로 잠입해 공격을 이어간다. 

 

엔드포인트 보안 문제는 운영기술(OT) 환경에서 더 심각하게 나타난다. OT는 다종다양한 엔드포인트가 운영되고 있으며, 그 중에는 지원 종료된 OS 기반 기기도 부지기수다. 가용성이 중요한 OT 환경에서는 OS와 소프트웨어 지원이 종료됐다 해도 쉽게 기기를 바꾸거나 OS·SW를 업데이트할 수 없다. 심각한 보안 결함이 발견돼 패치가 배포된다 해도 이를 적용하는데 매우 신중할 수 밖에 없으며, 혹시 모를 장애를 우려해 패치를 적용하지 않는 경우도 많다. 

 

IoT로 확장하면 엔드포인트 보안 문제는 더 심각해진다. CCTV부터 스마트카까지, 가정 내 스마트 기기와 공유기, 디지털 도어락 등 다양한 기기가 네트워크에 연결되면서 공격자의 침투 경로로 사용될 수 있다. 

 

EPP로 진화하는 AV

엔드포인트 보안 솔루션에는 백신으로 대표되는 ‘통합 엔드포인트 보안 플랫폼(EPP)’이 있다. EPP에는 안티바이러스 기능뿐 아니라 HIPS, PC 방화벽, URL 필터링, 이상행위 탐지, 랜섬웨어 탐지 및 차단, 샌드박스, 화이트리스트/블랙리스트 등 다양한 기능이 포함돼 있어 시그니처 기반 AV가 탐지하지 못한 정교한 위협까지 탐지할 수 있다. 

 

그러나 지능화된 공격은 EPP의 탐지 패턴을 정교하게 우회한다. EPP 탐지율을 정확하게 측정할 수 없지만, 사이버 공격 피해를 입은 모든 기관은 PC 백신을 설치·운영하고 있다는 점을 보면 EPP가 충분한 보안 효과를 제공한다고 자신할 수는 없다. 

 

EPP가 더 강력하게 위협을 탐지하지 못하는 이유는 사용 편의성을 고려해야 하기 때문이다. 가장 강력한 보안 수준을 유지하는 방법은 화이트리스트 기반 정책으로, 허용된 행위 외의 모든 행위를 차단하는 것이다. 그러나 화이트리스트 기반 정책은 유연성이 떨어지기 때문에 OT 환경에서 정해진 프로세스만 수행하는 단순한 기기에는 적합하나 변화가 많은 일반 업무 시스템에는 사용할 수 없다. 

 

엔드포인트를 타깃으로 하는 여러 종류의 위협에 대응하기 위해 EPP는 여러 탐지 엔진이 통합돼 있는데, 에이전트가 너무 무거워 엔드포인트 리소스를 과다하게 사용한다는 문제에 직면할 수 있다. 또한 다른 에이전트와 리소스 경합을 일으키고 장애·충돌로 업무를 중단시킬 수도 있다. 

 

여러 AV 엔진을 동시에 구동해 하나의 AV에서 탐지하지 못하는 위협에 대응할 수 있는 멀티백신도 유행한 바 있지만, 정상 AV 활동을 공격으로 인지해 AV끼리 프로세스를 중단시키는 일이 발생한 바 있다. 

 

EDR+EDR로 엔드포인트 위협 대응

EPP의 한계를 보완하기 위해 엔드포인트 침해 탐지 및 대응(EDR) 솔루션이 등장했다. EDR은 엔드포인트에서 침해 흔적을 찾아 공격 과정을 분석하고 공격 확산을 중단하고 진행 중인 공격을 차단하는 기능을 한다. 실시간 공격 차단보다 이미 진행된 공격 흔적을 찾아 대응하는데 초점을 맞추고 있으며, NDR·SIEM 등 다른 솔루션과 연계해 전체 공격 흐름을 가시화하고 대응하는데 탁월하다. 

 

침해 탐지와 대응 측면에서 EDR은 매우 뛰어난 솔루션이지만, 우리나라 엔드포인트 환경에 맞지 않는 면이 있어 쉽게 확산되지는 못했다. 국내 엔드포인트에 설치된 각종 보안 모듈과의 충돌이 발생하며, 실시간 차단이 아니라 탐지와 대응에 초점을 맞추다 보니 자동화된 탐지와 차단을 요구하는 국내 보안 조직의 요구에 맞지 않았기 때문이다. 

