2018.05.15

2018년 엔드포인트 보안 핵심 동향 5가지

Josh Fruhlinger | CSO
엔드포인트 보안은 IT 초기 컴퓨터 보안의 직계 후손이라 해도 좋을 만큼 많은 면에서 유사한 점들을 보인다. 그러나 엔드포인트 보안은 이제 막 빠르게 발전하고 있는 카테고리로써 점차 네트워크 상의 PC, 서버, 그리고 휴대폰에 대한 통제를 조직화해 악성코드 및 침입자에 대비하려는 조직도 증가하고 있다. 수많은 보안 업체가 귀가 솔깃한 제안을 내놓고 있는 가운데, 올해 엔드포인트 보안은 어떤 방향으로 흘러갈 지 함께 살펴 보자.

엔드포인트 보안이란?
엔드포인트 보안은 엔드포인트, 즉 각 컴퓨터, 휴대폰, 태블릿 등 네트워크와 연결되어 있는 개별 디바이스의 보안을 철저히 함으로써 네트워크 보안까지 보장하려는 접근 방식이다. 그냥 방화벽을 치고, 안티바이러스 소프트웨어를 설치하는 것을 어렵게 돌려 말한 것뿐 아니냐고 생각할 수도 있다. 그리고 실제로 엔드포인트 보안이라는 개념이 처음 나왔을 때만 해도 단순히 안티바이러스 솔루션을 그럴듯하게 포장한 마케팅 용어가 아니냐는 의심이 없지 않았다.

그러나 이런 단순한 가정용 컴퓨터 보호 조치와 엔드포인트 보안의 차이점은 후자의 경우 엔드포인트에 설치하는 보안 툴 등을 기업 IT 부서가 중앙에서 관리한다는 것이다. 즉, 엔드포인트 보안은 2단계로 이루어진다. 엔드포인트 백그라운드에서 구동되는 소프트웨어 ‘에이전트’가 있고, 이들 에이전트를 모니터링 및 관리하는 중앙의 엔드포인트 보안 관리 시스템이 따로 존재한다. 관리 시스템은 IT 부서가 모니터링하는 제어판이 될 수도 있고, 자동화 시스템이 될 수도 있으며, 혹은 이 둘을 조합한 것일 수도 있다.

가끔 엔드포인트 보호와 엔드포인트 보안이라는 용어를 구분 없이 사용하는 사람들도 있다. 그러나 가트너에 따르면, 엔드포인트 보호 플랫폼이란 “엔드포인트 디바이스 보안 기능을 단일 제품에 통합해 안티바이러스, 안티스파이웨어, 개인용 방화벽, 애플리케이션 제어 및 기타 각종 호스트 침입 방지책(예컨대 행동 패턴 차단과 같은)을 제공하는 솔루션으로, 하나 통합 솔루션 형태로 제공된다. 따라서 엄밀히 말하자면 엔드포인트 보호 플랫폼은 중앙에서 관리하지 않는 솔루션까지 포함하는 셈이다. 사실 기업용 고객에게 마케팅하는 솔루션의 거의 대부분이 그렇지만 말이다. 그리고 실제로 자사의 안티바이러스 제품을 ‘엔드포인트 보호’ 솔루션으로 홍보하는 곳도 종종 있다. 구매자 입장에서는 그 차이를 이해하고 신중해야 할 부분이다.

엔드포인트 보안 동향
위협의 양상이 진화함에 따라 엔드포인트 보안 솔루션도 함께 진화할 수밖에 없다. 2018년 엔드포인트 보안 솔루션 업체들은 다음의 5가지 흐름에 뒤처지지 않기 위해 노력해야 할 것이다.

1. 머신러닝 및 AI. 위협의 변화, 발전이 가속화됨에 따라 결국 인간의 두뇌로는 실시간으로 따라잡기 어려운 순간이 올 것이다. 엔드포인트 보안에 있어 반드시 필요한, 순간적이고 즉각적인 대응은 점차 자동화되어 갈 것이며, 특히 머신러닝 및 인공 지능 기술이 트래픽을 검열하고 위협 요소를 찾아내는 역할을 하게 될 것이다. 가장 급박하고 중요한 문제들에 대해서만 인간이 개입하게 될 것이다. 마이크로소프트의 엔드포인트 보안 솔루션은 이미 머신러닝 기능을 출시하고 있다.

