수십~수천 개의 시스템과 셀 수 없을 만큼의 데이터가 모여있는 엔드포인트가 보안의 시작이자 핵심이라는 데는 이견이 있을 리 없다. 대부분의 기업이 엔드포인트 보안을 위해 다수의 보안 솔루션을 도입한다. 문제는 다수의 보안 솔루션 운용으로 인해 예기치 않은 보안의 틈(Hole)이 생기기 쉽다는 점이다. 안랩이 엔드포인트 보안 플랫폼 중심의 위협 대응을 강조하는 이유도 이 때문이다. 지난해 엔드포인트 보안 플랫폼 안랩 EPP(AhnLab EPP)와 함께 엔드포인트 위협 탐지 및 대응 솔루션 안랩 EDR(AhnLab EDR)을 출시했던 안랩이 최근 EDR의 업그레이드 버전을 발표했다. 이와 함께 엔드포인트 보안 솔루션 3종을 새로 출시, 안랩 EPP기반의 엔드포인트 위협 대응력을 대폭 강화했다. 안랩의 완성형 엔드포인트 보안 전략을 만나본다.
안랩이 최근 자사 엔드포인트 위협 탐지 및 대응 솔루션 안랩 EDR의 업그레이드 버전을 발표했다. 이와 함께 안랩 EPP 기반의 안랩 ESA(AhnLab ESA), 안랩 프라이버시 매니지먼트(AhnLab Privacy Management 5.0)를 신규 출시했다. 또 가상화 데스크톱 전용 보안 솔루션 V3 for VDI도 선보였다.
더 많은 위협 정보를 더 알기 쉽게: 안랩 EDR
안랩 EDR의 업그레이드 버전은 보안 관리자의 관점에서 더 많은 위협 정보를 더욱 직관적으로 제공하는데 초점을 맞췄다. 우선, 악성으로 확인된 위협 외에도 악성과 유사한 행위를 하는 주요 감시 대상 프로세스에 대한 분류를 제공한다. 여기서 ‘악성 유사 행위’란 랜섬웨어로 의심되는 행위를 비롯해 시스템 설정을 변경하는 행위나 인젝션, 네트워크 및 C&C서버 접속 행위 등이다. 감시 대상인 행위가 탐지되면 [그림 1]과 같이 시간, 파일, 감시 행위 유형 등의 카테고리로 구분하여 손쉽게 확인할 수 있게 해준다.
[그림 1] 안랩 EDR의 감시 대상 설정
또, 탐지된 위협에 대한 상세한 정보를 더욱 손쉽게 파악할 수 있도록 UI를 전면 개편했다. [그림 2]와 같이 트리 구조로 제공되는 연관 관계 다이어그램에 더 많은 정보를 제공하는 메뉴를 추가했다. 보안 관리자가 좀 더 자세한 내용을 보고 싶은 부분에 마우스 커서를 가져가면(Mouse-over) [그림 2]와 같이 상세한 정보가 팝업으로 나타난다.
[그림 2] 안랩 EDR의 연관 관계 다이어그램
마지막으로 온디멘드(On-Demand) 검사 기능도 새롭게 추가됐다. 안랩 EDR이 수집해 알려지지 않음(Unknown)으로 분류한 로그의 프로세스 정보를 통해 보안 관리자는 추가 분석 여부를 검토하여 필요 시 온디멘드 검사를 진행할 수 있다. 또, 해당 프로세스의 행위 정보를 기준으로 이벤트 다이어그램을 확인할 수 있다. 관리자가 필요에 따라 원하는 프로세스에 대해 분석하기에 유용하다.
취약 지점 확인부터 엔드포인트 하드닝까지: 안랩 ESA
이번에 새로 출시된 안랩 ESA(Endpoint Security Assessment)는 엔드포인트 취약 시스템 파악 및 조치 솔루션으로, 기업 내 업무용 PC의 보안 상태를 점검하고 자동 조치를 통해 엔드포인트의 전반적인 보안 수준을 강화한다. 안랩 EPP를 기반으로 V3부터 패치 관리 솔루션(AhnLab Patch Management 5.0), 개인정보 유출 방지 솔루션(AhnLab Privacy Management 5.0)과 연계해 취약 시스템에 대해 더욱 포괄적이며 강력한 조치가 가능하다. 또 안랩 EDR과의 연계를 통해 엔드포인트 전반에 대한 지속적인 모니터링과 위협 가시성 확보가 가능해 변화무쌍한 엔드포인트의 취약 지점을 신속하게 파악하고 대응할 수 있다.
[그림 3] 안랩 ESA의 엔드포인트 하드닝 개념도
보안 관리자는 안랩 ESA를 ‘사이버•보안 진단의 날’ 준수 등을 위해 활용할 수 있다. 국내 최대 수준인 70여 개 이상의 점검 항목을 제공하며, 고객사 환경에 따라 보안 관리자가 점검 항목을 커스터마이징 할 수 있다. 이를 통해 개별 PC의 ▲비밀번호 설정 여부 ▲CMOS 패스워드 설정 여부 등도 확인할 수 있으며 ▲보안 점검(설문) 기능을 활용해 물리적 보안 점검 항목도 온라인에서 통합 관리할 수 있다. 무엇보다 취약한 항목에 대해 ▲자동 조치 ▲원클릭 조치를 제공해 컴플라이언스 준수는 물론, 효율적인 보안 관리가 가능하다. 또한 필요에 따라 관리자가 사용자에게 안내 또는 공지하고 싶은 문구 등을 편집하는 등 고객사에 맞는 커스터마이징도 콘솔을 통해 설정이 가능하다.
