본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

업무 환경의 변화에 따라, 조직의 보안 관리자들은 개인의 디바이스 혹은 애플리케이션을 뜻하는 BYOD(Bring Your Own Device)와 BYOA(Bring Your Own Application), 그리고 Shadow IT(이하 섀도우 IT)로 인한 엔드포인트 보안 문제에 대해 고려하기 시작했습니다. 


그래서 오늘은 엔드포인트 보안 전략 수립 시 기업들이 고려해야 할 사항과 필요한 솔루션에 대해 알아보려고 합니다.



섀도우 IT로 사이버 위협에 노출되는 ‘엔드포인트’



다국적, 초국적 기업이 늘어나고 오피스 환경이 변화함에 따라 원격 근무를 활용하는 기업도 증가하고 있습니다.


포브스(Forbes)에 따르면, 미국의 경우 2007년 대비 2019년 원격 근무 비율이 159% 증가했으며, 영국은 인력의 50%가 원격 근무를 하는 것으로 추정됩니다. 이 같은 추세이다 보니, 업무용이 아닌 개인용 데스크톱이나 노트북을 회사의 업무에 사용하는 비율도 함께 증가하고 있습니다.


섀도우 IT란 직원들이 IT 부서에서 승인받지 않은 클라우드 애플리케이션이나 서비스를 구입하고, 이를 IT 관리 부서나 책임자가 파악하지 못하는 현상을 일컫습니다.


IBM이 1천 곳의 기업을 대상으로 실시한 설문조사, ‘Bring shadow IT into the light(2017)’에 따르면, 기업들이 파악하지 못한 섀도우 IT가 기업에서 파악하고 있는 클라우드 기반 애플리케이션(에버노트, 노션 등) 보다 10배 가량 많은 것으로 나타났습니다.


다시 말해, 업무에 사용하는 디바이스와 애플리케이션 사용에 있어 효율과 편의성 등을 이유로 IT 보안 부서의 관리 범위를 벗어난 경우가 증가하고 있는 것입니다. 이러한 현상은 사이버 보안 위협 노출과 새로운 취약점의 등장 등 엔드포인트 보안 문제를 가져왔습니다.


조직들이 승인받지 않은 디바이스와 애플리케이션 사용에 따른 보안 관리 지점을 모두 파악하는 것은 사실상 불가능합니다. 따라서 보안 관리자가 파악하고 있는 전반적 가시성이 줄어들고, 내부에 악성코드가 발생했을 때 제대로 대응하기도 어려워지고 있는 것입니다.


뿐만 아니라 IT 관리 비용 또한 증가하고 있는데, 이는 기업의 IT 전략과 프로세스가 제대로 수립되지 않을 때의 손실과 IT 보안 관리 및 강화를 위한 비용이 추가로 발생하기 때문입니다.


틈새까지 완벽하게 엔드포인트를 지키는 방법은?


보안 관리자가 모든 직원의 IT 업무 환경을 제어하기는 어렵기 때문에, 관리 밖의 IT 서비스를 사용하면 임직원들이 본인도 모르는 사이, 랜섬웨어와 같은 보안 위협에 노출되는 상황은 꾸준히 발생할 것입니다. 그렇다면 우린 섀도우 IT로 인한 보안 취약점을 어떻게 해결해야 할까요? 


1. 패치 관리 솔루션 


먼저, 패치 관리 솔루션을 통해서 엔드포인트의 하드웨어와 소프트웨어를 포함한 모든 인프라 가시성을 확보하고, 소프트웨어를 자동으로 패치하여 최신 버전 상태로 유지하는 방법이 있습니다. 하지만 관리 대상에 포함되지 않은 이벤트 등의 영역은 여전히 안전하지 않습니다.


2. 문서중앙화 솔루션 


또한 엔드포인트 내 보관되어 있는 기업의 핵심 자산인 문서파일의 유출을 막는 문서중앙화 솔루션도 대안이 될 수 있습니다. 문서중앙화 솔루션은 개인 PC 내 문서 생산을 통제하기 때문에, 문서가 개인 계정의 클라우드 저장소나 이메일 등에 저장되는 것을 막을 수 있습니다.


하지만 문서중앙화는 구멍이 뚫린 엔드포인트를 보호하는 데에는 한계가 있습니다. 즉, 사이버 공격의 타깃이 되어도 공격자의 최종 목적지인 엔드포인트를 안전하게 보호할 수 있는 솔루션이 요구됩니다.


3. EDR


최근에는 안티바이러스의 보완재로 엔드포인트 위협 대응 솔루션(Endpoint Detection & Response, 이하 EDR) 개념이 국내 시장의 주목을 받고 있다. 단말에서 발생한 이벤트를 수집하여 위협을 가시화하고 알려지지 않은 위협을 찾아낼 수 있기 때문입니다.


EDR은 예측-방어-탐지-대응 네 단계로 보안 영역을 나누어, 고도화된 위협을 면밀하게 대응하는 것이 특징입니다. 파일 정보만이 아니라 레지스트리, 프로세스, 네트워크 연결 정보 등을 수집하고 종합적인 분석을 통해 새로운 위협을 차단하거나 체계적인 사고 대응이 가능하기 때문에, 섀도우 IT로 발생하는 보안 홀을 점검하고 관리할 수 있다는 기대를 받고 있습니다.


