2015.02.03

2015년 엔드포인트 보안 전망, "BYOD 종말과 보안업체의 감소"

Kim Crawley | CSO
엔드포인트 보안은 단연 필자가 선호하는 보안 방식이다. 네트워크를 안전하게 보호하는 것은 끊임없는 작업과 경계를 요하는 어려운 과정이다. 사전에 최대한 견고한 보안을 확보하지 않은 채 클라이언트나 서버를 네트워크에 들여서는 안 된다.

필자의 데이터센터 경험을 바탕으로 이야기하자면 지금까지 수정한 중차대한 네트워크 취약점의 상당부분은 제대로 보안이 구현되지 않은 컴퓨터를 네트워크에 도입한 데서 기인했다. 이런 유형의 실수는 생각보다 많이 발생한다.

2014년 동안 네트워크 기반 정보 보안 공격 사례는 횟수가 증가하면서 수시로 뉴스에 등장했다. 이제 이런 사고가 유명 웹사이트에서 보고될 정도에 이르렀다. 게다가 실제 보도되는 사고보다 보도되지 않는 사고가 훨씬 더 많다는 점도 고려해야 한다.

이런 문제의 상당수는 견고한 엔드포인트 보안 전략을 통해 예방할 수 있다. 앞으로 기업과 기관들은 이런 사고에 지능적으로 대처할 수 있을까? 기술이 빠른 속도로 발전하는 환경에서 2015년 엔드포인트 보안은 어떻게 구현될까? 지금까지 IT 부문을 지켜본 바로는 다음과 같이 예견할 수 있다.

BYOD의 종말, CYOD의 시작
2007년 이후 개인용과 업무용 스마트폰 사용량이 폭증했다. 사무실에서 근무하는 사람들은 유튜브에서 고양이 동영상을 보고, 유료 게임을 결제하고, 개인적인 금융 거래를 하는 데 사용하는 기기에 그대로 회사 업무 내용을 담은 채 집으로 간다.

또한 구글 월릿, 애플 페이와 같은 NFC 결제 앱 덕분에 스마트폰으로 상점이나 음식점에서 물건 값을 치르는 사람들도 많아졌다.

기업들은 BYOD(Bring Your Own Device)를 허용하면 직원용 모바일 기기를 구매할 필요성이 사라지므로 비용이 절감되고 생산성도 향상될 것이라고 생각한다.

그러나 BYOD는 기업 네트워크에 많은 보안 문제를 일으킨다. 임직원의 기기에 기업의 기밀 데이터가 저장되지 않는 경우라 해도 마찬가지다. 앞서 언급한 앱 결제, 뱅킹, NFC 결제는 직원의 개인용 스마트폰과 태블릿에 저장되는 민감한 개인 금융 데이터의 예다.

이와 함께 모바일 악성코드 위험도 계속 증가하고 있다.
카스퍼스키 랩(Kasperksy Lab)의 마크 버밍햄은 "소비자와 기업 모두 일상적인 활동의 상당 부분을 모바일 기기로 처리하고 있는 만큼 사이버 범죄는 이런 플랫폼, 구체적으로 안드로이드와 탈옥된 iOS 기기를 더욱 집중적으로 노리게 될 것"이라고 말했다.

또한 많은 직원들의 개인 기기가 기업의 데이터와 연결되면서 기업들은 네트워크에서 철저한 침투 테스트를 실행하거나 보안을 강화하기가 훨씬 더 복잡해진다.

"직원 여러분! 보안 테스트를 위해 36시간 동안 모든 개인 스마트폰을 저희에게 맡겨 주십시오!"라고 공지할 수 있는 기업이 과연 몇이나 있을지, 그리고 이런 방식으로 보안테스트를 진행할 수 있을지조차 미지수다.

그래서 2015년에는 BYOD 정책을 도입했던 많은 기업들이 BYOD를 완전히 폐기하게 될 것이라고 생각한다. 스마트폰과 태블릿이 업무에 절대적으로 필요하다면 CYOD(Choose Your Own Device), 즉 IT 보안 정책을 통해 완벽하게 관리 통제되는 기기로 전환할 것이며, 기능적으로 가능하다면 모바일 기기에서 이뤄지는 작업을 아예 전면 폐지할 것이다.

또한 사무실 PC의 USB 포트가 더욱 철저하게 통제되어 직원들은 개인 기기의 파일 시스템을 USB 포트를 통해 올릴 수 없게 될 것이다.

과거와 다른, 비정상 행위 기반 탐지 방식 '뜬다'
일반 소비자용이든 기업용이든 안티바이러스 소프트웨어는 대부분 시그니처를 기반으로 작동한다.

