왜 엔드포인트 보안의 혁신이 필요한가

‘디지털 트랜스포메이션(Digital Transformation)의 시대, 보안은 어떻게 변화해야 할 것인가’

현재 많은 기업들이 고민하고 있는 부분이다. 거의 모든 기업과 기관이 IT를 기반으로 비즈니스를 운영하고 있기 때문이다. 사실 사이버 공격, 또는 보안 위협은 어제오늘의 일은 아니다. 세계 최초의 컴퓨터 바이러스로 알려진 브레인 바이러스(1986년)부터 개인과 기업의 구분 없이 광범위한 피해를 야기하는 랜섬웨어가 폭증하고 있는 2017년 현재까지, 우리는 끊임없이 다양한 보안 위협에 시달리고 있다. 그러나 보안 위협이 항상 존재해왔다고 해서 늘 같은 모습인 것은 아니다. 더욱이 클라우드, 사물인터넷(IoT), 인공지능(AI), 머신러닝 등 새로운 기술이 다양한 영역으로 확대•발전되는 디지털 트랜스포메이션의 시대를 맞아 안전한 비즈니스 운영을 위해서 과연 무엇을, 어떻게 준비할 것인가.

이 질문에 대한 해답을 찾기 위해 디지털 트랜스포메이션 시대의 보안 패러다임을 짚어보고, 안랩이 엔드포인트 보안 플랫폼을 강조하는 이유를 알아본다. 

IT 기술은 한때 우리가 상상만 했던 것들을 예상보다 훨씬 빠른 속도로 현실화시키고 있다.  대표적인 예가 스마트폰이다. 첫 아이폰이 출시된 것은 지금으로부터 10년 전인 2007년. 이후 불과 몇 년 사이에 스마트폰은 전세계인의 일상생활부터 주요 산업 지형까지 혁명적인 변화를 가져왔다. 그리고 ‘전화’에 붙여졌던 ‘스마트’라는 개념이 스마트홈, 스마트팩토리, 스마트그리드 등으로 확대되고 있다. 스마트 시대를 비롯해 디지털 트랜스포메이션, 디지털 비즈니스, 4차 산업혁명 등 현시대의 흐름을 관통하는 거대 담론들의 핵심은 물리적인 세계에 혁신적인 IT 기술이 융합되어 새로운 가치를 창출해낸다는 것이다. 이러한 변화로 인해 과거에는 생각하지 못했던 다양한 제품이 등장하면서 과거와 비교할 수 없을 정도로 더 많은 연결성(Connectivity)이 요구되고 있다. 사물과 사람, 사물과 사물, 사물과 기술 등 다양한 연결은 그 자체로, 또 그 사이의 연결 지점은 필연적으로 보안 위협에 노출되기 마련이다. 

[그림 1] 보안 키워드의 변화

변화와 이노베이션, 그리고 트랜스포메이션

IT(Information Technology, 정보 기술), 또는 ICT(Information & Communication Technology, 정보통신 기술)가 가져온 환경적 변화는 보안 위협에도 변화를 가져왔다. 변화된 위협에 대응하는 보안 또한 필연적으로 변화해야만 한다. 보안 업계는 이미 몇 년 전부터 이러한 필연적 변화에 대해 각성하고 있다. 

그렇다면 변화란 무엇인가. 인문학적이나 사전적 의미의 ‘변화(Change)’는 ‘사물의 성질, 모양, 상태 따위가 바뀌어 달라지는 것’이다. 그러나 비즈니스 관점에서의 변화는 목적 지향적인 부분을 이뤄내거나 성장하는 일반적인 개념과는 괴리가 있다. 그래서 많은 리서치 기관에서 ‘트랜스포메이션(Transformation)’이라는 용어를 사용하기 시작했다. ‘트랜스(Trans-)’의 어원은 ‘가로지르다(across)’라는 의미의 라틴어로, 방향성을 내포하고 있다. 트랜스포메이션은 ‘더 나은 방향 또는 상태로의 변화’를 의미한다. 이에 일부에서는 ‘Change’를 ‘단순 변화’로, 트랜스포메이션은 변화와 혁신을 함께 의미하는 ‘변혁’으로 해석하기도 한다. 

알려지지 않은 위협은 보이지 않을 뿐이다

전통적인 보안 업체들은 다양한 최신 기술을 이용해 확인한, 즉 알려진(Known) 위협에 대해 최대한 신속하게 대응하고 서비스하는 구조를 가지고 있다. 안랩 역시 마찬가지이다. 

