“기업의 엔드포인트, 즉 서버 및 개인 사용자들의 컴퓨터는 보안의 가장 취약한 요소이면서, 데이터가 존재하고, 중요 데이터가 저장되어 있는 스토리지 서버와 같은 IT 인프라로의 진입점입니다. 전체 보안사고의 76%가 엔드포인트에서 발생하며, 이 중 84%는 다수의 서버와 컴퓨터들이 연관되어 있습니다.” –강민석 카스퍼스키 코리아 이사-
지난 3월 29일 개최된 데일리시큐 주최 웨비나에서 카스퍼스키 코리아 강민석 이사는 차별화된 엔드포인트 보안과 EDR 솔루션의 필요성에 대해 강연을 진행했다.
강이사는 이날 강연에서 “90% 정도의 공격은 범용적인 악성 코드나 OS 또는 애플리케이션의 알려진 취약점을 이용해 공격하기에, 기존 안티멀웨어 또는 안티바이러스로 대응 가능하다. 하지만 APT 공격과 같은 나머지 10% 정도의 공격은 기존 예방 시스템으로는 대응이 불가능하다. EDR과 같은 시스템을 이용해 탐지하고, 샌드박스 등을 이용하고 분석하고, 전문가의 대응이 필수적이다. 하지만 이는 많은 구축, 운영비용 및 인력이 수반되기 때문에 기업들이 힘들어 하는 부분이다”라고 지적했다.
즉 알려지지 않은 위협은 대응 시그니처가 존재하지 않기 때문에 기존 솔루션으로는 대응이 불가능해 샌드박스와 EDR의 필요성이 대두되고 있다는 것이다. 하지만 기업의 한정된 보안 리소스로 샌드박스를 통해 위협을 분석하고 EDR(Endpoint Detection and Response)을 통해 배경정보를 확인 후 추가 대응하기란 사실 상 어려운 실정이다. 특히 중견, 중소기업은 더욱 힘든 상황이다.
이에 카스퍼스키(Kaspersky)는 보안 관리자의 추가 리소스 투입 없이도 효과적으로 대응이 가능한 자동화된 샌드박스와 EDR을 통합으로 제공하고 있다고 밝혔다.
◈카스퍼스키 통합 엔드포인트 보안
카스퍼스키 통합 엔드포인트 보안은 크게 세 개의 컴포넌트로 구성돼 있다.
△카스퍼스키 엔드포인트 시큐리티(Kaspersky Endpoint Security)는 공격 시그니처를 기반으로 악성 멀웨어를 일차적으로 방어하고, 동작 탐지를 비롯한 고급 기법을 사용해 추가 방어를 제공하며, 취약점 패치 관리, 데이터 암호화 등 엔드포인트 보안의 통합 패키지를 제공한다.
여기에 △카스퍼스키 샌드박스(Kaspersky Sandbox)가 추가되어 알려지지 않은 위협을 자동으로 분석·대응하고 △카스퍼스키 EDR(Kaspersky EDR)이 추가되어 공격 과정과 배후에 대한 모든 가시성을 확보할 수 있도록 지원한다. 단순히 악성 프로그램 탐지 뿐만 아니라 근본 원인을 분석해 공격 원천에 대한 즉각적인 대응이 가능하도록 조직의 보안 역량을 확장한다고 강이사는 강조했다.
◈카스퍼스키 EDR…엔드포인트에 대한 통합 보안 제공
가트너는 EDR에 대해, 엔드포인트의 동작을 기록 및 저장하며, 다양한 데이터 분석 기법을 사용해 의심스러운 시스템 동작을 탐지하고, 배경 정보를 제공하며, 악성 활동을 차단하고, 영향 받은 시스템 복원을 지원하는 솔루션이라고 정의하고 있다. 즉 EDR 솔루션은 반드시 보안 사건 탐지, 엔드포인트에서 사건 저지, 보안 사건 조사, 복원 지침 제공 등 네가지 기능을 제공해야 한다고 정의한다.
강민석 이사는 “EDR은 Endpoint Protection Solution이 탐지 하지 못하는 많은 보안 침해 지표를 보고한다. 보안 담당자는 이러한 많은 침해 지표를 모니터링, 분석하고 필요시 샌드박스 등을 이용해 심층 분석 후에 다단계 방어 전술을 작성하고 구축, 대응해야 한다”며 “이는 전문적인 지식이 필요할 뿐만 아니라 많은 시간, 장비, 인력이 투입된다. 이 부분이 기업으로서는 EDR 구축, 운영이 부담스러운 것이 현실이다. 또한 기존에 엔드포인트에서 운영 중인 Endpoint Protection Solution 외에 추가적인 EDR 에이전트를 배포, 설치하고 중앙관리 서버를 별도로 운영하는 이원화된 관리 역시 운영 측면에서는 많은 부담”이라고 설명했다.