 

EDR이 탐지하는 보안 이벤트가 너무 많아 보안팀의 업무를 폭증시킨다는 문제도 있다. 높은 수준의 악성코드와 포렌식 전문성을 가진 사람들이 충분히 확보되지 못하면 EDR 운영이 어려워 비싼 솔루션을 도입하고도 제 효과를 보지 못하는 경우도 있다. 

 

토종 기업이 출시한 EDR은 국내환경에 최적화해 출시했기 때문에 이 같은 문제를 해결하는데 도움을 줄 수 있다. 우리나라의 특수한 엔드포인트 환경에 맞춰 작동하도록 해 장애·충돌 문제를 해결했으며, 자체 운영 중인 관제·침해대응 조직이나 외부 전문기관과의 협력을 통해 탐지된 위협에 대응할 수 있도록 해 전문가를 확보하지 못한 기업에서도 EDR을 도입할 수 있도록 했다. 

 

국내 최적화 EDR로 승부

국내 EDR 시장은 지니언스가 가장 앞서가고 있다. 지니언스는 올해에만 국내 최대 EDR 공급 사업인 NH농협은행을 비롯해 하이트진로, 한국도로공사 등 대규모 사업을 잇달아 수주하면서 시장 강자를 입증하고 있다. 

 

안랩과 이스트시큐리티는 EPP와 EDR을 통합해 더 완벽한 엔드포인트 보안이 가능하다고 강조한다. 이스트시큐리티는 ‘알약’과 ‘알약EDR’, 그리고 위협 인텔리전스인 ‘쓰렛 인사이드’를 결합한 3단계 보안 전략으로 위협에 정교하게 대응한다고 강조한다. 또한 자사 위협연구조직인 이스트시큐리티 시큐리티대응센터(ESRC)의 전문성을 결합해 탐지된 위협의 TTPs와 배후 공격그룹 등을 상세히 분석하고 최적의 대응책을 제공한다. 

 

안랩은 V3와 EDR 솔루션을 단일 플랫폼에 결합해 관리·운영 복잡성을 줄이고, 보안관제 서비스와 연계해 전문가가 없는 기업도 엔드포인트 위협에 대응할 수 있도록 한다. 각 산업별로 축적한 안랩 위협 인텔리전스와 침해대응 서비스까지 연계해 정교하게 진행되는 위협에 대응할 수 있다. 

 

글로벌 EPP 기업 진출 ‘러시’

엔드포인트 보안 시장에서 주목할만한 변화는 시만텍이다. 브로드컴 인수 후 갑작스러운 지사 철수와 급격한 가격 인상, 서비스 중단 우려 등의 부침을 겪으면서 시만텍 사용자들이 다른 솔루션을 찾아 나섰다. 올해 하반기 브로드컴은 한국사무소에 시만텍 전담 부서를 두고 고객 달래기에 나섰다. 가격인상 방안은 당분간 보류하기로 했으며, 기술지원·유통 파트너 체계도 다시 정비하면서 고객의 이탈을 막고 있다. 

 

이런 가운데 시만텍 지사장을 역임한 바 있는 정경원 대표가 시만텍 제품의 금융기관 공급을 맡고 있는 에스케어에 합류해 주목된다. 에스케어는 시만텍 엔드포인트 제품군을 중심으로 제품 공급과 유지보수 서비스를 제공해왔다. 이 공급범위를 한층 넓히는 한편 사이버아크, 포티넷 등의 제품 공급을 추가하면서 사업을 확장해나가고 있다. 

 

시만텍코리아의 위기를 기회로 삼기 위해 글로벌 엔드포인트 보안 솔루션들이 국내 시장 진출에 박차를 가하고 있다. 태니엄의 국내 지사 설립을 시작으로 크라우드스트라이크도 국내 영업조직을 만들고 시장 공략에 나섰다. 사이버리즌은 초기 EDR 시장에 진출해 공공·금융기관 공급사례를 다수 확보하고 있다는 점을 강조하면서 공격적인 드라이브를 전개하고 있다. 

센티넬원도 국내 지사 설립에 시동을 걸면서 시장 진출에 나섰다. 센티넬원은 삼성SDS가 투자한 AI 기반 엔드포인트 보안 기업으로 주목받았다. 