[그림 2] 관점의 변화가 필요한 이유

그런데 몇 년 전부터 보안 업체들이 알려지지 않은(Unknown) 위협에 주목하기 시작했다. 보안의 관점에서 ‘알려지지 않은(Unknown)’이란 결국 모르는 위협이다. 일각에서는 1%의 알려지지 않은 위협 때문에 위험에 노출되어 있는 것이라고 얘기한다. 그런데 이 알려지지 않은 것이 1%라고 구체적으로 한정할 수 있다면, 과연 이것을 ‘모르고 있다’고 할 수 있을까? 또 실제 보안 침해 사고가 발생했을 때 공격 방식과 악성코드를 분석해보면 대부분 이미 알려져 있던 공격 기법과 악성코드가 이용된 경우가 대부분이다. 그런데도 모르는, 알려지지 않은 위협인 것일까? 결국 보안에서의 ‘알려지지 않은’ 위협이라는 것은 ‘보이지 않았던’ 혹은 ‘보이지 않는’ 위협이라고 이해해야 할 것이다. 즉, 이미 알고 있는 보안 위협이지만 드러나지 않아 보이지 않았고, 느끼지 못했기 때문에 사고가 발생한 것이다. 

보안 관점의 변화와 플랫폼 보안 전략 

디지털 트랜스포메이션 시대의 변화하는 보안 위협에 대응하기 위해서는 보안에 접근하는 관점부터 혁신이 필요하다. 안랩은 이 같은 혁신을 위해 ‘보이지 않는 것을 보이게 하는 해결책(Resolution)’을 제시하는 데 초점을 맞추고 있다. 

흔히 보안 위협과 대응은 ‘공격과 수비’로 비유된다. 전통적인 수비의 관점은 보호해야 할 대상(정보, 시스템 등)을 중심으로 ‘뚫릴 가능성이 있는 지점’을 찾아 알맞은 대응책(보안 솔루션)을 마련하는 방식이다. 그러나 공격자는 노리는 대상을 전체적으로 탐색하고 파고들 수 있는 모든 경로를 찾아내기 위해 다양한 수단을 이용한다. 따라서 보안은 ‘공격과 수비’ 사이의 관점 차이를 이해하고, 이 차이에서 발생하는 위험 요소를 최소화할 수 있도록 패러다임 자체를 바꿔야 한다. 차단을 통한 방어뿐만 아니라 탐지와 신속한 대응이 이루어질 수 있도록, 전체적인 수비의 관점에서 ‘탐지(Detection)-분석(Analysis)-대응(Response)’의 순환 구조를 통해 빠른 시간 내에 대처하는 것이 중요하다. 

또한 과거와는 비교할 수 없을 만큼 복잡다단하게 변화한 엔드포인트 환경에 대한 이해가 동반되어야 한다. 오늘날 엔드포인트 환경은 다양한 운영체제(OS)는 물론 각기 다른 언어(language)로 설계 또는 제공되는 다양한 디바이스(device)가 공존하고 있다. 그만큼 다양하고 보이지 않는 위협 요인이 존재한다는 것. 이것이 바로 엔드포인트가 차세대 보안의 핵심인 이유다. 따라서 앞으로의 엔드포인트 보안은 다양한 운영체제, 디바이스, 언어를 지원해야 함은 물론, 이들을 하나의 시스템에서 통합적으로 관리하고 모니터링할 수 있어야 한다. 더 나아가 다양한 환경과 레이어에서 구현되는 엔드포인트의 보안을 통합적으로 관리하고 대응할 수 있는 '엔드포인트 보안 플랫폼(Endpoint Protection Platform, EPP)'이 요구된다. 

[그림 3] 안랩의 엔드포인트 보안 플랫폼

안랩 엔드포인트 보안 플랫폼 전략, SECURITY LADDERS

이제는 보안도 플랫폼 시대다. 고객과 보안 업체가 EPP 구현을 위해 함께 고민하고, 이 과정에서 고객이 실제로 필요로 하는 것, 그리고 당장 실행 가능한 것이 무엇인지를 찾는 것이 차세대 보안의 출발점이자 보안 위협 해결의 가장 중요한 단초이다. 이것이 바로 안랩이 고객 주도형 보안(Customer-driven Security)을 강조하는 이유이며, 이를 실현하는 플랫폼 제공업체(provider)로서의 전략이 ‘AhnLab SECURITY LADDERS’이다. 