안티바이러스 개발자들이 최신 악성코드와 크립터(crypters)를 지속적으로 추적한다면 그 소프트웨어는 일반적으로 악성코드 감염을 예방하는 역할을 잘 해낸다(크립터는 악성코드가 시그니처 안티바이러스 방어막을 우회하도록 돕는 데 사용되는 프로그램이다). 그러나 당연한 말이지만 시그니처는 제로데이 공격에는 무용지물이다.

F-시큐어(F-Secure)의 미코 H. 하이포넨은 "시그니처는 꽤 오래 전부터 효용 가치가 떨어지고 있다. 매일 발견되는 악성코드 샘플의 수가 엄청나서 도저히 쫓아갈 수 없다"고 말했다.

개인용과 기업용 안티바이러스 소프트웨어 모두 앞으로도 한동안 계속 시그니처를 사용할 것이다. 그러나 경쟁력 있는 안티바이러스 개발업체들은 제품에서 비정상적 행위 기반(anomaly-based) 악성코드 탐지의 비중을 높여나갈 것이다.

현재 비정상적 행위 탐지 알고리즘은 IDS와 IPS 기기에서 훨씬 더 정교하다. 이런 알고리즘은 코드가 아닌 네트워크 활동에 중점을 둔다. 안티바이러스 개발업체들은 이미 안티바이러스 방어망에 비정상적 행위 탐지를 더 효과적으로 구현하기 위한 방법을 연구하고 있다.

당분간 오탐지가 큰 문제가 되고 시스템에는 항상 버그가 존재하게 될 것이다. 의심스러운 패킷을 샌드박싱하는 방법은 일부 경우에만 쓸모가 있으며, 이런 목적의 샌드박싱 기능은 대부분 윈도우 플랫폼에만 국한된다.

2015년에는 비정상적 행위 기반 악성코드 탐지 연구가 상당히 진행될 것이다. 스턱스넷(Stuxnet), 레진(Regin) 등 악성코드 개발이 갈수록 정교해지고 있는 만큼 비정상적 행위 기반 탐지가 필수적인 요소이기 때문이다.

제로데이 공격 빈도가 낮아진다면 그야말로 무척 반가운 소식일 것이다.

보안 개발업체의 감소
기업이 방화벽, IPS, 안타바이러스 솔루션을 위해 접촉해야 할 개발업체의 수가 많을수록 네트워크 관리자의 업무는 복잡해진다. 또한 한 개발업체의 제품에 들어가는 비용으로 인해 다른 요소에 투입할 자금이 남아나지 않는 경우도 있다.

IT 부서는 값비싼 안티바이러스 소프트웨어 제품이 저렴한 안티바이러스 제품에 비해 더 이상 효과적이지 않다는 사실을 발견하면 당연히 안티바이러스 개발업체를 바꾸고자 하는 생각이 들게 된다.

팔로알토 네트웍스(Palo Alto Networks)가 555명의 고객을 대상으로 설문 조사를 실시한 바 있다. 질문은 "더 진보된 엔드포인트 보호를 위해 투자할 자금을 확보하기 위해 '무료' 기업용 안티바이러스로 전환할 생각이 있는가?"였다. 응답자의 44%는 전환을 고려하거나 이미 전환 중이라고 답했다.

시만텍과 같은 안티바이러스 업체가 기업 시장에서 경쟁력을 유지하려면 안티바이러스 소프트웨어 라이선스를 엔드포인트 보안에 적용할 수 있는 다른 제품과 함께 통합해 라이선스 비용 자체를 낮춰야 할 지도 모른다.

라이선스 약정 기간을 제한하는 것도 도움이 될 수 있다. 기업이 3년 라이선스에 묶여 있는 경우, 현재 개발업체 제품의 성능에 만족하지 않게 되더라도 다른 개발업체로 전환하기가 쉽지 않다.

또 다른 좋은 아이디어는 시스코, 주피터 네트웍스와 같은 네트워크 보안 어플라이언스 개발업체가 카스퍼스키, 시만텍과 같은 안티바이러스 개발업체와 손을 잡는 것이다.

이 두 진영이 협력하면 안티바이러스 소프트웨어와 하드웨어 방화벽을 포함한 IPS/IDS 장비에다가 운영체제 안티바이러스까지 포함된 기업용 패키지를 만들 수 있다.

이미 개발업체 간 협력이 진행 중일 수도 있다. 다만 업계 전체를 위해, 이들이 상대방을 사들이지는 않기를 바란다.