이어 “카스퍼스키 EDR 옵티멈(Kaspersky EDR Optimum)은 추가적인 에이전트 배포와 별도의 중앙 관리 서버가 필요하지 않다. 기존에 설치 운영 중인 카스퍼스키 엔드포인트 시큐리티에서 EDR 라이선스만 활성화하면 자동으로 엔드포인트에서 EDR 기능이 활성화 되고, 또한 중앙관리 서버인 카스퍼스키 시큐리티 센터 역시 기존에 사용 중인 서버를 그대로 사용한다”며 “EDR이 활성화 되어도 PC 자원의 추가 사용 없이 침해사고 관련 정보를 카스퍼스키 시큐리티 센터로 전송해 중앙관리서버에서 분석을 수행하기에 효율적인 엔드포인트 리소스 관리가 가능하다”고 덧붙였다.
즉 Kaspersky EDR Optimum은 전문 보안 분석가 없이 EDR 시스템이 자동으로 분석해 차단 및 알림을 제공하며, 보안관리자는 간단하게 마우스 클릭 한 번으로 침해 PC를 네트워크에서 격리하고, C2 서버와의 통신차단을 위한 방화벽 정책을 일괄 배포할 수 있다는 것이 큰 장점이다.
또 단순히 악성 코드를 탐지하는 것이 아닌, 코드를 삽입하거나 악성 파일을 생성한 부모 프로세스의 행위 등을 추적해 공격을 근원을 찾아 낸다. 단순히 시그니처에 기반한 것이 아니라 레지스트리 수정 등 행위에 기반한 공격도 탐지한다. 악성 행위 또는 코드 탐지 후에는 해당 위협이 존재할 수 있는 모든 서버와 워크스테이션에 대한 검사를 수행하며, 공격 증거에 대한 자세한 분석 정보를 제공해 서드파티 보안장비에서 다단계 보안을 구성할 수 있도록 지원하는 것도 장점이다.
◈카스퍼스키 샌드박스, 중소기업도 쉽게 도입 및 구축·운영 가능
한편 강이사는 카스퍼스키 샌드박스(Kaspersky Sandbox)에 대해서도 소개했다.
그는 “별도로 독립된 샌드박스를 배치하기만 하면, 카스퍼스키 엔드포인트 시큐리티는 자동으로 의심스로운 악성 프로그램을 카스퍼스키 샌드박스에 전송하고 그 결과를 공유해 망 전체를 보호한다”며 “카스퍼스키 샌드박스는 여타의 샌드박스와 같이 알려지지 않은 악성 코드, 신종 바이러스, 랜섬웨어 및 제로 데이 공격을 탐지한다. 이 모든 동작은 카스퍼스키 엔드포인트 시큐리티와 연동되어 자동화 되기 때문에 숙력된 IT 보안 리소스가 부족한 조직도 쉽게 도입 및 구축·운영할 수 있다”고 소개했다.
◈카스퍼스키 MDR, 탁월한 위협 헌팅팀 지원…탐지 및 대응 기능 제공
한편 카스퍼스키 MDR(Kaspersky Managed Detection and Response)은 자동 보안시스템 우회하는 위협이 증가하는 현재 환경에서 24시간 고급 보호를 제공하기 때문에 전문 인력을 찾기 힘들거나 제한된 사내 인력으로 위협에 대응하는 조직에게 매우 유용하다고 전했다.
강이사는 “카스퍼스키 MDR은 업계에서 가장 노련한 카스퍼스키 위협 헌팅팀(Kaspersky Threat Hunting Team)의 지원으로 탁월한 탐지 및 대응 기능을 제공한다. 여타 유사 서비스와 달리, 카스퍼스키 MDR은 특허 받은 머신러닝 모델과 독보적인 지속적 위협 인텔리전스, 효과적인 표적형 공격 연구에 대해 검증된 기술을 활용한다. 사이버 위협에 대한 기업 복원 능력을 자동 강화하는 동시에 기존 리소스와 향후의 IT 보안 투자를 최적화할 수 있다”고 강조했다.
카스퍼스키는 엔드포인트 보안 이외에도 클라우드 보안, POS와 산업용 기기 등 임베디드 시스템 보안 그리고 산업용 제어시스템인 OT 보안 등 보안의 전 영역에서 업계 선두의 보안 솔루션을 제공하고 있는 글로벌 보안기업이다.
쉽고 효과적인 엔드포인트 보안 방안에 대해 좀더 자세히 알기를 원한다면 상단의 웨비나 영상을 시청하면 된다.
■ 상반기 최대 개인정보보호&정보보안 컨퍼런스 'G-PRIVACY 2021 온라인' 개최
-2021년 4월 28일~29일 온라인
-2일 참가시 14시간 보안교육 이수
-공공·금융·기업 보안실무자 1,000명 이상 참석
-최신 국내·외 보안솔루션 사이버 전시 참관
-무료참관등록: 클릭
★정보보안 대표 미디어 데일리시큐!★
