보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

유즈케이스로 본 연계 정책과 위협 대응 자동화

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-05-06

현재 보안의 화두는 위협 대응의 자동화(Automation)이다. 여러 보안 분야에서 자동화가 강조되고 있지만 사실 가장 절실한 영역은 엔드포인트다. 나무가 무성한 숲일수록 작은 불씨가 순식간에 큰 화재로 번질 수 있듯, 다수의 PC와 서버로 구성된 엔드포인트에 존재하는 작은 위협은 기업 전체의 심각한 위협으로 확대될 수 있다. 엔드포인트의 위협을 얼마나 빨리 탐지하느냐 못지 않게 탐지 즉시 자동으로 대응할 수 있어야 위협의 조기 진화가 가능하다. 그러나 대부분의 엔드포인트 보안 솔루션들은 각각의 기능과 역할은 다하고 있지만 유기적으로 연결되어 있지 않아 자동화된 대응을 제공하기에는 한계가 있다.  바로 이것이 안랩 EPP의 연계 정책이 각광받는 이유다.

 

업무용 PC, 서버 등으로 구성되는 엔드포인트는 기업 및 기관의 중요한 업무 관련 정보가 생성되고 저장되며 이동하는 영역이다. 기업 및 기관의 업무 환경이 IT 기반으로 변화함에 따라 초기에는 엔드포인트 시스템 보안을 위해 백신(Anti-virus)과 이를 중앙에서 관리하는 솔루션이 등장했다. 이후 엔드포인트의 시스템과 운영체제, 소프트웨어, 또 컴플라이언스가 다양화됨에 따라 패치 관리 솔루션, 개인정보 보호 또는 관리 솔루션, 취약 시스템 점검 솔루션 등 다양한 엔드포인트 보안 솔루션이 시장에 출시됐다. 또한 이들 솔루션을 한곳에서 관리하기 위한 중앙 관리 솔루션이 존재한다. 그러나 다수의 보안 솔루션들을 모아 놓기만 했을 뿐 솔루션들이 서로 유기적으로 결합되지 못해 엔드포인트 보안 관리의 어려움은 계속되고 있다. 

 

기존의 엔드포인트 보안 솔루션과 이를 관리하는 솔루션은 각각의 보안 정책을 기반으로 보안 상태를 유지하는데 중점을 두고 있다. 결과적으로 하나의 엔드포인트 시스템에서 여러 보안 솔루션이 개별적으로 동작하다 보니 보안 문제가 발생했을 때 정확한 대응이 쉽지 않고, 관리자나 보안 솔루션의 유지 보수를 위한 엔지니어의 리소스 부담만 늘어나는 경우가 대부분이다. 따라서 다양한 엔드포인트 보안 솔루션을 단순히 통합하는 것이 아니라 유기적인 연계가 가능해야 위협 대응의 자동화, 그리고 궁극적으로 보안 운영의 효율화가 가능하다. 

 

대응 자동화의 시작은 연계 정책, 왜?   

백신, 패치 관리, 개인정보 관리, 취약 시스템 관리, 그리고 엔드포인트 위협 탐지 및 대응(EDR)은 엔드포인트 시스템의 보안 상태를 확인하고 강화(Hardening)한다는 점에서 근간은 같지만, 구체적으로 보면 개별적인 역할을 수행한다. 같은 맥락에서 기존의 엔드포인트 보안 관리 솔루션은 개별 솔루션들을 하나로 모아놓는데 주안점을 두었을 뿐 유기적으로 연계해 자동으로 대응하는 역할은 고려되지 않았다.

 

이에 반해 지난해 출시된 엔드포인트 통합 보안 플랫폼 안랩 EPP(AhnLab EPP, Endpoint Protection Platform)는 연계 정책을 통해 개별 보안 솔루션이 서로 유기적으로 동작하도록 구현되었다. 개별 보안 제품의 규칙을 ‘AND’와 ‘OR’ 조건으로 연결해 위협 탐지 정책을 설정할 수 있다. 또 대응 정책은 OR 조건으로 설정해 이에 해당되는 엔드포인트 시스템에 명령을 내릴 수 있다. 안랩 EPP는 대응 명령을 통해 사용자가 직접 현재 PC의 문제점을 확인하고 스스로 개선하도록 유도할 수 있다. 예를 들어, 어떤 업무용 PC에서 하루에 탐지된 악성코드 건수가 특정한 기준(임계치) 이상일 경우, 또는(OR) 최신 보안 패치를 적용하지 않았을 때 해당 PC의 사용자에게 PC의 보안 상태가 위험하다고 안내하고, 자동으로 수동 검사가 진행되며 적용하지 않은 보안 패치에 대한 자동 적용을 수행한다. 또한 이러한 내용을 보안 관리자에게 메일로 전달하기 때문에 어떤 사용자의 시스템이 취약한 상태인지 손쉽게 파악할 수 있다. 