2. SaaS 기반 엔드포인트 보안. 전통적으로 중앙집중화된 엔드포인트 보안 관리 시스템은 조직에서 자체적으로 배치 및관리하는 서버나 어플라이언스 상에서 구동했다. 그러나 일상적인 IT 업무에 있어서 클라우드 및 SaaS 기반 서비스에 대한 신뢰도가 높아짐에 따라 오늘날에는 엔드포인트 보안 관리 역시 서비스 형태로 이루어지는 경우를 볼 수 있다. 파이어아이(FireEye), 웹루트(Webroot), 카본 블랙(Carbon Black), 사이버리즌(Cybereason), 그리고 모르픽(Morphick) 같은 솔르션 업체는 모두 SaaS 기반 엔드포인트 보안 솔루션 시장에 뛰어 들고 있다. 이는 어떤 측면에서 보면 머신러닝과 유사한 면이 있다. 엔드포인트 보안 관리에 대한 책임을 내부에서 외부로 덜어낸다는 점에서 특히 그렇다. 또한 이들 SaaS 서비스 중 상당수가 머신러닝 기술을 이용한다. 결국 보안 관리 서비스 제공이라는 또 하나의 시장 영역으로 등장하게 될 것이다.

3. 파일리스 공격에 대한 계층화된 보안. RAM에만 존재하며 하드디스크에는 전혀 쓰이지 않은 악성코드에 의한 의한 파일리스 공격(Fileless Attack)은 오늘날 위협적인 속도로 성장하는 위협 양상이다. 이에 엔드포인트 보안 솔루션 업체들은 이런 류의 공격에 대비할 수 있는 계층화된 보안 기능을 앞다퉈 내놓고 있다. 이 기능에 자동화, 그리고 머신러닝 기능을 추가하는 것이 일반적인데, 현재 툴들은 종종 긍정 오류를 내기 때문에 이들을 찾아내어 해결하려면 상당한 IT 자원이 소모되기 때문이다. 그렇지만 이러한 계층화된 보안은 엔드포인트 보안 솔루션이라면 사용자를 안심시키기 위해 반드시 제공해야 할 기능들 중 하나이다.

4. 보안 우산 아래 IoT 디바이스 편입. 지난 몇 년간 인터넷 보안의 중요한 주제 중 하나는 카메라부터 라우터, 센서 등, 말 그대로 인터넷에 연결된, 수십억 대에 이르는 디바이스의 보안을 어떻게 할 것인가였다. 이들 디바이스는 컴퓨팅 및 네트워크 디바이스가 마땅히 갖추어야 할 일체의 보호 기능도 없이, 최전선에서 묵묵히 기능하고 있기 때문이다. 미라이(Mirai) 봇넷만 봐도 알 수 있다. 미라이 봇넷은 대학생들이 수천 개의 CCTV를 하이재킹해 라이벌인 마인크래프트 서버 호스트에 DDoS 공격을 하기 위해 만든 것이었다. 물론 의도치 않게 사상 최대 규모의 DDoS 공격으로 확장되었지만. 상당수 IoT 디바이스가 관리가 어려운 맞춤형 OS를 사용하지만, 그래도 대다수는 리눅스, iOS, 안드로이드, 심지어 윈도우를 쓰고 있으며 엔드포인트 관리 솔루션 업체들은 이들 디바이스에서 구동할 수 있는 소프트웨어 에이전트들을 개발중에 있다.

