보안

글로벌 칼럼 | 포괄적 엔드포인트 보안 스위트에 대한 2가지 물음과 답

Jon Oltsik  | CSO 2017.11.01
최근 안티바이러스(Antivirus) 선두 업체 시만텍(Symantec)은 SEP(Symantec Endpoint Protection) 제품의 최신 버전에 대한 중대 발표를 선언했다. 이 새로운 버전의 SEP에는 위협 방지용 머신러닝(Machine Learning), EDR(Endpoint Detection and Response) 기능, 디셉션 기술(Deception technology), 익스플로잇 공격(Exploit) 보호 등 모두 보편적인 엔드포인트 보안 에이전트에 기초하는 광범위한 기능이 포함되어 있다.

시만텍만이 포괄적인 엔드포인트 보안 스위트를 제공하는 것은 아니다. 맥아피(McAfee)와 트렌드 마이크로(Trend Micro) 등의 전통적인 엔드포인트 보안 업체들 또한 차세대 업체인 카본 블랙(Carbon Black), 크라우드스트라이크(CrowdStrike), 사일런스(Cylance) 등과 마찬가지로 완전한 기능을 갖춘 번들형 엔드포인트 보안 스위트를 제공한다.

그렇다. 시장경쟁은 시작되었고 많은 보안 개발업체들이 1위를 두고 경쟁하고 있다. 하지만 이 시장이 형성되는 동안 2가지 기본적인 질문이 떠오른다. 엔드포인트 보안 스위트란 무엇일까? 그리고 정말로 고객들이 원하는 것일까?

엔드포인트 보안 스위트란 무엇일까
수년 전, 더그 캐일과 필자는 다음과 같은 기능이 포함된 보안 방어 및 모니터링 기능인 엔드포인트 보안 연속체의 개념을 생각해냈다.
- 첨단 방지(Advanced prevention) : 이것을 파일 속성 분류를 위한 머신러닝의 혁신이 포함된 차세대 안티바이러스로 생각해 보자. 또한 시그니처, 행동(behavioral), 휴리스틱(heuristics), 평판(reputation) 등의 전통적인 통제 기능을 포함할 수 있다. 설치한 후에는 첨단 방지 제어 기능이 추가적인 프로젝트 또는 운영 간접비 없이 악성코드가 시스템을 감염시키지 못하도록 차단한다. 따라서 최대 80%의 조직이 여기에서 시작한다고 생각한다.

- 첨단 탐지/대응(Advanced detection/response) : 보안 연속체 개념을 생각해 낸 이후, 시장에서는 이를 EDR로 부르고 있었다. 이는 보안 분석/운영 활동으로써 고도의 훈련을 받은 보안 분석가들이 엔드포인트 행동을 모니터링하고 비정상적인 행동을 식별한 후 엔드포인트 시스템의 이미지를 재구성하거나 특정 문제를 해결한다. 첨단 탐지/대응에는 숙련된 보안팀이 필요하며 일반적으로 다른 보안 분석 및 활동(네트워크 보안 분석, SIEM, 위협 정보 분석 등)과 긴밀히 연결되어 있다. 기업 가운데 약 20%가 여기에서 시작한다.

- 계층화된 보안 통제 기능 : 이런 통제 기능은 첨단 방지와 탐지/대응 툴 사이에 존재하며 공격면을 줄이기 위해 개발되었다. 애플리케이션 통제, 포트 통제, 디스크 전체 암호화, 브라우저 샌드박스(Sandbox) 등을 생각해 보자. 

더그와 필자는 본래 차세대 엔드포인트 보안 기술에 대한 조사를 실시했기 때문에 새로운 엔드포인트 보안 스위트에 대해 추가적인 결론에 도달하게 되었다.

