보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

보안 관리자들이 추천하는 EPP 기능 여섯 가지

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2019-12-02

안랩은 지난 2018년 엔드포인트 위협 탐지 및 대응 솔루션 ‘안랩 EDR(AhnLab EDR)’과 함께 차세대 엔드포인트 보안 플랫폼(Endpoint Protection Platform)인 ‘안랩 EPP(AhnLab EPP)’를 출시했다. 이어 2019년에는 자사 엔드포인트 보안 솔루션 대부분을 안랩 EPP 중심으로 재편했다. 위협 탐지부터 대응까지 기업의 엔드포인트 보호에 필요한 모든 기능(제품)을 유기적으로 통합 운영함으로써 최신 보안 위협에 보다 능동적으로 대응한다는 전략이다. 안랩 EPP 기반의 엔드포인트 위협 대응 체계가 실제 기업 환경에서 어떻게 활용되고 있는지 살펴본다.  

 


 

 현재 V3를 비롯한 안랩의 주요 엔드포인트 보안 제품은 안랩 EPP를 기반으로 도입 및 운영 가능하다. 구체적으 로 살펴보면, 윈도우부터 리눅스까지 다양한 운영체제 환경의 PC 및 서버 방역을 위한 V3 제품군과 엔드포인트 위협 탐지 및 대응을 위한 EDR, 패치 관리를 위한 ‘EPP 패치 매니지먼트(AhnLab EPP Patch Management, 이 하 APM)’, 개인정보 관리 및 유출 방지를 위한 ‘프라이버시 매니지먼트(AhnLab Privacy Management, 이하 APrM)’, 그리고 취약 시스템 점검 및 자동 조치를 제공하는 ‘안랩 ESA(AhnLab ESA)’ 등은 라이선스만 추가하면 안랩 EPP에서 통합 운영할 수 있다.

 

단일 매니지먼트, 단일 에이전트를 통해 다수의 보안 솔루션에 대해 효율적인 운영이 가능하다는 것이 안랩 EPP 기반 엔드포인트 위협 대응 체계의 장점이다. 그러나 진짜 장점은 따로 있다. 보안 관리자들이 추천하는 EPP 기능 중 상위 6가지를 중심으로 상세한 활용 방법을 살펴보자. 

 

1. 더 간편하고 능동적인 대응 - 안리포트(AhnReport) 수집 및 뷰어 기능

‘안리포트(AhnReport)’는 기업 내부에 유입된 악성코드 샘플을 수집하거나 보안 솔루션 운영 중 발생한 로그를 수집할 때 유용한 툴(Tool)이다. 기본적으로 운영체제, 네트워크, 프로그램 등 PC 정보와 안랩 제품의 로그 파일을 수집한다.

 

예전에는 안리포트를 수동으로 이용해야 했다. 예를 들어, 보안 관리자가 악성코드 감염이 의심되는 PC에서 안리포트를 수집하기 위해서는 해당 PC의 사용자에게 연락해 안리포트를 생성하는 방법을 설명해야 했다. 이렇게 생성된 안리포트 파일을 외부로 반출할 수 있는 PC에 복사한 후 안랩의 담당자에게 전달하는 방식이었다.

 

이제는 안랩 EPP를 이용해 중앙에서 개별 시스템에 명령을 내려 손쉽게 안리포트 파일을 생성 및 수집할 수 있다. 웹 기반의 EPP 관리자 페이지에서 [그림 1]과 같이 안리포트를 수집하고자 하는 시스템(에이전트)에 ‘AhnReport 수집’ 명령을 전송하면 된다. 엔드포인트에서 발생한 문제에 대해 더욱 쉽고 빠르게 능동적으로 대응할 수 있게 됐다는 점에서 보안 관리자들의 만족도가 높은 기능이다.

  

[그림 1] 안리포트(AhnReport) 수집 명령 

 

[그림 1]과 같이 안리포트 수집 명령을 보낼 때 보안 솔루션의 문제가 발생한 경우라면 ‘제품 오류’를, 악성코드 대응을 위해서라면 ‘악성코드’로 수집 정보 유형을 선택할 수 있다. 명령을 전달받은 에이전트는 사용자 화면에 별도의 알림 없이 자동으로 안리포트 파일을 생성한다. 만일 시스템 문제로 인해 안리포트 생성이 정상적으로 진행되지 않을 경우, 사전 설정된 명령 전달 대기 시간에 따라 일정 시간이 지나면 자동으로 수집을 종료한다. 따라서 안리포트 수집에 따른 임직원의 불편함은 없다.