5. 복잡성 감소 및 에이전트 통합. 엔드포인트 보안 솔루션 시장이 성장하면서 점차 특정한 공격 유형이나 취약점을 공략한 특화된 툴을 제공하는 업체들도 빠른 속도로 증가하고 있다. 그 결과 기업마다 각 엔드포인트에 최대 일곱 가지에 달하는 각기 다른 소프트웨어 에이전트를 구동하게 되었으며, 이들 소프트웨어의 관리 역시 따로 할 수밖에 없게 되었다. 엔드포인트 보안 업체들은 이렇게 분산되어 있는 에이전트를 하나의 솔루션으로 통합하기 위해 노력 중이다. 예를 들어 시만텍의 경우 단일 공통 엔드포인트 보안 에이전트를 배치하는 하는 솔루션을 제공한다.

과연 미래에는 어떨까? 이를 알아보기 위해, ESG 리서치는 사이버 보안 및 IT 전문가들을 대상으로 엔드포인트 보안상의 가장 골치 아픈 문제들에 대해 설문 조사를 실시하였다. 오경보 및 자동화의 부재 문제 외에도, 많은 이들이 내장형 교정 기능을 원하고 있는 것으로 나타났다. 종료 프로세스, 파일 삭제, 그리고 시스템 이미지 롤백 등의 기능이 있다면 IT 부서가 수동으로, 그리고 반복적으로 손상된 시스템의 이미지를 다시 구성할 필요가 없을 것이다. 이러한 수요에 귀 기울이는 솔루션 업체가 있기를 바랄 뿐이다.

엔드포인트 보안 소프트웨어 및 툴
가트너의 주요 엔드포인트 보안 솔루션 선정 결과를 참조하면 엔드포인트 보안 시장의 대표적 솔루션 업체를 파악하기 쉬울 것이다. 마이크로소프트나 시만텍처럼 일반 사용자 솔루션 영역에서부터 이미 유명했던 업체도 있고, 사이랜스(Cylance)나 크라우드스트라이크(CrowdStrike), 그리고 카본 블랙처럼 기업 솔루션에 특화된 업체도 있다. 가트너는 각 솔루션에 대한 링크도 제공하고 있기 때문에 엔드포인트 보안 소프트웨어들을 비교해보기도 쉽다. 몇몇 주목할만한 솔루션은 다음과 같다.

- 디지털 가디언 : 디지털 가디언 위협 인식 데이터 보호 플랫폼(The Digital Guardian Threat Aware Data Protection Platform)은 지능형 공격에 대비한 보안 솔루션의 선두에 서 있다고 해도 과언이 아닌 플랫폼으로 온프레미스 또는 서비스 방식으로 바로 배치할 수 있는 엔드포인트 보안 솔루션을 제공하며, 기업이 원하는 수준의 자동화를 맞춤형으로 제공한다.

- 엔사일로 : 엔사일로(enSilo) 플랫폼은 전통적인 엔드포인트 보호 솔루션으로써 감염 후 보안 기능도 함께 제공한다. 또한 위협 탐지 트랩을 설치해 적절한 조사 및 조치가 취해질 때까지 시스템에 침입한 위협 요인이 별 다른 위해를 가하지 못하도록 붙잡아 두는 기능도 함께 수행한다.

- 미네르바 : 미네르바의 안티 이베이전 플랫폼(Anti-Evasion Platform)은 새로운 환경 인식 악성코드를 타깃으로 하는 솔루션이다. 어차피 대부분 일반적인 위협 요소들은 전통적인 안티바이러스 소프트웨어로도 잡아낼 수 있으므로, 이런 보호 장치를 우회하려는 특수한 악성코드를 잡아 내겠다는 취지이다.

