2018.11.27

엔드포인트 탐지와 대응의 7대 죄악

Michelle Drolet | CSO
기업에서 데이터를 적절히 보호하기 위해서는 많은 요소가 조화를 이뤄야 한다. 대부분의 기업은 차단에 중점을 두는 보안 전략을 채택하지만 시스템을 완벽하게 걸어 잠그고 모든 침입을 막을 수 있다고 생각한다면 오산이다. 죽음과 세금은 피할 수 없다는 말이 있지만 데이터 침해도 마찬가지다. 대다수 기업이 언젠가는 데이터 침해를 겪게 된다.

핵심은 신속한 탐지와 대응이다. 공격자에게 네트워크 깊이 침투해 횡으로 이동할 시간적 여유를 줄이고, 규정 위반으로 인한 벌금 위험을 낮추며, 기업 평판 훼손을 막는 데도 도움이 된다. 또한 데이터 침해로 인한 비용도 낮춰준다. 탐지하는 데 걸리는 시간이 길어질수록 침해 비용은 커진다. 그러나 포네몬 인스티튜트(Ponemon Institute)의 조사 결과에 따르면, 기업에서 침해를 탐지하기까지 걸리는 시간은 평균 196일에 이른다.

필요한 속도를 달성하려면 이에 맞는 마음가짐과 최선의 EDR 툴, 두 가지가 필요하며, 이를 위해서는 우선 다음과 같은 탐지 및 대응의 7가지 치명적인 죄악을 알아야 한다.
 

1. 보이지 않는 엔드포인트

오늘날의 보편적인 IT 환경에는 다양한 운영체제를 실행하는 수많은 디바이스가 포함된다. IoT와 원격 근무자, 서드파티로 인해 악용 가능한 엔드포인트는 매일 늘어나고, 복잡성도 함께 높아진다. 모든 기업은 관리되지 않는 디바이스를 보호하고 IoT 사각 지대를 없애기 위한 조치를 취해야 한다. 네트워크에 존재하는 모든 엔드포인트에 대한 완벽한 실시간 시야를 확보하는 것이 급선무다.
 

2. 데이터 분석 실패

우수한 EDR 시스템을 구축하고 올바르게 구성했더라도 보인 팀이 눈사태처럼 쏟아지는 데이터에 매몰되면 행동의 지표가 될 가치있는 통찰력을 얻지 못하게 된다. 관건은 두 가지다. 비즈니스에 맞는 툴을 마련하고 올바르게 구성해야 한다는 것, 그리고 수신되는 데이터를 분석하기 위한 리소스가 필요하다는 것이다.
 

3. 경보 무시

양치기 소년 이야기와 마찬가지다. 오탐지를 포함한 많은 양의 경보를 마구 쏟아내는 보안 툴은 결국 사람들의 무관심 속에 방치될 위험이 있다. 경보 피로감에 빠진 보안 팀은 추가 조사가 필요한 부분도 무시하기 시작한다. 오경보를 모두 걸러내는 것은 불가능하지만 유효한 경보를 그냥 지나치지 않도록 해야 한다. 실질적인 문제가 무시된 사례가 발생했다면 관련 절차를 세밀하게 점검하라.
 

4. 일반적인 침해 지표에 지나치게 의존

바이러스 시그니처나 악명높은 도메인 이름과 같이 침해를 발견하는 지름길을 제공하는 확실한 침해 지표(IOC)가 있다. 이런 IOC를 철저히 감시하되, 오로지 여기에만 의존해서는 안 된다. 영리한 공격자는 보안 관리자와 마찬가지로 IOC를 잘 알고 있으며 공격을 우회하고 변장하는 데 능숙하다. 의심스러운 행동 및 이상 패턴에 대한 모니터링을 방어 전략에 포함시켜야 한다.
 

5. 적격 인력의 부족

알다시피 사이버보안 인력의 부족은 모든 기업에서 큰 문제이며 매년 더 악화되는 중이다. 세계 최고의 EDR 툴이라 해도 적임 분석가가 없으면 제대로 효과를 발휘하지 못한다. 적절한 기술을 가진 인력은 데이터를 추려내고 오탐지를 줄이고 EDR 방어에서 진정한 가치를 끌어내는 역할을 한다. IT 부서가 과도한 업무에 시달리고 있다면 전문 서비스를 통해 업무 부하를 덜고 인력 공백을 메우는 방법도 있다. 아웃소싱과 컨설팅은 문제를 탐지 및 완화하고 정밀 조사를 통해 필요한 통찰력을 얻는 데 도움이 된다.
 

