Jaikumar Vijayan | CSO | OCT 4, 2018 3:34 AM PT
자사에 변화하는 위협 환경, 엄격한 규제, IT 인프라의 복잡성 증가 등에 대응할 수 있는 올바른 도구를 갖고 있는가. 이제부터 설명할 내용은 현재 주어진 과제를 해결할 수 있는 필수 보안 도구다.
ⓒ Getty Images Bank
조직이 보안 문제를 해결하는 데 어려움을 겪는 것은 사용 가능한 도구가 부족해서가 아니다. 지난 20년 간 보안 업체들은 끊임없이 진화하는 위협 및 인프라 환경에서 기업이 당면한 어려움을 해결할 수 있도록 많은 제품을 출시했는데, 이런 제품들이 상당히 어지럽게 펼쳐져 있기 때문이다.
이 도구들은 엔드포인트와 네트워크 보호에서부터 클라우드 보안, ID 및 액세스 제어에 이르기까지 광범위한 기능을 수행한다. 일부는 기업 보안에 있어 절대적으로 기본에 속하는 보안 도구다. 다른 도구들도 그렇겠지만 특정 조직이나 기반 시설에서는 중요한 기능을 제공한다.
참고로, 각 유형에 나열된 제품은 해당 특정 클래스의 도구를 나타낸다. 그 목록에 제품이 있다고 해서 해당 제품이 시장 리더이거나 특정 분야에서 가장 인기있는 제품이라는 것은 아니다. 기업에 필수적인 10가지 보안 도구는 다음과 같다.
1. NAC(Network Access Control, 네트워크 액세스 제어)
NAC 제품을 사용하면 기업은 네트워크에 액세스하려는 장치나 사용자에 대한 보안 정책을 시행할 수 있다. NAC 제품은 로그인하려는 사용자와 위치를 식별하는데 도움을 줄 수 있으며, 기업 자산에 대한 사용자 기반 액세스 권한을 부여하기 전에 사용중인 장치에 필요한 보안 패치, 안티바이러스 소프트웨어, 기타 제어 기능이 있는지 확인할 수 있다.- NAC가 필수적인 이유
기업 IT 인프라가 점점 더 복잡해지고 규제는 끊임없이 변화하기 때문에 기업은 자사의 네트워크에 무엇이 연결되어 있는지 파악하고 액세스 규칙과 제어를 일관되게 처리해야 한다. 대부분의 NAC 공급업체는 직원 소유의 스마트폰이나 태블릿을 비롯한 모바일 기기의 사용 증가와 네트워크에 연결되는 IoT 장치의 증가에 좀 더 효과적으로 대응하기 위해 제품을 수정했다.
- NAC 제품
아루바 클리어패스 폴리시 매니저(Aruba ClearPass Policy Manager)는 역할 및 장치 기반 네트워크 액세스 제어 기능을 제공한다. 기업은 이 제품을 사용해 직원, 신뢰할 수 있는 외부인 및 손님이 네트워크에 액세스하는 데 사용하는 회사 및 개인 소유 기기에 대한 보안 정책을 적용할 수 있다.
포어스카우트 카운터액트(ForeScout CounterACT)는 엔드포인트 에이전트가 필요없이 네트워크에서 모든 장치를 검색, 분류, 평가할 수 있는 방법을 제공한다. 이 기술은 기업 네트워크에 연결된 모든 장치를 즉시 가시화하고 정책 기반의 액세스 제어를 시행할 수 있도록 설계됐다. 능동 스캐닝 기술과 수동 탐색 및 프로파일링을 결합해 네트워크 상의 악의적인 장치를 포함한 모든 장치를 검색하는 데 사용한다.
2. DLP(Data loss protection, 데이터 유출 방지)
DLP 도구는 중요한 데이터가 실수 또는 악의적으로 기업 외부로 전송되는 걸 방지한다. 신용카드 또는 사회보장번호와 관련된 특정 형질이나 패턴과 일치하는 데이터 요소에 대한 네트워크 트래픽을 모니터링해 작동한다. 관리자는 이 제품을 사용해 잠재적으로 네트워크를 벗어나는 민감한 데이터에 대해 경고하거나 해당 데이터 전송을 적극적으로 차단할 수 있다. 점점 더 많은 DLP 제품이 클라우드의 데이터 유출을 방지하도록 설계되고 있다.- DLP 도구가 필수적인 이유
해커는 기업의 방벽을 넘을 수 있으며, 데이터와 시스템에 액세스할 수 있다. DLP 도구는 해커가 침입한 이후, 활동을 탐지하는 핵심 무기다. 또한 비정상적인 직원 행동에 주의를 기울여 가능한 내부자 위협을 식별하는 데 중요한 역할을 한다. 데이터 유출이 발생할 경우, 상당한 벌금을 부과할 수 있는 최근의 개인정보보호 규정은 좋은 DLP 솔루션의 가치를 높이고 있다.
- DLP 제품
시만텍 데이터 유출 방지(Symantec Data Loss Prevention)는 엔드포인트, 클라우드 애플리케이션, 이메일 및 웹 통신을 통한 데이터 유출을 방지하도록 설계됐다. 이 기술은 기업에서 EU의 GDPR(General Data Protection Regulation), 미국의 HIPAA(Health Insurance Portability and Accountability Act), PCI DSS(Payment Card Industry Data Security Standard) 등과 같은 규제 준수를 위한 정책과 함께 제공된다.
맥아피 DLP는 데이터 보호 및 암호화 기술 제품군의 일부다. 엔드포인트, 네트워크, 스토리지 시스템, 클라우드의 데이터 유출을 방지한다. 맥아피 DLP는 맥아피의 ePO(ePolicy Orchestrator) 보안 관리 플랫폼을 통해 배포할 수 있다. 기업이 자산 목록을 작성하고 많은 양의 미분류 데이터를 분류하며 정책 위반에 대한 데이터를 스캔할 수 있는 기능을 지원한다.