 

[표 1]과 같이 안랩 EPP를 기반으로 다양한 연계 정책을 설정함으로써 엔드포인트 하드닝을 자동화할 수 있다. 기존 보안 솔루션에 비해 보다 능동적이며 자동화된 보안 관리가 가능해 결과적으로 보안 관리자의 업무 부담을 최소화하는 동시에 임직원의 보안 인식 향상을 꾀할 수 있다. 

 

 

[표 1] 안랩 EPP 기반의 연계 정책 예시 (V3 및 안랩 패치 매니지먼트 연계)

 

 

위협 시나리오별 연계 정책 기반의 자동 대응 

안랩 EPP의 연계 정책이 각광받는 이유는 엔드포인트 하드닝 효과를 넘어 자동화된 위협 대응을 제공한다는데 있다. 특히 엔드포인트 위협 탐지 및 대응(Endpoint Detection and Response) 솔루션인 안랩 EDR 연계를 통해 사전 대응은 물론, 사후 대응까지 자동화할 수 있다. 세 가지 엔드포인트 위협 시나리오를 중심으로 연계 정책을 통한 대응 자동화 방안을 살펴보자. 

 

■ 위협 대응 사례 #1

안랩 EDR을 통해 분석된 악성코드 정보를 활용한 사후 대응 방안부터 알아본다. 이미 사내에 악성코드가 유입된 경우로, EDR의 탐지 및 분석 정보를 통해 다른 PC가 감염되면 사용자와 관리자에게 알림이 전달될 수 있도록 규칙을 설정할 수 있다.

 

 

[그림 1] 안랩 EDR의 악성코드 탐지 및 분석 정보

 

 

EDR 규칙을 통해 유입된 악성코드 정보를 규칙에 반영하고 악성코드 진단명, 접속 네트워크 URL을 OR 조건으로 조합하여 간편하게 규칙을 설정할 수 있다.

 

 

[그림 2] 안랩 EDR의 탐지 정보를 기반으로 한 연계 정책 설정

 

 

[그림 2]와 같이 설정된 연계 정책에 따라 V3의 방화벽 기능을 통해 네트워크 연결을 차단함으로써 악성코드의 정보 유출을 방지할 수 있다. 또 해당 PC의 사용자에게 [그림 3]과 같은 공지사항을 발송해 네트워크가 차단된 사유와 함께 사이버보안침해 신고센터 페이지로 악성코드를 신고하도록 안내할 수 있다. 

 

 

[그림 3] 연계 정책에 따른 자동 대응 및 사용자 알림

 

 

■ 위협 대응 사례 #2

안랩 EDR을 활용한 사전 대응 방안을 살펴보자. 아직 사내에 악성코드가 유입되지는 않았지만 한국인터넷진흥원(KISA)이나 국정원 등 유관 기관에서 제공된 위협 정보를 활용해 사전 대응을 위한 연계 정책을 설정할 수 있다. 

 

 

[그림 4] 미미카츠(Mimikatz) 악성코드 정보

 

 

[그림 4]는 이터널블루(EternalBlue) SMB 취약점을 통해 계정 정보를 탈취하는 미미카츠(Mimikatz) 악성코드에 관한 정보다. 다양하고 복잡한 위협 정보로 보이지만 안랩 EPP에 연계 정책을 통해 관련 내용을 반영하고 그에 대한 규칙을 어렵지 않게 설정할 수 있다.

 

 

[그림 5] 악성코드 정보를 활용한 안랩 EPP 연계 정책 설정

 

 

[그림 5]와 같은 연계 정책의 규칙 설정을 통해 사내에 해당 위협과 관련된 것이 있는지 확인할 수 있으며, 자동 대응 조치를 설정할 수 있다. 예를 들어, V3의 탐지 진단명에 ‘=’와 ‘LIKE’ 조건을 설정하고 악성코드 탐지 횟수를 임계치로 설정할 수 있다. 또 취약점을 통해 감염되는 미미카츠 악성코드의 특징에 맞춰 관련 패치가 적용되지 않은 시스템을 탐지 대상으로 추가한다. 이와 함께 안랩 EDR을 통해 시스템의 레지스트리 값과 C&C 접속 이력 등을 파악할 수 있어 이터널블루 SMB 취약점에 대한 사전 대응이 가능하다. 