- 프로미섹 : 위협 탐지 및 대응 관리 부분에 있어, 그리고 그 밖에 기업 내에서 매일 같이 생겨나는 사소한 문제들을 해결함에 있어 완벽한 기업은 없다. 프로미섹(Promisec)은 이러한 도움을 줄 수 있는 솔루션으로, 엔드포인트 컴플라이언스를 달성하며(원한다면 자동화도 가능하다) 지속적으로 엔드포인트를 모니터링해 상태를 안정적으로 유지한다.  editor@itworld.co.kr


2018.05.15

2018년 엔드포인트 보안 핵심 동향 5가지

Josh Fruhlinger | CSO
엔드포인트 보안은 IT 초기 컴퓨터 보안의 직계 후손이라 해도 좋을 만큼 많은 면에서 유사한 점들을 보인다. 그러나 엔드포인트 보안은 이제 막 빠르게 발전하고 있는 카테고리로써 점차 네트워크 상의 PC, 서버, 그리고 휴대폰에 대한 통제를 조직화해 악성코드 및 침입자에 대비하려는 조직도 증가하고 있다. 수많은 보안 업체가 귀가 솔깃한 제안을 내놓고 있는 가운데, 올해 엔드포인트 보안은 어떤 방향으로 흘러갈 지 함께 살펴 보자.

엔드포인트 보안이란?
엔드포인트 보안은 엔드포인트, 즉 각 컴퓨터, 휴대폰, 태블릿 등 네트워크와 연결되어 있는 개별 디바이스의 보안을 철저히 함으로써 네트워크 보안까지 보장하려는 접근 방식이다. 그냥 방화벽을 치고, 안티바이러스 소프트웨어를 설치하는 것을 어렵게 돌려 말한 것뿐 아니냐고 생각할 수도 있다. 그리고 실제로 엔드포인트 보안이라는 개념이 처음 나왔을 때만 해도 단순히 안티바이러스 솔루션을 그럴듯하게 포장한 마케팅 용어가 아니냐는 의심이 없지 않았다.

그러나 이런 단순한 가정용 컴퓨터 보호 조치와 엔드포인트 보안의 차이점은 후자의 경우 엔드포인트에 설치하는 보안 툴 등을 기업 IT 부서가 중앙에서 관리한다는 것이다. 즉, 엔드포인트 보안은 2단계로 이루어진다. 엔드포인트 백그라운드에서 구동되는 소프트웨어 ‘에이전트’가 있고, 이들 에이전트를 모니터링 및 관리하는 중앙의 엔드포인트 보안 관리 시스템이 따로 존재한다. 관리 시스템은 IT 부서가 모니터링하는 제어판이 될 수도 있고, 자동화 시스템이 될 수도 있으며, 혹은 이 둘을 조합한 것일 수도 있다.

가끔 엔드포인트 보호와 엔드포인트 보안이라는 용어를 구분 없이 사용하는 사람들도 있다. 그러나 가트너에 따르면, 엔드포인트 보호 플랫폼이란 “엔드포인트 디바이스 보안 기능을 단일 제품에 통합해 안티바이러스, 안티스파이웨어, 개인용 방화벽, 애플리케이션 제어 및 기타 각종 호스트 침입 방지책(예컨대 행동 패턴 차단과 같은)을 제공하는 솔루션으로, 하나 통합 솔루션 형태로 제공된다. 따라서 엄밀히 말하자면 엔드포인트 보호 플랫폼은 중앙에서 관리하지 않는 솔루션까지 포함하는 셈이다. 사실 기업용 고객에게 마케팅하는 솔루션의 거의 대부분이 그렇지만 말이다. 그리고 실제로 자사의 안티바이러스 제품을 ‘엔드포인트 보호’ 솔루션으로 홍보하는 곳도 종종 있다. 구매자 입장에서는 그 차이를 이해하고 신중해야 할 부분이다.

엔드포인트 보안 동향
위협의 양상이 진화함에 따라 엔드포인트 보안 솔루션도 함께 진화할 수밖에 없다. 2018년 엔드포인트 보안 솔루션 업체들은 다음의 5가지 흐름에 뒤처지지 않기 위해 노력해야 할 것이다.

1. 머신러닝 및 AI. 위협의 변화, 발전이 가속화됨에 따라 결국 인간의 두뇌로는 실시간으로 따라잡기 어려운 순간이 올 것이다. 엔드포인트 보안에 있어 반드시 필요한, 순간적이고 즉각적인 대응은 점차 자동화되어 갈 것이며, 특히 머신러닝 및 인공 지능 기술이 트래픽을 검열하고 위협 요소를 찾아내는 역할을 하게 될 것이다. 가장 급박하고 중요한 문제들에 대해서만 인간이 개입하게 될 것이다. 마이크로소프트의 엔드포인트 보안 솔루션은 이미 머신러닝 기능을 출시하고 있다.

