[보안칼럼]엔드포인트 보안 강화 위한 협력 나설 때

최근 사이버 공격 양상이 대규모 피해를 일으키는 정교한 공격으로 이동하는 가운데 상당수 레거시 엔드포인트 솔루션은 진화하는 사이버 공격에 효과적으로 대처하지 못하는 때가 많다. 실제로 노트북에 설치된 각종 안티 바이러스 에이전트가 기기 구동을 느리게 할 뿐, 정작 제로데이 악성코드에 취약해 무용지물이라는 느낌을 받았던 경험이 있을 것이다.

이처럼 엔드포인트 보안은 10여년이 지나도록 크게 진화하지 않은 것이 사실이다. 그러나 안전한 네트워크 프록시를 구축하기에 앞서 엔드포인트는 아키텍처 관점에서 기업과 사용자가 명확하게 시스템을 이해하는 유일한 대안이라 할 수 있다. 엔드포인트는 실제 환경에서 어떤 일이 발생하는지 완벽한 가시성을 확보할 수 있는 유일한 공간이다.

최근 몇 년간은 엔드포인트 르네상스라고 할 만큼 40여개 신생 제공업체가 다양한 기술을 선보이며 시장에 진입했다. 엔드포인트 탐지 및 대응(EDR:Endpoint Detection and Response)에는 애플리케이션 보호와 권한 관리, 화이트리스팅(whitelisting, 신뢰도가 보장되는 접근에 대한 허용), 실행 분리 및 종합적인 가시성과 제어 기능 등이 포함된다.

안전한 프록시 보안에도 불구하고 네트워크상에 제어하기 어려운 영역이 발생한다. 이때 엔드포인트 기기, 즉 윈도 PC 및 각종 리눅스 기기에서 수집된 인텔리전스 및 실행 가능한 데이터는 보안 운영과 사고 대응에 막대한 영향을 미친다.

블루코트가 최근 엔드포인트 보안 협력 파트너 에코시스템을 구축한 것도 바로 이러한 이유에서다. 카운터택 등 검증된 기술력을 보유한 공급업체에서 수집한 실행 가능한 인텔리전스를 자사 포트폴리오에 적용했다.

다양한 보안 위협으로부터 네트워크를 보호하고 탐지하는 엔드포인트 보안 협력 파트너 에코시스템의 역할은 크게 세 가지다.

먼저 하이브리드 샌드박싱 기술로 알려지지 않은 악성코드를 탐지한다. 이 정보는 블루코트에서 운영하는 글로벌 인텔리전스 네트워크(Global Intelligence Network)에 업데이트된다. 동시에 블루코트 엔드포인트 관리 시스템에 자동으로 전송돼 어떤 엔드포인트로 악성코드가 확산됐는지 즉시 확인할 수 있다. 보안팀에서는 감염된 엔드포인트 통합 리포트를 검토해 감염된 기기를 치료하거나 격리할 수 있다.

또 하나는 신속한 대응이다. PC가 네트워크에 직접 연결되지 않거나 온프레미스 및 클라우드 서비스로 보호되지 않으면 악성코드가 기기에 영향을 미칠 수 있는 위험이 있다. 이때 파트너 에코시스템에 포함된 제공업체 솔루션은 의심스러운 악성코드 파일을 자동으로 블루코트에 전송한다. 샌드박싱 기술로써 이의 추가 정보를 확인할 수 있다. 이를 바탕으로 문제 해결에 필요한 인사이트를 확보해 더욱 빠르게 엔드포인트 감염에 대응할 수 있다.

마지막으로 다면적인 심층 분석을 돕는다. 사이버 공격 피해를 완벽하게 파악하기 위해 엔드포인트와 네트워크 모두의 데이터를 확인해야 한다. 엔드포인트 보안 협력 에코시스템에 속한 제공업체는 블루코트의 보안 분석 플랫폼(Security Analytics Platform)과 글로벌 인텔리전스 네트워크로 엔드포인트에서부터 전체 네트워크에 이르는 경로를 분석한다. 사고 발생 전 상황과 공격 과정, 침해 발행 후 상황을 모두 확인할 수 있다. 블루코트에서는 암호화된 정보를 포함해 모든 데이터를 확인하고 저장해 분석 과정에서 문제 근본 원인을 손쉽게 파악하도록 지원한다.

사물인터넷(IoT) 확산은 물론이고 기업 내 스마트폰, 태블릿, 스마트워치 사용자가 증가함에 따라 전방위적 보안 환경 구축이 시급하다. 모든 기기를 기업 망에 연결시켜 엔드포인트 탐지 및 대응이 가능하도록 보안 환경을 구축해야 한다. 이를 위해 검증된 엔드포인트 솔루션을 적용해 문제가 발생하기 전 주도적으로 네트워크를 보호하고 잠재적 투자자본수익률(ROI)을 개선하는 것이 중요한 시점이다.

김기태 블루코트코리아 대표 keetae.kim@bluecoat.com