6. 체계적 대응 실패

침해를 신속하게 탐지하는 것도 좋지만 필요한 조치가 신속하게 뒤따르지 않는다면 조직에 도움이 되지 않는다. 심각한 침해에 즉각 대처가 가능하도록 명확한 분류 전략이 필요하다. 보고와 조사에 대한 엄격한 지침을 마련하고 책임 소재를 명확하게 하고 침해 발견이 적시에 전달되어 교정 계획으로 이어질 수 있도록 해야 한다. 적절히 시행되는 명확한 정책이 없는 경우 상황은 더 악화되기 십상이다.
 

7. 측정과 개선 망각

보안은 끝이 없고, 보안 전략에는 언제나 개선의 여지가 있다. 어떤 툴과 전문 기술을 갖추든 그 효과를 반드시 측정해야 한다. 경보의 양이 팀이 감당할 수 있는 수준을 초과한다면 리소스를 늘리거나 경보를 더 효과적으로 우선 순위화할 방법을 찾아야 한다. 발견과 교정 사이의 공백이 크다면 그 공백을 목표 수준만큼 메울 수단을 찾아야 한다. 비즈니스에 가장 중요한 척도가 무엇인지 파악하고 피드백 루프를 만들어서 지속적인 전략 개선을 이끌어야 한다.

대부분의 기업은 앞서 언급한 7가지 죄악 가운데 한두 가지는 범하고 있다. 심한 경우 모든 죄악을 저지르는 경우도 있을 것이다. 반성으로 끝나서는 안 된다. 탐지 및 대응 시간을 개선하고자 한다면 실천이 필요하다. 시야를 확보하고, 적절한 인력과 리소스를 투입해 데이터와 경보를 적절히 분석하고, 세밀하고 다양한 모니터링 기법을 채택하고, 실수를 통해 배우면서 항상 개선을 추구해야 한다. editor@itworld.co.kr 


2018.11.27

엔드포인트 탐지와 대응의 7대 죄악

Michelle Drolet | CSO
기업에서 데이터를 적절히 보호하기 위해서는 많은 요소가 조화를 이뤄야 한다. 대부분의 기업은 차단에 중점을 두는 보안 전략을 채택하지만 시스템을 완벽하게 걸어 잠그고 모든 침입을 막을 수 있다고 생각한다면 오산이다. 죽음과 세금은 피할 수 없다는 말이 있지만 데이터 침해도 마찬가지다. 대다수 기업이 언젠가는 데이터 침해를 겪게 된다.

핵심은 신속한 탐지와 대응이다. 공격자에게 네트워크 깊이 침투해 횡으로 이동할 시간적 여유를 줄이고, 규정 위반으로 인한 벌금 위험을 낮추며, 기업 평판 훼손을 막는 데도 도움이 된다. 또한 데이터 침해로 인한 비용도 낮춰준다. 탐지하는 데 걸리는 시간이 길어질수록 침해 비용은 커진다. 그러나 포네몬 인스티튜트(Ponemon Institute)의 조사 결과에 따르면, 기업에서 침해를 탐지하기까지 걸리는 시간은 평균 196일에 이른다.

필요한 속도를 달성하려면 이에 맞는 마음가짐과 최선의 EDR 툴, 두 가지가 필요하며, 이를 위해서는 우선 다음과 같은 탐지 및 대응의 7가지 치명적인 죄악을 알아야 한다.
 

1. 보이지 않는 엔드포인트

오늘날의 보편적인 IT 환경에는 다양한 운영체제를 실행하는 수많은 디바이스가 포함된다. IoT와 원격 근무자, 서드파티로 인해 악용 가능한 엔드포인트는 매일 늘어나고, 복잡성도 함께 높아진다. 모든 기업은 관리되지 않는 디바이스를 보호하고 IoT 사각 지대를 없애기 위한 조치를 취해야 한다. 네트워크에 존재하는 모든 엔드포인트에 대한 완벽한 실시간 시야를 확보하는 것이 급선무다.
 