 

AI로 엔드포인트 보호

엔드포인트를 노리는 공격이 대규모화, 일상화되면서 기존 방식으로 탐지와 대응이 어렵게 되자 엔드포인트 보안 기업들은 몇 년 전부터 AI 기반 분석 기능을 강조하고 있다. AI 엔진으로만 위협을 탐지하는 솔루션도 각광 받았는데, 블랙베리에 인수된 사일런스가 그 대표적인 예이다. 사일런스는 경량 에이전트에 AI 분석엔진이 탑재돼 있어 로컬에서 위협을 탐지할 수 있다.

 

AI 기반 엔드포인트 보안 솔루션은 엔드포인트 에이전트에서 이벤트를 수집해 클라우드에서 분석하기 때문에 위협 데이터가 외부로 전송된다는 문제가 있다. 이벤트 해시값만 전송되기 때문에 민감정보 유출 위협은 없지만 혹시 모를 추가 보안위협을 우려하는 국내 기업들은 이러한 방식의 엔드포인트 보안 솔루션 도입을 주저했다. 

 

사일런스는 로컬 AI 엔진에서 위협을 탐지하기 때문에 이벤트가 외부로 전송되지 않는다. 클라우드에 정책서버가 있어 몇 달에 한 번씩 정책을 업데이트하는 방식으로 클라우드에서 전적으로 운영하는 환경이 아니다. 

 

AI 기반 엔드포인트 보안 솔루션은 너무 많은 이벤트를 탐지해 보안조직의 업무가 폭증한다는 문제도 있다. 사일런스를 국내에 공급하는 파고네트웍스는 자체 개발한 MDR 플랫폼을 통해 이 문제를 해결한다. 위협 탐지·대응 전문가 서비스가 함께 제공되는 파고네트웍스 MDR은 사일런스 AI 솔루션을 통해 탐지한 위협을 분석하고 대응 방안을 제시하기 때문에 대기업은 물론 보안 전문성이 부족한 중견·중소기업에서도 운영 가능하다. 

 

파고네트웍스는 AI 기반 네트워크 위협 탐지 및 대응(NDR) 솔루션도 함께 공급해 엔드포인트와 네트워크 위협 탐지를 자체 개발한 MDR 플랫폼에 통합해 위협 가시성을 한층 높일 수 있다. 

 

한편 파고네트웍스는 사일런스 솔루션이 OT 엔드포인트 침해대응에 탁월하다는 점을 내세워 OT 보안 시장 공략에도 나서고 있다. OT 엔드포인트는 정해진 프로세스만을 수행하기 때문에 AI로 정상 프로세스를 학습해 비정상 프로세스를 차단할 수 있다. 외부 연결이 제한된 환경에서도 로컬에서 AI 엔진으로 위협을 탐지할 수 있기 때문에 폐쇄망 엔드포인트 기기 관리에도 적합하다.

 

모바일 보안 솔루션 수요 늘어

엔드포인트 보안 문제를 고민할 때 모바일 기기 환경도 반드시 고민해야 한다. 비대면 업무가 급증하면서 태블릿 사용자가 크게 늘었는데, 시장조사기관 스트래티지 애널리틱스에 따르면 3분기 태블릿 시장 규모가 전년 동기 대비 33% 성장한 것으로 집계됐다. 

 

그동안 태블릿은 성능과 리소스 부족으로 업무용으로 사용하는데 불편함이 있었지만 하드웨어 성능 발전으로 이 문제는 대부분 해소했다. 또한 태블릿은 노트북보다 저렴하다는 장점 때문에 원격·모바일 근무자에게 안성맞춤이라고 평가된다. 

 

태블릿을 이용한 모바일 근무 시 문제는 기기 관리가 어렵다는 점이다. 직원 소유의 기기로 업무를 하는 BYOD 환경에서 직원 기기에 업무에 사용하는 통제 소프트웨어를 강제로 설치하는 것이 어렵다. 윈도우 기기를 중심으로 설계된 보안 솔루션이 태블릿의 다양한 OS를 지원하지 못한다는 것도 문제다. 

 

보안이 약한 공공 와이파이를 사용해 접속하는 경우 악성코드 감염, 내부정보 유출 가능성이 있으며, 관리되지 않은 기기로 업무에 접속해 발생할 수 있는 위협을 보안조직이 파악하고 제대로 대응하지 못한다는 것도 문제다. 