도입보다 운영이 중요한 EDR 솔루션



하지만 엔드포인트 보안의 새로운 대책으로 떠오른 EDR을 향한 뜨거운 관심과 시장의 분위기는 다소 온도 차가 있습니다. EDR은 도입도 도입이지만, 성공적인 운영이 관건이기 때문입니다. EDR의 운용을 위해 관리자가 고려해야 할 필수 사항은 다음과 같습니다.


(1) 한눈에 파악할 수 있는 위협 가시성 확보


IT 보안 관리자에게 가장 필요한 정보 중 하나는 시스템 내 위협의 전체적인 흐름·의심 위협의 종류·행위·공격 단계에 대한 정보와 이들 간의 연관 관계이므로, 이를 한눈에 파악할 수 있도록 엔드포인트 전체의 가시성을 확보하는 게 중요합니다.


이와 관련해 조직 내 엔드포인트 위협 정보 모니터링 시 커널 레벨의 동작 로그를 활용하는 EDR 솔루션을 선택하는 것도 방법이 될 수 있습니다.


이는 유저 레벨의 동작 로그 수집과 달리, 강력한 커널 레벨 로깅 기능으로 충돌 이슈, 로그 유실 및 서버 부하를 최소화해 조직 내 엔드포인트 위협 정보를 안정적으로 수집·제공할 수 있도록 합니다.


(2) 운영 리소스 최소화 및 근본적인 대응을 위한 안티바이러스 연동


두 번째로 중요한 요소는 관리자의 리소스를 줄여주는 것입니다. 실제로 시장엔 많은 EDR 제품들이 출시돼 있지만, 사용자들이 선택에 어려움을 겪는 이유 중 하나는 과도한 의심 이벤트 알림으로 인한 보안 관리자의 업무부담 과중 문제가 해결되지 않는다는 점입니다.


EDR은 기존 보안 솔루션이 탐지하지 못한 지능형 공격을 방어하기 위한 것으로, 보안 조직의 리소스가 추가로 투입되어야 하는 솔루션입니다. 하지만 알려진 악성코드의 악성행위의 경우 보안 관리자의 개입 없이도 EDR 솔루션에서 선차단-후보고하는 방식으로 운영된다면 절대적인 보안 알림의 수를 줄일 수 있습니다.


또한 EDR에서 보안 담당자가 프로세스 격리, 차단 등 즉각적인 조치를 취하는 것은 임시 방책으로 볼 수 있으며, 최종적으로는 알려진 악성코드가 조직 내 운용 중인 안티바이러스에 반영되어 근본적인 치료와 대응이 가능해야 합니다.


따라서, 해당 EDR 솔루션이 안티바이러스와 유기적으로 연동이 되는지, 또는 동일한 보안 업체가 EDR과 안티바이러스를 둘 다 제공해 단일 에이전트로 보다 손쉬운 관리가 가능한지 반드시 고려돼야 합니다.


(3) 보안 전문성을 보완하는 표준 체계 형태의 위협 인텔리전스 제공


EDR 솔루션이 식별하지 못한 알려지지 않은 위협에 대해 근본적으로 대응하기 위해서는 행위 기반 탐지 정보를 해석할 수 있는 보안 전문성도 필수적 요소입니다.


보안을 위해선 전문 조직의 직접적 대응으로 놓칠 수 있는 엔드포인트 보안 영역에 대한 철저한 관리가 필요합니다. 하지만 국내 보안 환경 상 모든 조직에서 보안 전문가를 따로 두기란 사실상 불가능합니다.


따라서 보안 전문성을 보완할 수 있는 위협 인텔리전스를 제공하는지를 필수적으로 고려해야 합니다. 위협에 대한 식별 정보와 대응 가이드를 포함한 위협 인텔리전스는 보안 관리자의 의사 결정과 보안 정책 수립을 빠르게 도와, 신속한 엔드포인트 위협 대응을 가능케 합니다.


특히 타 솔루션의 정보를 함께 활용하여 위협 인텔리전스 시너지를 높이기 위해서는 위협 인텔리전스 공유 체계의 표준인 MITRE ATT&CK, STIX/TAXII 등이 지원되는 위협 인텔리전스가 필요합니다.



실제 조직 보안 환경이 고려된 EDR 솔루션 필요


EDR 솔루션을 조직 보안 환경에 안착시키기 위해서는 업무 환경에 맞는 운영 방식이 필요합니다. 구축 및 운영 리소스는 최소화하고, 엔드포인트 보안은 최대 효과를 낼 수 있는 솔루션이 요구됩니다.


백신이나 EDR, 어느 하나의 솔루션만으로 진화하는 위협에 대응할 수 없습니다. 알려진 공격은 백신으로 차단하고, 알려지지 않은 공격은 행위기반 분석 기술을 탑재한 EDR을 통해 탐지하며, 위협 인텔리전스와 비교해 빠르게 대응한 후, 솔루션이 판단하지 못한 고도화된 위협은 전문 조직이 직접 대응하면서 엔드포인트 보안 위협을 낮춰야 합니다.


다시 말하면, ▲알려진 공격을 선 차단할 수 있는 안티바이러스 연동 여부와 ▲알려지지 않은 위협에 대응할 수 있는 위협 인텔리전스의 결합 여부가 EDR 솔루션이 갖춰야할 필수적인 요소인 것입니다.


섀도우 IT로 말미암은 보안홀로 발생하는 엔드포인트 위협에 실효적이고 빈틈없이 대응하기 위해, 실제 조직 보안 환경이 고려된 EDR 솔루션의 도입이 필요한 상황입니다.