End-point 보안이란
먼저 엔드포인트 보안이란 아래와 같은 엔드포인트 기기를 통한 보안 위협으로부터 보호하는 것을 말한다.
엔드포인트 기기
- 노트북
- 태블릿
- 데스크탑 컴퓨터
- 모바일 기기
- IoT 기기
- 웨어러블
- 디지털 프린터
- 스캐너
등이 존재한다.
엔드포인트는 사이버 범죄자가 악용할 소지가 있는 조직 네트워크에 대한 진입점을 만들 수 있으며, 이러한 악의적 공격으로부터 보호한다.
재택근무를 하거나 이동 중 공용 Wi-Fi에 접속하는 등의 엔드포인트의 증가로, 공격의 잠재적인 진입점이 될 수 있다.
IBM이 의뢰하여 2020년 작성된 보고서에 의하면, 전 세계적으로 데이터 유출로 인한 평균 피해 비용이 386만 달러에 육박하며, 미국의 경우에는 피해액 규모가 더 큰 것으로 알려졌다.
기업은 데이터를 보호하고 지능형 사이버 위협에 대한 충분한 대비책이 필요하다. 하지만 적지 않은 기업에서는 네트워크 보안과 고객 정보를 지속적으로 모니터링할 리소스가 부족한 경우가 많다. 네트워크 보호 조치를 취하는 경우에도 가장 취약한 요소인 엔드포인트 기기는 보호되지 않은 채 방치할 수 있다.
엔드포인트와 중요 데이터로 인해 발생하는 위험은 계속되는 보안 전문인의 과제로 존재할 것이다.
엔드포인트 보안의 구성
엔드포인트 보안은 파일, 프로세스, 시스템에 의심스럽거나 악의적인 활동이 있는지 검사하는 방식으로 이루어지게 된다.
기업이 자체 네트워크에 연결할 수 있는 중앙 집중식 관리 콘솔을 제공하며, 관리자는 이를 통해 잠재적인 사이버 위협을 모니터링, 조사, 대응할 수 있게 된다.
엔드포인트 보안 소프트웨어에는
- 0-day 위협을 탐지하기 위한 머신러닝
- 적대적 네트워크 공격을 방지하는 방화벽
- 피싱 및 소셜 엔지니어링 공격 시도로부터 보호하는 이메일 게이트 웨이
- 엔드포인트 기기 및 운영체제 전반에서 악성코드를 탐지하고 제거하는 고급 안티바이러스 및 악성코드 방지 기능
- 데이터 유출 방지를 위한 엔드포인트, 이메일, 디스크 암호화
등이 포함되어 있다.
EPP (Endpoint Protection Platform)
기업은 엔드포인트 보호 플랫폼(EPP; Endpoint Protection Platform)을 기기에 설치하여 악의적인 행동을 하는 공격자가 악성코드 및 여러 도구를 이용하여 시스템에 침입하는 것을 방지할 수 있다. EPP와 함께 다른 탐지 모니터링 도구를 사용하게 되면 의심스러운 활동에 플래그를 지정하여 사전 예방이 가능하다.
EDR (Endpoint Detection and Response)
엔드포인트 탐지 및 대응을 뜻하는 EDR은 이미 발생한 침해를 조사하고 방지하기 때문에, EDR에 비해 능동적으로 탐지 및 대응이 가능하다.
EDR은 여러 엔드포인트에 걸친 공격에 대한 context 정보와 데이터를 제공한다.
- 모든 엔드포인트에서 발생하는 활동과 이벤트 기록
- 이벤트를 실시간으로 분석하여 의심스러운 행동 자동 탐지
- 엔드포인트에서 발생하는 이벤트에 대해 실시간으로 지속적이고 포괄적인 가시성 제공
엔드포인트 보안의 장점
엔드포인트 보호는 알려진 보안 incident와 새롭게 발생하는 보안 incident에 대한 정보를 수집하고 조직 전반의 인식을 높일 수 있다. 또한 사용자는 디바이스를 보호할 수 있는 최신 intelligence를 얻을 수 있다.
사용자 행동을 모니터링함으로써 비정상적인 활동을 자동적으로 플래깅하여, 보안 incident를 더 빠르게 탐지하고 대응할 수 있다.
엔드포인트 보안이 최소화하는 위험 유형
피싱
피싱에서는 악의적 행위자가 사기성 이메일 또는 디지털 커뮤니케이션을 이용하여 중요한 정보를 노출하도록 유도하여 조직의 구성원을 속인다. 이에 엔드포인트 보안솔루션은 이메일 게이트웨이를 통합함으로써 악의적인 이메일을 선별하고 검역함으로써 피싱에 빠질 위험을 줄인다.
랜섬웨어
랜섬웨어는 사용자를 네트워크에서 차단하기 위해 기업 엔드포인트에 배포하는 악성 프로그램 중 하나이다. 이를 통해 공격자는 금전적 요구를 하여 사용자의 권한을 다시 돌려주게끔 한다. 또한 credential data를 노출하겠다는 위협을 할 수도 있다.
엔드포인트 보안에는 데이터를 암호화하거나 사용자를 시스템에서 차단하기 전에 랜섬웨어를 식별하고 막는 탐지 기능이 존재한다.
내부 보안 위험
관리자는 엔드포인트 보안 플랫폼을 사용하여 최소 권한 원칙을 적용하여 사용자와 엔드포인트가 작업을 수행하는 데 필요한 리소스에만 액세스할 수 있도록 해야 한다.
엔드포인트 보안 정책 방안
엔드포인트 보안솔루션들의 유기적 연계가 되어야만 위협 대응 자동화가 시작될 수 있을 것이다.
다양한 연계 정책을 구축함으로써 엔드포인트 하드닝 자동화를 통해 능동적이며 자동화된 보안 관리 시스템이 구현될 수 있다.
위협 시나리오별 연계 정책 기반과 자동화 대응을 통해 사전 대응과 사후 대응 방안 모두 가능해진다.
연계 정책을 통해 개별 엔드포인트 보안 솔루션 사이의 gap을 최소화하여 고도화되는 보안 위협에 대한 자동화된 대응을 제공하고, 지속적인 노력이 필요했던 기존 시스템에 자동화가 가능해져 궁극적인 보안 수준 향상에 기여할 수 있게 되었다.
- 안랩 기술 웹콘텐츠 (유즈케이스로 본 연계 정책과 위협 대응 자동화)
REFERENCE