2. 데이터 분석 실패

우수한 EDR 시스템을 구축하고 올바르게 구성했더라도 보인 팀이 눈사태처럼 쏟아지는 데이터에 매몰되면 행동의 지표가 될 가치있는 통찰력을 얻지 못하게 된다. 관건은 두 가지다. 비즈니스에 맞는 툴을 마련하고 올바르게 구성해야 한다는 것, 그리고 수신되는 데이터를 분석하기 위한 리소스가 필요하다는 것이다.
 

3. 경보 무시

양치기 소년 이야기와 마찬가지다. 오탐지를 포함한 많은 양의 경보를 마구 쏟아내는 보안 툴은 결국 사람들의 무관심 속에 방치될 위험이 있다. 경보 피로감에 빠진 보안 팀은 추가 조사가 필요한 부분도 무시하기 시작한다. 오경보를 모두 걸러내는 것은 불가능하지만 유효한 경보를 그냥 지나치지 않도록 해야 한다. 실질적인 문제가 무시된 사례가 발생했다면 관련 절차를 세밀하게 점검하라.
 

4. 일반적인 침해 지표에 지나치게 의존

바이러스 시그니처나 악명높은 도메인 이름과 같이 침해를 발견하는 지름길을 제공하는 확실한 침해 지표(IOC)가 있다. 이런 IOC를 철저히 감시하되, 오로지 여기에만 의존해서는 안 된다. 영리한 공격자는 보안 관리자와 마찬가지로 IOC를 잘 알고 있으며 공격을 우회하고 변장하는 데 능숙하다. 의심스러운 행동 및 이상 패턴에 대한 모니터링을 방어 전략에 포함시켜야 한다.
 

5. 적격 인력의 부족

알다시피 사이버보안 인력의 부족은 모든 기업에서 큰 문제이며 매년 더 악화되는 중이다. 세계 최고의 EDR 툴이라 해도 적임 분석가가 없으면 제대로 효과를 발휘하지 못한다. 적절한 기술을 가진 인력은 데이터를 추려내고 오탐지를 줄이고 EDR 방어에서 진정한 가치를 끌어내는 역할을 한다. IT 부서가 과도한 업무에 시달리고 있다면 전문 서비스를 통해 업무 부하를 덜고 인력 공백을 메우는 방법도 있다. 아웃소싱과 컨설팅은 문제를 탐지 및 완화하고 정밀 조사를 통해 필요한 통찰력을 얻는 데 도움이 된다.
 

6. 체계적 대응 실패

침해를 신속하게 탐지하는 것도 좋지만 필요한 조치가 신속하게 뒤따르지 않는다면 조직에 도움이 되지 않는다. 심각한 침해에 즉각 대처가 가능하도록 명확한 분류 전략이 필요하다. 보고와 조사에 대한 엄격한 지침을 마련하고 책임 소재를 명확하게 하고 침해 발견이 적시에 전달되어 교정 계획으로 이어질 수 있도록 해야 한다. 적절히 시행되는 명확한 정책이 없는 경우 상황은 더 악화되기 십상이다.
 

7. 측정과 개선 망각

보안은 끝이 없고, 보안 전략에는 언제나 개선의 여지가 있다. 어떤 툴과 전문 기술을 갖추든 그 효과를 반드시 측정해야 한다. 경보의 양이 팀이 감당할 수 있는 수준을 초과한다면 리소스를 늘리거나 경보를 더 효과적으로 우선 순위화할 방법을 찾아야 한다. 발견과 교정 사이의 공백이 크다면 그 공백을 목표 수준만큼 메울 수단을 찾아야 한다. 비즈니스에 가장 중요한 척도가 무엇인지 파악하고 피드백 루프를 만들어서 지속적인 전략 개선을 이끌어야 한다.

대부분의 기업은 앞서 언급한 7가지 죄악 가운데 한두 가지는 범하고 있다. 심한 경우 모든 죄악을 저지르는 경우도 있을 것이다. 반성으로 끝나서는 안 된다. 탐지 및 대응 시간을 개선하고자 한다면 실천이 필요하다. 시야를 확보하고, 적절한 인력과 리소스를 투입해 데이터와 경보를 적절히 분석하고, 세밀하고 다양한 모니터링 기법을 채택하고, 실수를 통해 배우면서 항상 개선을 추구해야 한다. editor@itworld.co.kr 


X