3. 방화벽(Firewalls)
방화벽은 관리자가 설정한 규칙을 사용해 네트워크 트래픽을 필터링하기 위한 전용 시스템이다. 방화벽은 악성코드, 인증되지 않은 로그인, 기타 다양한 보안 위협으로부터 시스템을 보호한다. 관리자는 방화벽을 사용해 원래 IP 또는 IP 범위, URL, 트래픽이 향하는 포트 및 기타 기준에 따라 트래픽을 차단할 수 있다. 최신 방화벽은 딥 패킷 검사(deep packet inspection), 애플리케이션 수준 트래픽 필터링, 침입 탐지 및 차단(Intrusion Detection and Prevention)을 수행한다.- 방화벽이 필수적인 이유
클라우드로의 이전은 전통적인 방화벽이 방어하도록 설계된 경계를 제거하는데, 오늘날 방화벽 제품의 대부분은 순수한 경계 방어를 넘어 URL, 첨부파일 필터링, 패치 등 가장 큰 위험 요소에 대한 클라이언트 측 보호 기능이 강화됐다. 또한 탐색 및 인라인 패치를 포함한다.
- 방화벽 제품
포티넷 포티게이트(Fortinet FortiGate)는 네트워크 에지, 데이터센터, 내부 네트워크와 클라우드에 배치할 수 있는 차세대 방화벽이다. 포티게이트는 특정 목적 보안 프로세스에 의해 구동되며, 암호화된 트래픽에 악성코드가 숨어있는지 SSL을 검사할 수 있다.
시스코 파이어파워 NGFW(Cisco Firepower NGFW) 제품군은 위협 방지, 위협 탐지, 애플리케이션 방화벽, 고급 악성코드 보호 기능을 갖춘 완전히 통합된 방화벽이다.
4. IPS(Intrusion prevention systems, 침입탐지 시스템)
기업 방화벽 바로 뒤에 배치되어 있는 인라인 기술인 IPS는 일반적으로 트래픽 흐름을 검사하고 악의적인 데이터 패킷을 자동으로 삭제하고 위협을 완화하기 위한 사전 예방 조치를 취한다. 네트워크만 검사하고 잠재적인 위협에 대해 보고하는 IDS(Intrusion Detection Systems)의 기능을 통합하고 사전에 설정된 규칙을 기반으로 자동적으로 대응하는 기능을 추가했다.- IPS가 필수적인 이유
IPS는 알려진 트래픽과 위협으로 알려진 패턴을 식별하기 위해 네트워크 트래픽에 대한 심층 분석을 수행해 방화벽이나 기타 네트워크 방어를 보완한다. IPS를 제 위치에 두면 응답 시간을 크게 줄이고, 소스 주소에서 트래픽을 차단하고 연결을 재설정해 위협원으로부터 추가 피해를 막을 수 있다.
- IPS 제품
시스코 차세대 IPS(Cisco Next Generation IPS, NGIPS)는 하드웨어 및 소프트웨어 형태로 제공된다. 이 제품에는 애플리케이션 수준의 위협, AMP(Advanced Malware Protection) 샌드박싱, 악성코드 차단 기능, URL 필터링 모니터링 등 시스코의 애플리케이션 가시성 및 제어 기술과 같은 기능이 포함되어 있다.
트랜드마이크로 티핑포인트(Trend Micro TippingPoint) 위협 방지 시스템은 위협을 실시간으로 탐지, 적용 및 수정하도록 권장하는 차세대 IPS다. 주요 기능으로 온박스 SSL 검사, 고급 위협 분석, 진화하는 단기 위협을 탐지하기 위한 실시간 머신러닝 기능 등이 있다.
5. 엔드포인트 보호(Endpoint protection)
엔드포인트 보호 도구는 데스크톱, 노트북, 기타 엔드포인트 장치를 바이러스, 웜 및 기타 다양한 악성코드 및 악의적인 활동으로부터 보호한다. 이 범주의 도구는 악성코드 방지 보호, 방화벽 및 침입 탐지 기능과 함께 기존의 안티바이러스 기능을 결합한다.- 엔드포인트 보호가 필수적인 이유
엔드포인트 보호 도구는 알려지거나, 알려지지 않은 위협에 대한 악성코드 탐지 및 치료 기능을 제공해 네트워크 수준에서 침입을 탐지, 예방한다. 많은 엔드포인트 보호 도구는 엔드포인트 장치의 지속적인 모니터링을 가능케 해 일반적으로 중앙에서 관리할 수 있다. 랜섬웨어(ransomware), 크립토마이닝(cryptomining), 피싱(phishing)의 시대에 클라이언트 계층의 보호는 매우 중요하다.
- 엔드포인트 보호 제품
이셋 엔드포인트 시큐리티(ESET Endpoint Security)는 바이러스 차단, 악성코드 방지 기능과 웹 필터링, 방화벽 및 봇넷 보호 기능을 결합했다. 이 제품은 랜섬웨어, 표적 공격, 파일리스 공격, APT(Advanced Persistent Threats)로부터 보호할 수 있다.
시만텍 엔드포인트 시큐리티(Symantec Endpoint Security)는 에이전트 기반으로 알려진 위협이나 새로운 위협에 대해 엔드포인트 탐지 및 치료, 하드닝(hardening) 기능을 통합한다. 이 기술을 통해 기업은 미끼와 유인술로 공격자를 속여 의심스러운 앱을 제한하거나 격리할 수 있다( Part 1 끝). editor@itworld.co.kr