보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

기업이 엔드포인트 하드닝에 실패하는 이유

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-12-03
국내외 보안 전문가들은 엔드포인트 하드닝(Endpoint Hardening) 혹은 시스템 하드닝(System Hardening)을 강조한다. 엔드포인트는 비즈니스와 관련된 수많은 데이터가 생성되고 이동하는 영역인 동시에 다양한 원인에 의해 보안이 취약한 지점이다. 엔드포인트에 위치하는 시스템이 늘어날수록 위협에 노출되는 표면(Attack surface) 또한 확대된다. 엔드포인트 하드닝의 목적은 바로 이러한 위협 노출을 최소화하는 것이다. 그렇다고 엔드포인트 하드닝을 위한 전용 솔루션이 따로 있는 것은 아니다. 현재 사용하고 있는 솔루션을 활용하면 일정 수준의 엔드포인트 하드닝이 가능하다. 문제는 엔드포인트 하드닝이 보안 관리자의 부담만 가중시키는 리소스 집약적인 작업이 되기 십상이라는 점이다.

이 글에서는 안랩 EPP를 기반으로 손쉽게 엔드포인트 하드닝을 실현하는 방법을 알아본다.

글로벌 리서치 기관 가트너(Gartner)는 가장 효과적인 악성코드 대응 방법이자 공격 표면을 최소화하는 방안으로 엔드포인트 하드닝을 꼽는다. 가트너에서 말하는 엔드포인트 하드닝의 요소는 취약점 관리, 패치 관리, 권한 및 정책 관리, 애플리케이션 제어 등이다. 이 중에서도 특히 패치 관리를 강조하는데, 현재 발생하는 상당수의 해킹이 알려진 취약점을 이용하고 있기 때문이다. 국내 기업과 기관에서 패치 관리 솔루션은 물론 취약점 관리 솔루션, 애플리케이션 제어 솔루션 등을 도입해 운영하고 있다. 가트너의 기준으로 보면 이미 엔드포인트 하드닝을 하고 있는 것이다. 그러나 정작 이들 기업과 기관은 하드닝의 효과는커녕 어려움을 호소하는 곳이 더 많다.

엔드포인트 하드닝에 실패하는 ‘진짜’ 이유
엔드포인트를 둘러싼 보안 위협이 계속 증가함에 따라 오늘날 많은 기업 및 기관에서는 많은 보안 솔루션을 도입, 운영하고 있다. 그러나 다수의 솔루션이 설치되면서 인프라 장애 또는 호환성 문제가 발생하고, 때로는 보안 운용 중단으로 이어지기도 한다. 대다수 기업 및 기관의 여건 상 인력과 자원의 한계로 다수의 솔루션 운영과 모니터링에 따른 부담만 지속적으로 증가하는 것이 현실이다. 한 마디로 실제 환경에서의 엔드포인트 하드닝은 보안 관리자 리소스 한계로 인해 효과를 거두지 못하거나 시도하는 것조차 어렵다.

충돌 이슈 또는 인프라 장애를 최소화하면서 다수의 솔루션을 한 곳에서 체계적이고 효율적으로 관리할 수 있는 방법, 즉 중앙 관리 솔루션에 대한 관심이 지속적으로 증가하는 이유도 이 때문이다. 또한 보안 위협 환경이 변화함에 따라 중앙 관리 솔루션에 대한 보안 관리자들의 요구 사항 또한 지속적으로 변화하고 있다. 최근에는 각 조직의 다양한 상황에 맞춰 기술적 보안 정책을 실행할 수 있는 기능에 대한 요구가 높다.

보안의 관점 변화: 대응 중심의 보안
한때 보안은 ‘예방’ 중심이었으나 보안 위협이 다각화, 고도화됨에 따라 무게 중심이 ‘대응’으로 이동했다. 이에 따라 엔드포인트 하드닝의 요소 또한 공격 표면의 최소화에서 한발 더 나아가 대응으로 확대되었다. 즉, 단순히 각 포인트 보안 솔루션의 연동 및 관리가 아니라 위협 발생 또는 위협 요소 발견 시 이들 솔루션의 유기적인 연계를 통해 조치하고 대응할 수 있어야 엔드포인트 하드닝이 가능하다.