 


[그림 2] AhnReport 수집 및 뷰어

 

EPP 관리자 페이지에서 ‘대응 현황’을 통해 안리포트 수집 상태를 확인할 수 있으며, [그림 2]와 같이 뷰어(Viewer)를 통해 수집된 안리포트의 내용을 간략하게 살펴볼 수 있다. 수집된 안리포트 파일은 ‘AhnReport/Artifact 수집’ 메뉴에서 다운로드할 수 있다. 안리포트가 수집한 안랩 제품의 로그 파일은 암호 처리가 되어 있기 때문에 안랩의 담당자를 통해 확인할 수 있다. 

 

2. 네트워크 가용성 부담 최소화 - 로컬 업데이트 서버(Local Update Server)

안랩 EPP의 로컬 업데이트 서버(Local Update Server, 이하 LUS) 기능은 네트워크 대역폭이 낮은 구간에서의 백신 엔진이나 보안 패치 업데이트를 진행할 때 상당히 유용하다.

 

보안 패치는 운영체제나 애플리케이션의 취약점을 이용한 악성코드 공격을 예방할 수 있는 기본적이면서도 매우 중요한 위협 대응 지침 중 하나다. 보안 패치 업데이트를 수행하지 않는다면 보안 취약점이 그대로 노출되고, 이것을 이용한 악성코드에 감염되기 쉽다.

 

일부 기업에서 네트워크 대역폭이 낮은 영역에는 보안 패치 업데이트를 수행하지 않아 문제로 지적되고 있다. 보안 패치 파일의 사이즈가 크면 네트워크 장애가 발생할 수 있고, 업무 중단으로 이어질 위험성이 있기 때문이다. 이러한 보안의 심각한 구멍을 해결해줄 수 있는 기능이 바로 로컬 업데이트 서버다.

 

로컬 업데이트 서버(LUS)를 구성하는 방법은 매우 간단하다. [그림 3]과 같이 안랩 EPP의 관리자 화면을 통해 로컬 업데이트 서버로 지정된 에이전트에 ‘LUS Agent’를 배포하여 설치한다. 배포 명령을 받은 시스템에 자동으로 LUS Agent가 설치된다. 관리자는 EPP에서 ‘[대시보드] > [로컬 업데이트 서버 현황]’ 메뉴를 통해 LUS Agent 현황을 확인할 수 있다. 또한 로컬 업데이트 서버를 통해 네트워크 트래픽 제어를 해야 할 대상 에이전트들을 IP 대역으로 지정할 수 있다.

 


[그림 3] 로컬 업데이트 서버 구성

 

[그림 4]와 같이 LUS Agent에 대한 정책 설정을 통해 에이전트 시스템에 파일 배포 시 네트워크 대역폭(Bandwidth)을 제어할 수 있다. 이를 통해 네트워크 대역폭이 낮은 영역에서도 안정적으로 백신 엔진 및 보안 패치 업데이트를 수행할 수 있다.

 

로컬 업데이트 서버의 시스템은 안랩 EPP 서버와의 주기적인 동기화를 통해 최신 엔진 및 파일을 다운로드한다. 보안 패치의 경우, 디스크 용량에 문제가 되지 않도록 모든 패치 파일을 다운로드하는 대신 패치 할 대상 파 일만 캐시에 기록해 다운로드할 수 있도록 구성되어 있다.

 


[그림 4] 로컬 업데이트 서버 정책 설정

 

3. 자동화된 위협 탐지 및 대응 - 연계 정책

‘연계 정책’은 안랩 EPP를 기반으로 엔드포인트 보안 솔루션을 운영하는 보안 담당자들 대다수가 첫 손에 꼽는 기능이다. 고객사 환경에 따라 다수의 보안 제품에 대해 ‘AND’와 ‘OR’ 조건으로 규칙을 설정해 위협 요인에 대한 탐지와 자동화된 대응이 가능하다.

 

이전에도 안랩 폴리시센터(AhnLab Policy Center, APC)나 안랩 EMS(AhnLab EMS) 등을 통해 다수의 엔드포인트 보안 솔루션을 중앙에서 관리할 수 있었다. 기존의 중앙관리 솔루션은 연동된 다수의 제품들에 대한 운용 현황 확인이나 정책 설정을 하나의 대시보드에서 수행할 수 있다는 것이 큰 장점이었다. 그러나 연동된 제품 각각에 정책을 설정하고, 그에 따라 각각 동작한다는 점이 아쉬운 부분으로 지적됐다. 이러한 고객의 요구 사항이 반영된 것이 바로 EPP의 연계 정책 기능이다. 

