물론 엔드포인트 보호는 악성코드 방지 이상의 기능을 제공한다. 공격 방법과 그 배후의 기술이 더욱 다양해지고 정교해짐에 따라 기업 네트워크에서 가장 취약한 사용자가 매일 사용하는 기기를 보호해야 한다. 최종 사용자 기기에 대한 위협 벡터에는 브라우저 기반 공격, 피싱, 악성코드 또는 스파이웨어가 포함된다. 공격 벡터가 다양하기 때문에 엔드포인트 기기가 침해 당하지 않으려면 다양한 보호 방법을 활용해야 한다.
엔드포인트 보호라는 용어는 기업의 여러 위치에 분산된, 특히 VPN(Virtual Private Network)이나 개인이 소유한 기기를 통해 회사 네트워크에 연결하는 것과 같은 기업의 제어 범위를 벗어날 수 있는 다양한 기기 유형을 포함할 수 있는 최신 네트워크 아키텍처를 의미한다.
최신 엔드포인트 보호 기능
최신 엔드포인트 보호 제품군을 구성하는 기능은 무엇인가? 우선 최신 하이브리드 클라우드 아키텍처를 수용하는 솔루션의 우선순위를 지정해야 한다. 이는 사용자 기기가 기업 제어 하에 있는 네트워크에서 홈 네트워크와 공용 와이파이 연결을 포함해 다른 네트워크로 확산되는 것을 의미한다. 엔드포인트에 대한 보안을 유지하기 위해서는 엔드포인트 보호 제품군이 이런 다른 네트워크 상의 기기와도 정기적으로 통신해야 한다. 이 통신에는 일반적으로 검사 결과 및 차단된 위협에 대한 로그 정보 수신, 소프트웨어 및 정책 업데이트 수신(또는 이런 업데이트를 롤백하는 지침), 원격 관리 작업 시작 등이 포함된다. 고급 엔드포인트 관리 솔루션은 클라우드 기반 머신러닝을 활용해 제로데이 공격으로부터 보호할 수도 있다.
클라우드 기반 솔루션이 많은 기업에 적합한 솔루션일 수 있지만 기업이 선택할 수 있는 유일한 방안은 아니다. 여러 공급업체, 특히 오래된 공급업체는 클라우드 호스팅 제품군에서 볼 수 있는 많은 이점을 보유한 온프레미스 솔루션을 제공한다.
가장 중요한 관리 작업은 엔트포인트 기기의 초기 배포 및 등록이다. 대부분의 엔드포인트 보호 솔루션은 기기를 자동으로 등록하는 설치 프로그램을 생성한다. 일부 솔루션을 사용하면 이 설치 패키지를 사용자 지정으로 설치 및 사용 가능한 구성 요소를 정의할 수 있다. 대부분의 경우, MDM(Mobile Device Management) 솔루션 또는 정책 기반 관리 도구와 같은 기존 인프라를 활용해 대량 배포를 가속화할 수도 있다.
특히 대규모 배포의 경우, EDR(Endpoint Detection and Response) 솔루션과의 통합을 고려해야 한다. EDR은 엔드포인트 기반 공격을 탐지하고 자동화한 엔드포인트 보호를 강화한다. 이는 엔드포인트에 제공하는 보호 기능을 강화할 뿐만 아니라 피싱과 같은 초기 공격에 당한 경우에 피해를 제한할 수 있다.
EDR을 찾는 또 다른 이유는 공격이 성공한 상황 때문이다. EDR은 성공적인 공격을 식별하고 네트워크에 대한 범위와 영향을 측정하며 근본 원인을 파악하는 데 도움을 준다. 일부 엔드포인트 보호 솔루션은 MDR(Managed Detection and Response)과 같은 옵션으로 EDR을 한 단계 더 발전시켰다. MDR은 일반적으로 공급업체 또는 협력업체가 24 x 7 모니터링, 위협 사냥(threat hunting), 분석 서비스를 제공해 보안 직원과 유기적으로 긴밀히 협력하는 서비스다.
또 다른 옵션은 XDR(eXtended Detection and Response)인데, 이는 조사 프로세스를 자동화하고 워크플로우 기반의 수정 기능을 강화하는 데 중점을 둔 진화 버전이다.
엔드포인트 보호 제품군의 기본적인 기능
엔드포인트 관리는 피싱 시도, 브라우저 기반 공격, 이메일 첨부 파일 및 웜을 비롯한 여러 공격 벡터에 대해 방어한다. 이런 공격 벡터에는 악성코드 방지, 개인 방화벽 또는 HIDS(Host-based Intrusion Detection System)와 같은 모듈 형태로 제공되는 다양한 보호 방법이 필요하다. HIDS는 시스템 상태와 주요 구성 요소를 모니터링해 시작 애플리케이션이나 시스템 서비스 추가, 레지스트리 변경 또는 시스템 디렉터리 변경과 같은 무단 시스템 변경을 방지할 수 있기 때문에 최신 기기에서 특히 매력적이다. 악성코드 방지 및 방화벽과 같은 기존 예방 보안 서비스와 결합된 HIDS는 엔드포인트 보호 제품군이 초기 방어에 실패한 경우 최후의 방어선을 제공할 수 있다.
엔드포인트 기기 보안은 여러 구성 요소를 포함하고 있다. 보안을 우회하도록 설계된 새로운 악성코드 변종과 기술이 항상 존재하는데, 이는 악성코드 방지 솔루션이 성숙해지고 정교해져야 한다는 걸 의미한다. 예를 들어, 다변형 바이러스(polymorphic virus)는 시그니처를 동적으로 변경할 수 있으므로 기존 시그니처 기반의 보호 방법으로는 식별하기 어렵다.
휴리스틱 스캐닝(Heuristic scanning)은 다변형 악성코드로부터 일부 보호 기능을 제공했으며, 행동 기반 탐지가 잠깐 등장하기도 했다. 최근 엔드포인트 보호는 빅데이터로 강화된 머신러닝 기능을 통해 다양한 기능을 향상시켰다.
editor@itworld.co.kr