안랩은 실효성 있는 엔드포인트 하드닝을 위해서는 ‘플랫폼’의 관점에서의 접근이 필요하다고 판단, 지난 4월 차세대 엔드포인트 보안 플랫폼(Endpoint Protection Platform)인 안랩 EPP(AhnLab EPP)를 출시했다. 안랩 EPP는 기본적으로 안랩 EMS를 통해 연동했던 엔드포인트 보안 솔루션에 대한 통합 관리를 제공한다. 여기에 능동적인 위협 대응을 위한 EDR 솔루션 연동도 가능하다.

안랩 EMS와의 가장 큰 차이는 안랩 EPP는 EDR을 비롯한 엔드포인트 보안 솔루션들을 통합 관리하는 수준을 넘어 이들 솔루션간의 연계를 통해 선제적인 위협 대응이 가능하다는 점이다. 솔루션간의 연계부터 위협에 대한 조치를 손쉽게 설정할 수 있어 보안 관리자의 업무 부담 없이 실질적인 엔드포인트 하드닝이 가능하다. 또한 어플라이언스 타입이었던 안랩 EMS와 달리 소프트웨어 타입으로 제공돼 기업 및 기관의 환경에 따라 유연하게 구성 및 확장할 수 있다. 안랩 EPP 기반의 엔드포인트 하드닝 및 보안 운영의 실제를 상세히 살펴보자.

언제나, 누구나 더 쉽고 간편하게 확인하고 조치한다
안랩 EMS의 관리 콘솔은 C/S(Client-Server) 기반이기 때문에 관리 콘솔에 접근하기 위해서는 관리자의 PC에 관리 프로그램을 설치하는 등 일정한 설정 작업을 선행해야 한다.

이에 반해 안랩 EPP는 웹 기반 관리 콘솔을 제공하기 때문에 해당 담당자 계정의 IP가 허용되어 있다면 별도의 사전 작업 없이 표준 웹 브라우저상에서 곧바로 관리 콘솔에 접속하여 보안 현황을 확인할 수 있다. 보안 현황이 실시간으로 갱신되기 때문에 보다 신속하고 정확한 모니터링이 가능하다. 또한 관리자의 필요에 따라 편리하게 대시보드 구성을 변경할 수 있으며, 직관적인 데이터 표현과 추이 그래프를 제공해 보안 관제 부서에서 모니터링 용도로 활용하기 좋다.

[그림 1] 안랩 EPP 대시보드 

연계 정책 및 조치로 단순 관리를 넘어 위협 대응까지
안랩 EMS와의 가장 큰 차이점이자 안랩 EPP의 강점은 ‘연계 정책’이다. 이 기능은 EPP에 적용한 각 보안 솔루션들의 정책을 서로 연계하여 설정하고 조치한다. 특정한 조건에 해당되는 경우가 발생할 때 자동으로 대응 정책을 실행하여 조치를 수행하는 일종의 자동화된 정책 처리 기능이다. [그림 2]와 같이 EPP 관리 콘솔에서 V3, APM, APrM, 안랩 내PC지키미 각각의 정책을 AND 또는 OR 조건으로 연계하여 설정하며, 이렇게 생성된 조건에 위배되는 시스템이 탐지되면 각 솔루션을 연계한 대응 조치가 자동으로 수행된다.

[그림 2] 안랩 EPP 기반의 연계 정책 개념도

조직에 따라 빈번하게 발생할 수 있는 상황으로 조건을 설정해두면 보안 관리자가 별도의 작업을 하지 않아도 즉각적인 조치가 가능해 편리할 뿐만 아니라 일정한 수준을 일정하게 유지할 수 있다. 또한 이를 통해 취약 시스템의 모수(母數)를 최소화함으로써 잠재적인 위협을 해결하는 효과를 볼 수 있다. 