플랫폼 기반의 더 강력한 개인정보 보호: 안랩 프라이버시 매니지먼트 5.0
개인정보 관련 규제와 처벌 규정이 지속적으로 강화됨에 따라 고객의 개인정보를 직․간접적으로 활용하는 기업 대부분의 부담이 가중되고 있다. 이와 관련해 안랩은 다수의 보안 솔루션 연계를 통해 더 강력하게 개인정보를 관리하고 유출을 방지하는 안랩 EPP 기반의 안랩 프라이버시 매니지먼트(AhnLab Privacy Management) 5.0을 출시했다.
안랩 프라이버시 매니지먼트 5.0은 기업의 개인정보 관리를 위해 최적화된 기능을 제공한다. 기본적으로 개인정보 파일이 가장 유출되기 쉬운 엔드포인트 상의 다양한 경로에서 개인정보가 포함된 파일의 유출 시도를 원천 차단한다. 웹 브라우저, 이메일, 메신저 또는 P2P, USB, 외장하드 등의 애플리케이션 및 기기를 지속적으로 모니터링해 개인정보가 포함된 파일이 탐지되는 즉시 애플리케이션을 강제 종료한다.
개인정보 관리자 또는 보안 관리자가 개인정보에 대한 패턴 룰을 설정하여 개인정보가 포함된 파일을 실시간 모니터링하고 정책에 따라 완전삭제, 격리, 네트워크 차단 등의 조치를 할 수있다. 또한 개인정보가 포함된 파일의 프린터 출력을 제한한다. 개인정보가 포함된 파일을 출력할 때 정책에 따라 워터마크를 삽입하거나 출력 방지 정책을 적용하여 오프라인을 통한 정보 유출도 막을 수 있다.
[그림 4] 안랩 프라이버시 매니지먼트 5.0
안랩 프라이버시 매니지먼트 5.0에서 가장 눈길을 끄는 것은 ‘관리 키워드’를 이용한 문서 파일 관리 기능이다. 관리자가 키워드 패턴 룰을 생성하여 정책에 적용하면 임직원들의 문서 사용 현황, 보유 여부 등에 대한 모니터링 및 추적이 가능하다. 안랩이 수많은 고객의 피드백을 연구하여 반영한 기능으로, 개인정보가 아니더라도 대외비 문서의 현황 등을 파악할 수 있어 기업의 중요 정보 유출을 방지할 수 있다.
업무 환경의 변화에도 보안 공백 최소화: V3 for VDI
최근 비용 절감, 업무 효율화 등을 이유로 임직원 업무 시스템에 가상화 데스크톱(Virtual Desktop Infrastructure, VDI)을 도입하는 기업이 늘고 있다. 문제는 이것이 자칫 엔드포인트 보안에 빈틈이 될 수 있다는 점이다. 기존의 백신을 VDI 환경에서 운용하는 것은 적절치 않다. 가상화 시스템에 설치된 백신 솔루션이 가상화 솔루션이 사용해야 할 시스템 리소스를 사용하면서 성능에 영향을 줄 수 있기 때문이다. 또 백신의 엔진 업데이트 시 자칫 AV스톰(AV-Storm)이 발생할 우려도 있다. 무엇보다 수많은 가상화 시스템에 설치된 백신 제품을 일원화하여 관리하기 쉽지 않다.
이와 관련해 안랩은 최근 가상화 데스크톱 전용 보안 솔루션 V3 for VDI를 출시했다. V3 for VDI는 VDI 환경에 최적화된 전용 TS엔진을 탑재해 가상화 시스템 성능 저하 없이 악성코드에 대한 강력한 대응 효과를 제공한다. 또 다양한 VDI 환경을 지원하기 위해 에이전트 방식(V3 for VDI Agent)과 비에이전트 방식(V3 for VDI Agentless, 6월 말 출시 예정)을 모두 제공하며, V3 for VDI Agent는 안랩 EPP를 기반으로 통합 관리가 가능하다.
더 다양해진 연계 정책으로 더 효율적인 위협 대응 가능해
안랩 EPP의 핵심은 연계 정책을 통해 다수의 개별 보안 솔루션이 유기적으로 동작해 효과적인 위협 대응이 가능하다는 것이다.
안랩 ESA, 안랩 프라이버시 매니지먼트 5.0 등 신제품 출시로 기존 V3, EDR, 안랩 패치 매니지먼트(AhnLabPatch Management 5.0)와 연계해 더욱 강력한 보안 관리 및 위협 대응이 가능할 것으로 기대된다. 고객사 환경에 따라 보안 관리자가 개별 보안 제품의 규칙을 ‘AND’와 ‘OR’ 조건으로 설정해 위협 요인에 대한 탐지와 자동화된 대응이 가능하다. 특히 보안 관리자가 설정한 대응 명령을 통해 임직원이 직접 현재 PC의 문제점을 확인하고 스스로 개선하도록 유도할 수 있다. 즉, 안랩 EPP를 기반으로 엔드포인트 하드닝을 자동화할 수 있으며, 고객 주도적이고 능동적인 보안 운영이 가능하다.
☞ 월간'안' 6월호 '바로가기'