 

이렇게 악성코드 정보를 활용해 설정된 연계 정책에 의해 위협이 탐지되면 다른 PC의 추가 감염을 막기 위해 V3 방화벽 기능으로 네트워크 연결을 차단할 수 있다. 이와 함께 [그림 6]과 같이 위협이 탐지된 시스템의 사용자와 관리자에게 안내한다. 폐쇄망 환경이라면 관련 취약점에 대한 패치를 수동으로 적용할 수 있도록 사용자에게 보안 패치의 URL 경로를 링크로 안내하여 패치 수행을 유도할 수 있다. 위협 상황에 대해 안내하는 별도의 상세 조치 페이지가 있을 경우, 해당 안내 페이지를 링크로 전달할 수 있다. 

 

 

[그림 6] 안랩 EPP의 연계 정책에 의한 자동 대응

 

 

앞서 설정한 자동 조치 외에도 안랩 패치 매니지먼트(AhnLab Patch Management, APM)의 소프트웨어 설치 점검 기능을 이용해 해당 악성코드가 제거되었는지 다시 한 번 확인하는 등의 조치도 할 수 있다. 

 

■ 위협 대응 사례 #3

일반적인 악성코드는 파일 자체가 악성이기 때문에 탐지 결과에 따라 완전히 삭제 또는 제거된다. 그러나 PUP(Potentially Unwanted Program, 불필요한 프로그램)는 그 자체가 악성은 아닌 경우가 대부분으로, ‘프로그램 추가/제거’에 이름이 남거나 언인스톨러(Uninstaller, 삭제 도구)가 별도로 제공된다. 따라서 PUP와 관련된 모든 파일이 삭제되지 않고 남아 있는 경우가 적지 않기 때문에 관리자나 유지 보수 인력이 수동으로 처리하면서 리소스 낭비가 발생한다. 

 

안랩 EPP의 연계 정책을 통해 PUP와 그에 따른 잠재적인 위협에 대한 자동 대응이 가능하다.

 

 

[그림 7] PUP 상세 정보 

 

 

[그림 8]과 같이 PUP의 정보에 대해 프로그램의 설치 여부, 관련 진단명 등을 탐지 규칙으로 설정할 수 있으며 안랩 EDR의 이력 정보를 토대로 감염 여부를 규칙에 적용할 수 있다. 

 

 

[그림 8] 안랩 EPP 연계 정책을 통한 탐지 규칙 설정

 

 

연계 정책을 통해 해당 PUP 설치 여부를 자동으로 확인할 수 있다. 취약 시스템 점검 및 조치 솔루션인 안랩 ESA(Endpoint Security Assessment)를 사용 중이라면 PUP 항목을 규칙으로 추가해 자동 대응이 가능하다. 이때 언인스톨러(삭제 도구)의 파라미터 값을 알고 있다면 자동 삭제를 수행하도록 설정할 수 있다. 

 

만일 PUP의 언인스톨러가 있다면 [그림 9]와 같이 사용자가 직접 삭제하도록 유도할 수 있다.

 

 

[그림 9] 안랩 EPP 연계 정책에 의한 대응

 

 

구슬이 서 말이라도 꿰어야 보배

글로벌 IT전문 리서치 기관 가트너(Gartner)는 EDR에 대해 “엔드포인트 보안을 위한 추가 도구(Tool)로, 안티바이러스 등 기존 보안 솔루션과의 연계를 통해 시너지 효과를 발휘한다”고 설명한다. 최신 보안 솔루션인 EDR을 비롯해 다수의 보안 솔루션을 도입했더라도 이들이 유기적으로 연결되어 위협에 대응할 수 있을 때 진정한 가치를 발휘할 수 있다는 의미이기도 하다. 

 

안랩 EPP는 연계 정책을 통해 개별 엔드포인트 보안 솔루션 사이의 빈 공간(Gap)을 최소화함으로써 고도화되는 보안 위협에 대한 자동화된 대응을 제공한다. 또한 지속적인 노력이 필요한 엔드포인트 하드닝의 자동화가 가능해 궁극적인 보안 수준을 향상하는데 기여한다.​ 

  • AhnLab 로고
  • EP컨설팅팀 박문형 부장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.