로그 수집의 번거로움도 해소
보안 솔루션에서 생성되는 로그는 필요 시 위협을 분석하기 위해서뿐만 아니라 평소 제품 운영 시 발생하는 오류 해결에 중요한 역할을 한다. 안랩은 보안 관리자가 편리하게 로그를 수집하여 자사 엔지니어와 원활하게 소통할 수 있도록 하기 위해 ‘안리포트(AhnReport)’라는 로그 수집 툴을 제공하고 있다. 안랩 제품을 운영하는 중에 문제가 발생하면 보안 관리자는 안리포트를 이용해 관련 로그를 한 번에 수집하고 취합할 수 있다.

안랩 EPP 환경에서는 안리포트를 더욱 간편하게 수집할 수 있다. 보안 관리자가 EPP 콘솔에 접속한 상태에서 [그림 3]과 같이 한 번만 클릭하면 원격으로 에이전트 시스템으로부터 안리포트를 수집할 수 있다. 

[그림 3] 안랩 EPP의 웹 콘솔을 통한 안리포트 수집

[활용 사례 1] 안랩 EPP를 통한 보안 감사 대응 및 조치 수행
안랩 EPP의 연계 정책과 안리포트 수집 기능이 실제 보안 운영에 어떻게 도움이 될까? 보안 감사 또는 심사와 관련해 안랩 EPP를 활용한 사례에서 그 답을 찾을 수 있다.

보안 감사나 심사를 받는 기업 및 기관에서 ‘기본 조치 미비’로 지적 받는 항목 중 가장 대표적인 것은 조직 내 업무용 PC의 백신 업데이트 상태, 백신의 실시간 검사 비활성화(OFF) 비율 등이다. 안랩 EPP의 연계 정책을 이용하면 감사 전에 조치가 필요한 사항에 대해 별 다른 어려움이나 리소스 소모 없이 사전에 조치할 수 있으며, 감사에서 지적 사항을 최소화할 수 있다.

[그림 4] 안랩 EPP 기반의 에이전트 업데이트 및 로그 수집

예를 들어, 백신의 엔진이 구 버전인 상태, 즉 특정 임계치 이하의 엔진인 경우라면 에이전트 시스템을 대상으로 자동 업데이트 명령을 재수행할 수 있다. 상시 업데이트를 자동으로 처리할 수 있어 전사의 백신 업데이트 비율을 크게 끌어 올릴 수 있다. 이 과정에서 문제가 지속되는 PC들을 대상으로 [그림 4]와 같은 ‘안리포트 수집’ 기능을 이용해 간단히 추가 확인을 진행할 수 있다. 이로써 보안 담당자는 감사 후 지적 대상인 시스템에 조치하느라 리소스를 쏟는 대신 본연의 업무에 보다 집중할 수 있다.

Scale-Out: 병렬 구조의 유연한 확장성
안랩 EPP는 역할에 따라 서버를 설정하고 확장할 수 있는 유연한 스케일아웃(Scale-Out) 방식을 제공한다. 역할에 따라 서버를 병렬로 구축 및 확장할 수 있기 때문에 시스템 자원이 낭비되지 않으며, 각 기업 및 기관의 현황과 필요에 따라 서버를 확장할 수 있다. 또한 관리 콘솔에서 서버별 역할을 손쉽게 지정할 수 있도록 [그림 5]와 같은 UI를 제공한다.

[그림 5] 안랩 EPP 콘솔을 통한 서버별 역할 할당

안랩 EPP의 확장성은 방대한 양의 엔드포인트 행위 정보를 수집하고 분석해야 하는 EDR 솔루션 운용에 더욱 유용하다. 안랩 EDR의 라이선스를 입력하고 환경에 따라 적절한 수의 서버에 의심 행위 항목 분석이나 통계 역할을 지정함으로써 손쉽게 EDR 솔루션을 운영하고 위협에 대한 능동적인 탐지 및 대응이 가능하다. 또한 안랩 EPP는 로드밸런서(Load Balancer)를 통해 시스템 부하를 방지하고 안정적인 가용성을 확보하기 때문에 장애 대응을 기본적으로 고려한 환경을 구축할 수 있다.