 

EPP의 연계 정책 기능을 통해 연동되는 다수의 엔드포인트 보안 제품의 기능이 유기적으로 동작하면서 시너지 효과를 내고 있다. 예를 들어, EPP를 기반으로 V3, 패치 매니지먼트, 프라이버시 매니지먼트, ESA, EDR을 도입, 운영하는 기업이라면 [그림 5]와 같은 연계 정책을 설정할 수 있다. 이렇게 설정된 규칙을 위반하는 시스템이 탐지되면 설정된 대응 규칙에 따라 자동으로 조치가 실행된다. 즉, 설정된 연계 정책에 따라 어떤 시스템에서 V3가 악성코드를 진단하면 자동으로 정밀 검사가 진행되고, 패치 매니지먼트(APM)를 통해 패치 업데이트가 수행된다. 또 EDR이 자동으로 해당 파일을 삭제한다. 

 


[그림 5] 연계 정책 및 그에 따른 자동화된 대응 규칙

 

연계 정책이 실제 기업 환경에서 어떻게 활용됐는지 살펴보자. [그림 6]은 최근 또 다시 화제가 된 이터널블루(EternalBlue) SMB 취약점에 대한 연계 정책 설정 및 대응 사례다. 여기에서 연계 정책은 ‘V3가 SMB 취약점 관련 악성코드를 진단하거나(or) 패치 매니지먼트(APM)가 관련 패치가 적용되지 않은 시스템’을 탐지 조건으로 설정했다. 또 ‘EDR이 취약점 파일을 탐지 또는 URL 접근 이력이 있는 시스템’으로 탐지 조건에 추가했다. 이렇게 설정된 조건 중 하나에 해당하는 시스템이 탐지되면 EPP 에이전트를 통해 사용자에게 공지사항 알림이 전달된다. 이 알림을 통해 사용자는 취약점 관련 정보를 살펴보거나 관련 패치 파일을 다운로드하여 패치 업데이트를 수행할 수 있다.

 


[그림 6] 연계 정책 적용 실제 사례

 

연계 정책을 이용하면 자동화된 대응을 통해 기업 내부에서 악성코드가 확산되는 것을 방지할 수 있다. 또 개인 정보 파일이 유출되거나 ESA의 보안 점검 기준 점수에 미달되었을 경우, 이에 대해 자동으로 조치할 수 있는 규칙을 설정할 수 있다. 즉, 다수의 보안 솔루션을 유기적으로 연계함으로써 효과적인 대응이 가능하며, 결과적으로 전반적인 보안 수준을 향상시킬 수 있다. 

 

4. 우리 기업 환경에 맞는 패치 검증 -  패치 테스트 그룹

안랩은 매월 4~5회의 정기 패치와 비정기 패치를 제공하고 있는데, 자체 패치랩(PatchLab)을 통해 검증된 패치를 고객사에 배포한다. 그러나 기업 환경과 규모가 다양하다 보니 실제 환경에서 자체적으로 패치 검증을 하고 싶은 보안 담당자들도 적지 않다. 이와 관련해 안랩은 패치 매니지먼트(APM)에 ‘패치 테스트 그룹’ 기능을 제공해 실제 고객사 환경에서 자체 테스트를 수행할 수 있도록 지원하고 있다. 

 

보안 관리자가 원하는 시스템들을 ‘패치 테스트 그룹’으로 지정하면 일정 기간 동안 해당 시스템에서만 패치 업데이트가 진행된다. 테스트 중 시스템에 문제가 발생하면 더 이상 패치 업데이트가 진행되지 않도록 중지할 수 있다. 별 다른 문제없이 테스트 기간이 완료되면 해당 패치를 이용해 자동으로 전사 패치 업데이트가 진행된다. 

 

그룹별 테스트 단계는 최대 3단계까지 지정할 수 있다. 각 단계별로 테스트 기간을 지정하고, 테스트가 완료됐을 때 언제 전사에 적용할지 시간을 지정할 수 있다. 예를 들어, [그림 7]과 같이 인사팀을 1차, 재무팀을 2차, 정보보안팀을 3차로 지정하면 각 단계별로 패치 테스트가 자동으로 진행된다. 3차까지 테스트가 완료되면 전체 시스템을 대상으로 패치 업데이트가 수행된다.

 


[그림 7] 단계별 패치 테스트 그룹 설정

 

5. 개인정보 등 민감한 정보 관리 - 문서 파일 검색

기업의 엔드포인트에서는 수많은 데이터(파일)가 생성되고 이동한다. 그 데이터 중에는 고객의 개인정보를 비롯해 외부로 유출되면 안되는 기업 기밀이나 민감한 문구가 포함된 파일도 상당수다. 해킹 등에 의해 고객의 개인정보나 기밀 자료가 유출되면 기업은 심각한 위기를 겪게 될 수 있다. 그렇다고 보안 담당자가 수많은 엔드포인트 시스템 상의 데이터들을 확인하는 것은 현실적으로 불가능하다.