[그림 4] 안랩 엔드포인트 보안 플랫폼 전략 SECURITY LADDERS

영어 단어 'LADDERS'의 사전적 의미는 ‘사다리’다. 누구나 알다시피 사다리는 주로 높은 곳을 오를 때 이용하는 도구다. 또 화재 등 위험한 상황에서 인명을 구조할 때도 매우 중요한 역할을 한다. 안랩이 말하는 사다리, LADDERS의 역할도 이와 크게 다르지 않다. 안랩의 LADDERS는 레거시(Legacy), 적응(Adaptive), 탐지(Detection), 주도(Driven), 엔드포인트(Endpoint), 대응(Response), 서비스(Service)의 약자로, 고객 주도형 보안의 전략을 함축한 표현이다. 즉, 안전한 비즈니스 환경에 도달하기 위한 도구로, ‘쉬운 보안, 실행 가능한 보안’을 상징하고 있다. 각 키워드의 상세한 의미는 다음과 같다. 

​L​egacy: 레거시의 사전적 의미는 ‘유산(遺産)’이지만, IT 및 보안 업계에서는 과거의 기술 또는 낡은 시스템 등 다소 부정적인 의미로 사용된다. 그러나 안랩은 이 레거시를 애플리케이션, 미들웨어, 플랫폼 등과 같이 '현재' 고객이 내부에서 운용 중인 인프라스트럭처라고 본다. 고객의 현실과 인프라를 정확하게 알아야 어떤 기술과 솔루션, 프로세스를 통해 어떤 보안 위협이 있는지 탐지 및 분석하고 대응할 수 있다. 따라서 레거시는 안랩 사다리의 첫 번째 단, 디딤돌 역할을 한다.

Adaptive: 고객의 비즈니스를 보호하기 위해서는 다양한 보안 솔루션이 필요하다. 하지만 비용적 ∙ 관리적 이유로 모든 보안 솔루션을 도입할 수 없는 것이 현실이다. 안랩은 고객이 보안 솔루션을 도입하는 데 있어 적합성과 실효성을 판단하는 가이드라인으로 적응형 (Adaptive) 보안 프레임워크를 제시하고 있다. 적응형 보안은 예방, 탐지, 대응, 예측의 4단계로 이뤄진 보안 프레임워크로, 고객의 현실과 리스크를 고려해 우선순위와 향후 로드맵을 제안한다.

[그림 5] 적응형 보안 아키텍처(Adaptive Security Architecture) (*출처: Gartner, 2016.12) 

Detection: 적응형 보안이라는 기준을 중심으로 탐지(Detection)에 대한 새로운 접근이 필요하다. 기존의 차단을 통한 방어(prevention)뿐만 아니라 많은 정보를 얼마나 빨리 탐지하고 대응(Response)하는 지에 초점을 맞춰야 한다. 최근 웨어러블 기기 등 사물인터넷(IoT) 기술이 점점 상용화되면서 기존의 정형 데이터 이외에 비정형 데이터에 따른 보안 위협도 점점 현실화되고 있다. 결국 탐지가 위협 대응의 우선순위를 정하는 패러다임 변화의 근본이 될 것이다. 

Driven: 안랩은 지난 2014 AISF(AhnLab Integrated Security Fair)에서 보안 업체의 고객 인텔리전스를 지향하는 ‘고객 주도형 보안(Customer-driven Security)’을 제시한 바 있다. 이는 솔루션 공급 업체의 기준에서 고객을 지향하는 것이 아니라 고객이 원하고 실제로 적용 가능한 보안을 제공해야 한다는 것이다. 안랩의 이러한 기조는 2017년 현시점에도 지속되고 있다. 

Endpoint: 엔드포인트는 보안의 시작점이다. 보안 측면에서 모든 정보가 만들어지고 이동되는 시작점이자, 네트워크에 접근하는 관문이기도 하다. 기존에 엔드포인트는 기업 IT 환경에서 최종 사용자가 기업 네트워크에 접속하는 지점, 즉 PC나 노트북, 스마트폰 같은 최종 사용자의 디바이스를 지칭했다. 그러나 지금은 단순한 디바이스의 범위를 넘어 다양한 OS, 가상화, IoT, 클라우드, 빅데이터, 애널리틱스를 아우르는 플랫폼 자체까지 거대한 엔드포인트다. 이 엔드포인트를 하나의 시스템에서 통합적으로 관리할 수 있어야 한다. 