[활용 사례 2] 장애 발생 시에도 중단 없는 보안 운영
긴급하게 엔드포인트 시스템을 검사하거나 보안 패치를 적용해야 하는 상황에서 갑자기 장비에 장애가 발생하는 경우가 있다. 이럴 때 안랩 EPP의 로드 밸런서가 중요한 역할을 한다.

안랩 EPP 환경에서는 특정 서버에 장애가 발생하더라도 로드밸런서를 통해 해당 역할을 추가로 부여 받은 다른 서버가 즉시 이어서 역할을 수행하기 때문에 에이전트 명령이나 정책 적용 또한 지속된다. 따라서 긴급 상황 또는 명령 수행 등의 작업이 필요할 때 장애가 발생하더라도 즉각적인 페일오버(Failover)가 가능하며, 일부 장비의 교체 및 복원 작업을 진행하는 동안에도 중단 없는 보안 운영이 가능하다.

[그림 6] 안랩 EPP의 로드 밸런싱을 통한 서버 부하 분산



효과적인 엔드포인트 하드닝의 시작은 관리 편의성
잘 알려진 것처럼 현재 보안 위협은 지능화, 다각화되고 있으며, 조직적으로 전개되고 있다. 기존과 같은 보안 운영 방식으로는 현재 직면하고 있는 보안 위협에 효과적으로 대응하기 어렵다. 따라서 엔드포인트 하드닝의 관점에서 보안 운영 환경을 점검하고 관리 방식을 개선하는 것이 필요하다. 이것이 안랩이 EPP의 관리 편의성 강화에 주력한 이유다.

안랩은 고객사에서 실제로 보안을 운영하고 있는 담당자들의 피드백을 수집해 안랩 EPP의 기획부터 설계, 개발 등 전 과정에 종합적으로 반영했다. 그 결과 위에서 살펴본 변화 외에도 다양한 관리 기능의 편의성이 대폭 향상됐다. 우선, 시스로그(Syslog)를 기본으로 지원해 보안 관제 시 유용하다. [그림 7]과 같이 관리 콘솔에서 연동 정보와 연동할 테이블을 선택하는 것만으로 손쉽게 보안 관제나 로그 통합 솔루션과 연동할 수 있다.

[그림 7] 안랩 EPP의 시스로그 연동 

또한 에이전트가 설치되는 시스템에 대한 관리 편의성이 대폭 향상됐다. 안랩 EPP의 서버는 역할에 따라 다수의 서버를 구축 및 확장하는 방식이지만 에이전트는 다수의 보안 솔루션을 하나의 에이전트를 통해 구현하는 방식이다. 따라서 에이전트가 설치되는 시스템의 부하나 사용자의 불편이 적다. 또 에이전트 PC에 V3를 자동으로 설치하기 위한 설치본 패키지는 업로드 후 지속적으로 빌드 업데이트가 가능하도록 개선할 예정이다. 이로써 안랩 EMS와는 달리 설치본 패키지를 한 번 등록하면 교체할 필요가 없게 된다.

라이선스 관리도 훨씬 편리해졌다. 안랩 EPP에 등록된 모든 보안 솔루션들의 라이선스를 통합 관리할 수 있어 보안 담당자가 부재 중이거나 미처 확인하지 못했을 경우에도 더 이상 라이선스 만료에 따른 긴급 임시 연장 등을 걱정하지 않아도 된다.

안랩은 확장 가능한 모듈형 구조로 설계된 통합 플랫폼인 안랩 EPP의 관리 영역을 지속적으로 확대한다는 전략이다. 특히 샌드박스 기반의 지능형 위협 대응 솔루션 안랩 MDS와의 연동을 추진 중이며, 다양화되고 있는 기업의 최신 IT 환경 지원도 계획하고 있다. 또한 고객의 피드백을 기반으로 안랩 EPP의 기능을 지속적으로 개선해 다양한 고객 환경에서 보다 쉽고 편리하게 보안 운영 현황을 모니터링하고 위협에 대응할 수 있는 최적의 엔드포인트 보안 플랫폼을 제공할 예정이다.​
  • AhnLab 로고
  • EP기술지원2팀 김용수과장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.