 

이러한 보안 관리자들의 부담을 덜어주기 위해 안랩 프라이버시 매니지먼트(APrM)는 ‘문서 파일 검색’ 기능을 제공하고 있다. 보안 담당자가 지정한 키워드 또는 정규 표현식에 해당하는 문구가 포함된 파일이 존재하는 시스템을 EPP 관리자 페이지에서 손쉽게 파악할 수 있다.

 

APrM의 ‘문서 파일 검색’ 설정을 통해 문구의 패턴을 지정 및 설정할 수 있다. 패턴은 키워드 또는 정규 표현식으로 구분하여 입력이 가능하다. 예를 들어, 문서 파일 내부에 “대외비” 또는 “Confidential” 등의 키워드가 포함된 파일을 파악하기 위해 [그림 8]과 같이 설정할 수 있다.

 

 

 

 

[그림 8] 문서 파일 검색​

 

문서 파일 검색 기능은 기존 EMS에 연동하는 개인정보 관리 솔루션에도 존재하는 기능이다. 그러나 EMS 환경과 달리 EPP 기반의 APrM은 해당 파일 탐지 시 사용자가 이를 알 수 없다는 것이 가장 큰 차이다. 즉, 보안 감사 대응을 위해 전사 현황을 신속히 파악해야 할 때 사용자의 불편이나 거부감은 최소화하면서 효과적으로 확인할 수 있다.

 

6. 커스터마이징을 통한 보안 점검 최적화 - 사용자 정의 점검

안랩 ESA(Endpoint Security Assessment)는 엔드포인트 취약 시스템 파악 및 조치 솔루션으로, 전사 업무용 PC의 보안 상태를 점검하고 자동으로 조치한다. ESA는 정해진 점검 항목 이외에 고객사의 필요에 따라 점검 항목을 커스터마이징 할 수 있도록 ‘사용자 정의 점검’ 기능을 제공한다. [그림 9]와 같이 사용자 정의 점검을 통해 ESA의 보안 점검 정책을 설정할 수 있다.

 

예를 들어, 특정 프로세스(notepad.exe)가 실행되지 않는 것을 ‘안전’의 조건으로 설정한다면 안전의 경우와 취약의 경우에 대한 문구를 보안 관리자가 원하는 대로 입력할 수 있다. 이때 ‘취약’으로 판단된 항목에 대한 조치 방법을 별도의 URL에서 확인해야 한다면 해당 정보를 입력하면 된다. 고객사에서 지정한 보안 점검 주기가 되면 보안 관리자가 사전에 설정해둔 ‘사용자 정의 점검’ 항목에 대해서도 기본적인 점검 항목과 마찬가지로 안전 또는 취약 여부를 확인할 수 있다.

 


[그림 9] 사용자 정의 점검

 

이 밖에도 허용 프로그램과 사용 금지 프로그램을 안전 또는 취약 조건으로 설정해 사내에서 사용 중인 프로그램을 점검할 수 있으며, 임직원들의 보안 인식을 고취시킬 수 있다. 교육기관이나 공공기관에서는 점검 현황을 보고서로 추출해 ‘사이버·보안 진단의 날’에 내PC지키미 점검 결과로 활용할 수 있다.

 

자동화된 대응부터 엔드포인트 하드닝까지! 

지금까지 살펴본 안랩 EPP의 기능 중에서 핵심을 꼽으라면 단연 연계 정책이다. 이를 통해 다수의 개별 보안 솔루션이 유기적으로 동작해 효과적으로 위협 요인을 탐지하고 대응할 수 있기 때문이다.

 

이와 더불어 로컬 업데이트 서버나 패치 테스트 그룹 등 패치 관리도 좋은 평가를 받고 있다. 패치 적용은 백신 제품을 통한 악성코드 방역과 더불어 필수적인 보안 조치임은 분명하지만 보안 관리자로서는 자칫 패치 적용에 따른 시스템 장애나 이로 인한 비즈니스 중단이 부담스러울 수 밖에 없기 때문이다.

 

고객 주도적으로 능동적인 보안 운영 및 대응이 가능할 뿐만 아니라 보안 관리자의 부담 없이 엔드포인트 하드닝을 자동화할 수 있다는 것이 안랩 EPP 기반의 엔드포인트 보안 체계의 가장 큰 매력이다.

 

  • AhnLab 로고
  • EP기술지원2팀 김일수 과장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.