1. 새로운 엔드포인트 보안 스위트가 유연한 제품과 서비스를 제공할 가능성이 높다. 지속적인 사이버 보안 기술 부족으로 인해 이 부분이 점차 중요해지고 있다. 예를 들어, 많은 조직이 첨단 방지 제어 기능을 기꺼이 설치하겠지만 첨단 탐지/대응 활동을 스스로 처리하기 위해 필요한 기술이 없을 수 있다. 최고의 툴에는 100% 온프레미스에서부터 SaaS, 스탭증대(staff augmentation), 완전 매니지드 서비스에 이르기까지 제품과 서비스 옵션이 포함될 수 있다.

2. 일부 스위트는 PC와 서버에만 적용되지만 모바일 기기로까지 확대되는 것들도 있다. 시간이 지나면서 모바일 범위가 요건이 될 가능성이 높지만 많은 기업 조직은 향후 12~24개월 동안 여기에까지 미치지 못할 것이다.

3. 다양한 개발업체들이 계층화된 보안 제어 기능을 다양하게 혼합해 제공하기 때문에 CISO들은 원하는 것을 목록화한 후 이런 제어 기능을 요건으로 RFI/RFP를 작성해야 한다.

4. 데이터 보안의 경우에도 유사한 패턴이 보일 것이며 일부 개발업체는 아무 것도 제공하지 않는 반면에 디스크 전체 암호화, 파일 암호화, DLP 등을 제공하는 업체도 있을 것이다. 주의하자.

5. 일부 개발업체는 엔드포인트 보안 기술과 엔드포인트 관리 기술(즉, 자산 관리, 구성 관리, 패치 관리 등) 사이의 경계선을 넘을 가능성이 높다. 논리적으로 이해가 되기는 하지만 많은 조직이 이런 기능을 분리해 이런 툴이 적합하지 않게 될 수 있다.

6. 시만텍은 단일 에이전트 디자인으로 칭찬받을 만하다. 왜냐하면 산업 전체가 그런 방향으로 나아가고 있기 때문이다. 대부분의 개발업체들은 아직 단일 에이전트가 없을 것이기 때문에 CISO는 각 개발업체가 언제 이런 수준에 도달하고 그 과정에서 얼마나 많은 운영 간접비가 발생할 지에 대해 평가해야 한다.

기업 고객들은 엔드포인트 보안 스위트를 원하는가
필자의 두 번째 질문의 경우 엔드포인트 보안 스위트가 향후 수년 동안 급증할 것으로 보인다. 최근의 연구 프로젝트에서 ESG는 385명의 보안 전문가들에게 "새 엔드포인트 보안 요건이 등장하고 조직이 새 엔드포인트 보안 통제 기능을 고려하면서 어떤 선택이 조직에 가장 매력적일 것이라고 생각하는가?"라고 질문했다.

그 결과는 꽤 흥미로웠다. 응답자의 44%가 "차세대" 개발업체로부터 포괄적인 엔드포인트 보안 스위트를 선택할 것이라고 말했으며, 43%는 하나의 개발업체로부터 포괄적인 엔드포인트 보안 스위트를 선택할 것이라고 말했다. 8%의 응답자는 다양한 개발업체들의 엔드포인트 보안 기술 모음을 선택할 것이라고 말했으며, 3%는 통합을 위해 기술 협력관계를 수립하는 개발업체들의 엔드포인트 보안 기술 모음을 선택할 것이라고 말했다.

스위트가 우세하긴 하지만 전통적인 또는 차세대 기술을 둘러싼 개발업체 정의는 여전히 모호하다.

결론을 맺는다면 각 개발업체들의 제공물은 다르지만 엔드포인트 보안 스위트가 등장하고 있다는 자체는 사실이다. 고객들은 누구인지 확실하지는 않지만 엔드포인트 보안 스위트를 구매할 것이고 이 시장에서 승리한 보안업체들은 스스로 전통적인 엔드포인트 보안 시장에서의 입증된 기록과 차세대 엔드포인트 보안 업체의 혁신자의 위치를 확보할 것이다. editor@itworld.co.kr  

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.