연초가 되면 전문가들은 정보 보안 추세를 상당히 면밀히 관찰하고, 이렇게 관찰한 여러 가지 통찰에 대해 글을 쓴다. 이는 2015년이 끝날 무렵이 되면 어느 만큼 맞았고 틀렸는 지를 확인해볼 수 있을 것이다. 필자가 예상한 바, 지금으로서는 자신만만하다. editor@itworld.co.kr



2015.02.03

2015년 엔드포인트 보안 전망, "BYOD 종말과 보안업체의 감소"

Kim Crawley | CSO
엔드포인트 보안은 단연 필자가 선호하는 보안 방식이다. 네트워크를 안전하게 보호하는 것은 끊임없는 작업과 경계를 요하는 어려운 과정이다. 사전에 최대한 견고한 보안을 확보하지 않은 채 클라이언트나 서버를 네트워크에 들여서는 안 된다.

필자의 데이터센터 경험을 바탕으로 이야기하자면 지금까지 수정한 중차대한 네트워크 취약점의 상당부분은 제대로 보안이 구현되지 않은 컴퓨터를 네트워크에 도입한 데서 기인했다. 이런 유형의 실수는 생각보다 많이 발생한다.

2014년 동안 네트워크 기반 정보 보안 공격 사례는 횟수가 증가하면서 수시로 뉴스에 등장했다. 이제 이런 사고가 유명 웹사이트에서 보고될 정도에 이르렀다. 게다가 실제 보도되는 사고보다 보도되지 않는 사고가 훨씬 더 많다는 점도 고려해야 한다.

이런 문제의 상당수는 견고한 엔드포인트 보안 전략을 통해 예방할 수 있다. 앞으로 기업과 기관들은 이런 사고에 지능적으로 대처할 수 있을까? 기술이 빠른 속도로 발전하는 환경에서 2015년 엔드포인트 보안은 어떻게 구현될까? 지금까지 IT 부문을 지켜본 바로는 다음과 같이 예견할 수 있다.

BYOD의 종말, CYOD의 시작
2007년 이후 개인용과 업무용 스마트폰 사용량이 폭증했다. 사무실에서 근무하는 사람들은 유튜브에서 고양이 동영상을 보고, 유료 게임을 결제하고, 개인적인 금융 거래를 하는 데 사용하는 기기에 그대로 회사 업무 내용을 담은 채 집으로 간다.

또한 구글 월릿, 애플 페이와 같은 NFC 결제 앱 덕분에 스마트폰으로 상점이나 음식점에서 물건 값을 치르는 사람들도 많아졌다.

기업들은 BYOD(Bring Your Own Device)를 허용하면 직원용 모바일 기기를 구매할 필요성이 사라지므로 비용이 절감되고 생산성도 향상될 것이라고 생각한다.

그러나 BYOD는 기업 네트워크에 많은 보안 문제를 일으킨다. 임직원의 기기에 기업의 기밀 데이터가 저장되지 않는 경우라 해도 마찬가지다. 앞서 언급한 앱 결제, 뱅킹, NFC 결제는 직원의 개인용 스마트폰과 태블릿에 저장되는 민감한 개인 금융 데이터의 예다.

이와 함께 모바일 악성코드 위험도 계속 증가하고 있다.
카스퍼스키 랩(Kasperksy Lab)의 마크 버밍햄은 "소비자와 기업 모두 일상적인 활동의 상당 부분을 모바일 기기로 처리하고 있는 만큼 사이버 범죄는 이런 플랫폼, 구체적으로 안드로이드와 탈옥된 iOS 기기를 더욱 집중적으로 노리게 될 것"이라고 말했다.

또한 많은 직원들의 개인 기기가 기업의 데이터와 연결되면서 기업들은 네트워크에서 철저한 침투 테스트를 실행하거나 보안을 강화하기가 훨씬 더 복잡해진다.

"직원 여러분! 보안 테스트를 위해 36시간 동안 모든 개인 스마트폰을 저희에게 맡겨 주십시오!"라고 공지할 수 있는 기업이 과연 몇이나 있을지, 그리고 이런 방식으로 보안테스트를 진행할 수 있을지조차 미지수다.

그래서 2015년에는 BYOD 정책을 도입했던 많은 기업들이 BYOD를 완전히 폐기하게 될 것이라고 생각한다. 스마트폰과 태블릿이 업무에 절대적으로 필요하다면 CYOD(Choose Your Own Device), 즉 IT 보안 정책을 통해 완벽하게 관리 통제되는 기기로 전환할 것이며, 기능적으로 가능하다면 모바일 기기에서 이뤄지는 작업을 아예 전면 폐지할 것이다.

또한 사무실 PC의 USB 포트가 더욱 철저하게 통제되어 직원들은 개인 기기의 파일 시스템을 USB 포트를 통해 올릴 수 없게 될 것이다.

과거와 다른, 비정상 행위 기반 탐지 방식 '뜬다'
일반 소비자용이든 기업용이든 안티바이러스 소프트웨어는 대부분 시그니처를 기반으로 작동한다.