2. SaaS 기반 엔드포인트 보안. 전통적으로 중앙집중화된 엔드포인트 보안 관리 시스템은 조직에서 자체적으로 배치 및관리하는 서버나 어플라이언스 상에서 구동했다. 그러나 일상적인 IT 업무에 있어서 클라우드 및 SaaS 기반 서비스에 대한 신뢰도가 높아짐에 따라 오늘날에는 엔드포인트 보안 관리 역시 서비스 형태로 이루어지는 경우를 볼 수 있다. 파이어아이(FireEye), 웹루트(Webroot), 카본 블랙(Carbon Black), 사이버리즌(Cybereason), 그리고 모르픽(Morphick) 같은 솔르션 업체는 모두 SaaS 기반 엔드포인트 보안 솔루션 시장에 뛰어 들고 있다. 이는 어떤 측면에서 보면 머신러닝과 유사한 면이 있다. 엔드포인트 보안 관리에 대한 책임을 내부에서 외부로 덜어낸다는 점에서 특히 그렇다. 또한 이들 SaaS 서비스 중 상당수가 머신러닝 기술을 이용한다. 결국 보안 관리 서비스 제공이라는 또 하나의 시장 영역으로 등장하게 될 것이다.

3. 파일리스 공격에 대한 계층화된 보안. RAM에만 존재하며 하드디스크에는 전혀 쓰이지 않은 악성코드에 의한 의한 파일리스 공격(Fileless Attack)은 오늘날 위협적인 속도로 성장하는 위협 양상이다. 이에 엔드포인트 보안 솔루션 업체들은 이런 류의 공격에 대비할 수 있는 계층화된 보안 기능을 앞다퉈 내놓고 있다. 이 기능에 자동화, 그리고 머신러닝 기능을 추가하는 것이 일반적인데, 현재 툴들은 종종 긍정 오류를 내기 때문에 이들을 찾아내어 해결하려면 상당한 IT 자원이 소모되기 때문이다. 그렇지만 이러한 계층화된 보안은 엔드포인트 보안 솔루션이라면 사용자를 안심시키기 위해 반드시 제공해야 할 기능들 중 하나이다.

4. 보안 우산 아래 IoT 디바이스 편입. 지난 몇 년간 인터넷 보안의 중요한 주제 중 하나는 카메라부터 라우터, 센서 등, 말 그대로 인터넷에 연결된, 수십억 대에 이르는 디바이스의 보안을 어떻게 할 것인가였다. 이들 디바이스는 컴퓨팅 및 네트워크 디바이스가 마땅히 갖추어야 할 일체의 보호 기능도 없이, 최전선에서 묵묵히 기능하고 있기 때문이다. 미라이(Mirai) 봇넷만 봐도 알 수 있다. 미라이 봇넷은 대학생들이 수천 개의 CCTV를 하이재킹해 라이벌인 마인크래프트 서버 호스트에 DDoS 공격을 하기 위해 만든 것이었다. 물론 의도치 않게 사상 최대 규모의 DDoS 공격으로 확장되었지만. 상당수 IoT 디바이스가 관리가 어려운 맞춤형 OS를 사용하지만, 그래도 대다수는 리눅스, iOS, 안드로이드, 심지어 윈도우를 쓰고 있으며 엔드포인트 관리 솔루션 업체들은 이들 디바이스에서 구동할 수 있는 소프트웨어 에이전트들을 개발중에 있다.