Response: 엔드포인트 보안 플랫폼에서는 탐지와 더불어 신속한 대응을 함께 고려하여 각 보안 솔루션, 기능 간의 유기적인 연계가 구현되어야 한다. 플랫폼 상에서 각 솔루션과 기능이 유기적으로 동작하기 위해서는 프로세스가 원활하게 작용되어야 한다. 안랩은 이를 '대응(Response)'으로 규정하고 있다. 안랩은 PC 보안 솔루션인 V3를 필두로 패치관리 솔루션(AhnLab Patch Management), 취약점관리 및 조치 솔루션(AhnLab 내PC지키미), 개인정보보호관리 솔루션(AhnLab Privacy Management Suite) 등 다양한 엔드포인트 보안 솔루션을 제공하고 있다. 이 제품들은 EMS라는 단일 매니지먼트 솔루션에서 유기적으로 통합 관리되며, 엔드포인트 보안의 고도화 관점에서 지능형위협 대응 솔루션(AhnLab MDS)과 EDR(Endpoint Detection and Response), 머신러닝 기술 등을 통합하여 안랩의 위협 인텔리전스(Threat Intelligence)를 연결하는 작업을 진행하고 있다. 안랩은 향후 효과적인 대응을 구현하기 위해 특정한 시점(stock)이 아니라 전체의 흐름(flow)까지 보는, 즉 시점과 흐름이 결합된 개념의 플랫폼으로 발전시킬 계획이다.  

Service: 마지막은 서비스다. 여기서 서비스는 기존의 단순 유지보수가 아닌 현재 제품과 솔루션에 대한 최적화와 고도화를 위한 서비스를 의미한다. 안랩은 고객이 보유하고 있는 솔루션의 최적화 및 부가서비스를 활용한 고도화를 통해 지속적인 엔드포인트 공격 표면의 최소화(EPP Hardening)를 도모하고 있다. 그 첫 번째 단계로 최근 안랩 프로페셔널 서비스를 신설했다. 이 서비스는 ▲보안 솔루션 최적화 서비스 ▲전문가 온디멘드 서비스 ▲보안 감사 사전 점검 서비스 ▲의심 시스템 진단 서비스 ▲악성코드 전문가 분석 서비스 ▲A-FIRST 포렌식 서비스 ▲정보보안 교육 등 총 7가지로 구성되어 있다. 

글로벌 수준의 쉬운 보안, 실현 가능한 보안을 지향하다 

글로벌 리서치 기관인 가트너(Gartner)는 엔드포인트 보안 플랫폼(EPP)을 워크스테이션, 스마트폰, 태블릿과 같은 엔드포인트 레벨에서 보안 기능을 제공하는 솔루션으로 정의하고 있다. 또한 EPP의 구성 요소로 ▲안티멀웨어(Anti-Malware) ▲PC 방화벽(Personal firewall) ▲포트 및 매체 제어(Port and device control) ▲취약점 관리(Vulnerability Assessment) ▲애플리케이션 컨트롤(Application Control) 등을 꼽았다. 또 ▲애플리케이션 샌드박싱(Application sandboxing) ▲모바일 관리(Enterprise Mobile Management, EMM) ▲메모리 보호(Memory protection) ▲EDR ▲데이터 보호(Data Protection) ▲DLP(Data Loss Prevention) 등의 기술이 포함되어야 하며, 클라우드, 지능형 위협(APT) 대응, 머신러닝, 위협 인텔리전스, 인공지능(AI) 등의 내제적 기술이 요구된다고 설명하고 있다. 

가트너는 매년 이러한 기준으로 EPP 솔루션 업체를 평가해 매직 쿼드런트 보고서(Magic Quadrant for EPP)를 발표하는데, 안랩은 올해 국내 보안 업체로는 유일하게 이 보고서에 등재되었다. 이는 안랩의 기술력이 글로벌 수준에 뒤쳐지지 않았을 뿐만 아니라 안랩이 추구하는 ‘SECURITY LADDERS’ 전략이 급변하는 IT 환경에 맞게 준비되어 있음을 반증하는 것이다. 안랩은 고객과의 소통을 통해 디지털 트랜스포메이션 시대에 대한 고객의 고민과 니즈에 최적화된 쉬운 보안, 실행 가능한 보안을 실현하기 위한 노력을 지속해 나갈 계획이다.