안티바이러스 개발자들이 최신 악성코드와 크립터(crypters)를 지속적으로 추적한다면 그 소프트웨어는 일반적으로 악성코드 감염을 예방하는 역할을 잘 해낸다(크립터는 악성코드가 시그니처 안티바이러스 방어막을 우회하도록 돕는 데 사용되는 프로그램이다). 그러나 당연한 말이지만 시그니처는 제로데이 공격에는 무용지물이다.

F-시큐어(F-Secure)의 미코 H. 하이포넨은 "시그니처는 꽤 오래 전부터 효용 가치가 떨어지고 있다. 매일 발견되는 악성코드 샘플의 수가 엄청나서 도저히 쫓아갈 수 없다"고 말했다.

개인용과 기업용 안티바이러스 소프트웨어 모두 앞으로도 한동안 계속 시그니처를 사용할 것이다. 그러나 경쟁력 있는 안티바이러스 개발업체들은 제품에서 비정상적 행위 기반(anomaly-based) 악성코드 탐지의 비중을 높여나갈 것이다.

현재 비정상적 행위 탐지 알고리즘은 IDS와 IPS 기기에서 훨씬 더 정교하다. 이런 알고리즘은 코드가 아닌 네트워크 활동에 중점을 둔다. 안티바이러스 개발업체들은 이미 안티바이러스 방어망에 비정상적 행위 탐지를 더 효과적으로 구현하기 위한 방법을 연구하고 있다.

당분간 오탐지가 큰 문제가 되고 시스템에는 항상 버그가 존재하게 될 것이다. 의심스러운 패킷을 샌드박싱하는 방법은 일부 경우에만 쓸모가 있으며, 이런 목적의 샌드박싱 기능은 대부분 윈도우 플랫폼에만 국한된다.

2015년에는 비정상적 행위 기반 악성코드 탐지 연구가 상당히 진행될 것이다. 스턱스넷(Stuxnet), 레진(Regin) 등 악성코드 개발이 갈수록 정교해지고 있는 만큼 비정상적 행위 기반 탐지가 필수적인 요소이기 때문이다.

제로데이 공격 빈도가 낮아진다면 그야말로 무척 반가운 소식일 것이다.

보안 개발업체의 감소
기업이 방화벽, IPS, 안타바이러스 솔루션을 위해 접촉해야 할 개발업체의 수가 많을수록 네트워크 관리자의 업무는 복잡해진다. 또한 한 개발업체의 제품에 들어가는 비용으로 인해 다른 요소에 투입할 자금이 남아나지 않는 경우도 있다.

IT 부서는 값비싼 안티바이러스 소프트웨어 제품이 저렴한 안티바이러스 제품에 비해 더 이상 효과적이지 않다는 사실을 발견하면 당연히 안티바이러스 개발업체를 바꾸고자 하는 생각이 들게 된다.

팔로알토 네트웍스(Palo Alto Networks)가 555명의 고객을 대상으로 설문 조사를 실시한 바 있다. 질문은 "더 진보된 엔드포인트 보호를 위해 투자할 자금을 확보하기 위해 '무료' 기업용 안티바이러스로 전환할 생각이 있는가?"였다. 응답자의 44%는 전환을 고려하거나 이미 전환 중이라고 답했다.

시만텍과 같은 안티바이러스 업체가 기업 시장에서 경쟁력을 유지하려면 안티바이러스 소프트웨어 라이선스를 엔드포인트 보안에 적용할 수 있는 다른 제품과 함께 통합해 라이선스 비용 자체를 낮춰야 할 지도 모른다.

라이선스 약정 기간을 제한하는 것도 도움이 될 수 있다. 기업이 3년 라이선스에 묶여 있는 경우, 현재 개발업체 제품의 성능에 만족하지 않게 되더라도 다른 개발업체로 전환하기가 쉽지 않다.

또 다른 좋은 아이디어는 시스코, 주피터 네트웍스와 같은 네트워크 보안 어플라이언스 개발업체가 카스퍼스키, 시만텍과 같은 안티바이러스 개발업체와 손을 잡는 것이다.

이 두 진영이 협력하면 안티바이러스 소프트웨어와 하드웨어 방화벽을 포함한 IPS/IDS 장비에다가 운영체제 안티바이러스까지 포함된 기업용 패키지를 만들 수 있다.

이미 개발업체 간 협력이 진행 중일 수도 있다. 다만 업계 전체를 위해, 이들이 상대방을 사들이지는 않기를 바란다.

연초가 되면 전문가들은 정보 보안 추세를 상당히 면밀히 관찰하고, 이렇게 관찰한 여러 가지 통찰에 대해 글을 쓴다. 이는 2015년이 끝날 무렵이 되면 어느 만큼 맞았고 틀렸는 지를 확인해볼 수 있을 것이다. 필자가 예상한 바, 지금으로서는 자신만만하다. editor@itworld.co.kr

X