5. 복잡성 감소 및 에이전트 통합. 엔드포인트 보안 솔루션 시장이 성장하면서 점차 특정한 공격 유형이나 취약점을 공략한 특화된 툴을 제공하는 업체들도 빠른 속도로 증가하고 있다. 그 결과 기업마다 각 엔드포인트에 최대 일곱 가지에 달하는 각기 다른 소프트웨어 에이전트를 구동하게 되었으며, 이들 소프트웨어의 관리 역시 따로 할 수밖에 없게 되었다. 엔드포인트 보안 업체들은 이렇게 분산되어 있는 에이전트를 하나의 솔루션으로 통합하기 위해 노력 중이다. 예를 들어 시만텍의 경우 단일 공통 엔드포인트 보안 에이전트를 배치하는 하는 솔루션을 제공한다.

과연 미래에는 어떨까? 이를 알아보기 위해, ESG 리서치는 사이버 보안 및 IT 전문가들을 대상으로 엔드포인트 보안상의 가장 골치 아픈 문제들에 대해 설문 조사를 실시하였다. 오경보 및 자동화의 부재 문제 외에도, 많은 이들이 내장형 교정 기능을 원하고 있는 것으로 나타났다. 종료 프로세스, 파일 삭제, 그리고 시스템 이미지 롤백 등의 기능이 있다면 IT 부서가 수동으로, 그리고 반복적으로 손상된 시스템의 이미지를 다시 구성할 필요가 없을 것이다. 이러한 수요에 귀 기울이는 솔루션 업체가 있기를 바랄 뿐이다.

엔드포인트 보안 소프트웨어 및 툴
가트너의 주요 엔드포인트 보안 솔루션 선정 결과를 참조하면 엔드포인트 보안 시장의 대표적 솔루션 업체를 파악하기 쉬울 것이다. 마이크로소프트나 시만텍처럼 일반 사용자 솔루션 영역에서부터 이미 유명했던 업체도 있고, 사이랜스(Cylance)나 크라우드스트라이크(CrowdStrike), 그리고 카본 블랙처럼 기업 솔루션에 특화된 업체도 있다. 가트너는 각 솔루션에 대한 링크도 제공하고 있기 때문에 엔드포인트 보안 소프트웨어들을 비교해보기도 쉽다. 몇몇 주목할만한 솔루션은 다음과 같다.

- 디지털 가디언 : 디지털 가디언 위협 인식 데이터 보호 플랫폼(The Digital Guardian Threat Aware Data Protection Platform)은 지능형 공격에 대비한 보안 솔루션의 선두에 서 있다고 해도 과언이 아닌 플랫폼으로 온프레미스 또는 서비스 방식으로 바로 배치할 수 있는 엔드포인트 보안 솔루션을 제공하며, 기업이 원하는 수준의 자동화를 맞춤형으로 제공한다.

- 엔사일로 : 엔사일로(enSilo) 플랫폼은 전통적인 엔드포인트 보호 솔루션으로써 감염 후 보안 기능도 함께 제공한다. 또한 위협 탐지 트랩을 설치해 적절한 조사 및 조치가 취해질 때까지 시스템에 침입한 위협 요인이 별 다른 위해를 가하지 못하도록 붙잡아 두는 기능도 함께 수행한다.

- 미네르바 : 미네르바의 안티 이베이전 플랫폼(Anti-Evasion Platform)은 새로운 환경 인식 악성코드를 타깃으로 하는 솔루션이다. 어차피 대부분 일반적인 위협 요소들은 전통적인 안티바이러스 소프트웨어로도 잡아낼 수 있으므로, 이런 보호 장치를 우회하려는 특수한 악성코드를 잡아 내겠다는 취지이다.

- 프로미섹 : 위협 탐지 및 대응 관리 부분에 있어, 그리고 그 밖에 기업 내에서 매일 같이 생겨나는 사소한 문제들을 해결함에 있어 완벽한 기업은 없다. 프로미섹(Promisec)은 이러한 도움을 줄 수 있는 솔루션으로, 엔드포인트 컴플라이언스를 달성하며(원한다면 자동화도 가능하다) 지속적으로 엔드포인트를 모니터링해 상태를 안정적으로 유지한다.  editor@itworld.co.kr


X