 

다양한 모바일 기기 보호 기술 등장

모바일 기기 관리(MDM), 모바일 애플리케이션 관리(MAM) 솔루션은 몇 년 전 BYOD 열풍이 불었을 때 국내 기업·기관들도 경쟁적으로 도입했지만 지나친 커스터마이징 요구와 치열한 가격경쟁으로 인해 시장이 성장하지 못하고 주저앉고 말았다. 그러나 이 시장이 다시 성장할 가능성이 점쳐지고 있다. 금융권 재택근무 보안 가이드라인에서 모바일 기기를 사용해 재택근무할 경우 MAM·MDM을 사용해야 한다는 조항이 있기 때문이다. 

 

하지만 보험설계사 등 이동하면서 고객을 만나는 모바일 근무자 수요를 감안하면 이 시장의 성장을 기대할 수 있지만, 코로나19로 대면업무가 제한된 현재 상황에서 급격하게 수요가 늘어날 것이라고 보기는 어렵다. 

 

이러한 상황에서 체크포인트가 모바일 보안 솔루션을 전략적으로 공급할 주요 제품군에 포함시키고 나서 주목된다. 체크포인트는 ‘샌드블래스트 모바일(SMB)’이 SDK로 제공하는 ‘SMB SDK’의 국내 영업을 적극 전개한다.

 

SMB는 모바일 기기 보호, 모바일 애플리케이션 보호, 네트워크 보호, OS·기기 보호 등 MDM·MAM 기능을 통합했으며 모바일 샌드박스와 위협 인텔리전스를 통해 지능적으로 위협을 탐지한다. SDK로도 제공돼 기업·기관 모바일 앱 개발에 보안 기능을 추가할 수 있으며, 전자금융사기 방지, 피싱 피해 방지 등의 기능으로도 사용할 수 있다. 

 

토종 기업 중 AI만으로 안드로이드 위협을 탐지하는 기술을 제공하는 시큐리온은 모바일 업무가 강조되는 현 상황에 꼭 필요한 솔루션을 제공한다고 할 수 있다. 시큐리온은 오랫동안 안드로이드 위협 탐지와 대응을 수행해 온 전문 기술을 기반으로 AI 기반 ‘온백신’을 출시하고 영업을 전개하고 있으며, 스마트TV·스마트워치 등을 위한 백신 솔루션도 내놓고 있다. 

 

XDR로 진화하는 엔드포인트 보안

글로벌 시장에서 엔드포인트 보안 시장은 네트워크 보안과 연계돼 ‘침해 탐지와 대응(Dectction and Response)’ 플랫폼을 완성해나가는 방향성을 띄고 있다. 진화하는 공격은 정상 사용자 권한으로, 정상 업무 프로세스를 이용하기 때문에 어느 한 지점만을 모니터링해서 위협을 탐지할 수 없다. 그래서 모든 영역에서 포괄적인 보호 전략이 필요하며 엔드포인트와 네트워크 위협을 통합 탐지·대응하는 ‘XDR’로 진화하고 있다. 

 

초기 XDR은 마케팅 용어라는 비판이 많았지만, 점차 기업들이 엔드포인트·네트워크 통합 전략을 펼치면서 XDR의 방향성을 드러내고 있다. 특히 네트워크 보안 벤더들은 자사의 탁월한 네트워크 위협 탐지 대응 기술과 엔드포인트 보안 기술을 결합한 솔루션을 출시하면서 시장 공략에 나섰다. 

 

팔로알토네트웍스는 ‘코어텍스 XDR’을 출시한데 이어 자동화·오케스트레이션으로 진화한 ‘코어텍스 XSOAR’까지 진화시켰다. 트렌드마이크로는 이메일, 엔드포인트, 서버, 클라우드, 네트워크 위협 탐지를 포괄하는 XDR 플랫폼 사업을 전개하고 있으며, 스텔라사이버는 멀티 클라우드를 지원하는 포괄적인 XDR 플랫폼으로 시장 공략을 진행하고 있다.

★정보보안 대표 미디어 데일리시큐!★

​o 원문 기사 링크 --> [2020 결산/엔드포인트 보안] 공격과 보안의 시작 ‘엔드포인트’