2013.06.03

시그니처 기반 엔드포인트 보안의 한계 '대안은?'

Thor Olavsrud | CIO
전통적인 보안 솔루션은 악성코드를 예방하지 못하고 있다. 이는 마치 생존자가 건물 정문을 막는데는 성공했지만 좀비 무리들이 창문, 옥상, 차고를 통해 들어가는, 공포영화와 같다고 볼 수 있다.

보안업체 맥아피(McAfee) 엔드포인트 솔루션 담당 CTO 겸 부사장인 사이먼 헌트는 "매일 15만 건의 새로운 악성코드가 발견되고 있다. 악성코드의 공격은 예상치 못한 정도이고 우리는 수세적 입장을 취할 수 밖에 없다"고 말했다.

새로운 바이러스의 출몰 소식을 알기 전에, 누군가는 희생양이 되어 새로운 바이러스의 출현을 알려줘야 한다는 방식은 피해가 큰 소모적인 방식일 수밖에 없다.

시그니처 기반의 안티바이러스 솔루션 무용론
사이먼 헌트는 맥아피가 오랫동안 시그니처 기반의 접근법을 통해 악성코드에 대응해 왔지만 맥아피뿐만 아니라 비슷한 보안 솔루션 제조업체는 모두 실패하게 될 것이라는 점을 인정했다.

헌트는 "시그니처 기반의 접근법이 완전히 구식이라고 말할 수는 없으나 더 이상 사용하지 않을 것이다. 더 이상 이를 통해 악성코드에 대응할 수 없기 때문이다. 시그니처 확인을 통해 컴퓨터 실행속도가 느려지지 않는 것을 측정한다면 충분히 목적을 달성했다고 볼 수 있다. 컴퓨터의 최적 성능을 유지하기 위해 시그니처 기반의 접근법이 존재하는 것"이라고 말했다.

시그니처 기반의 접근법이 성능을 느리게 하지만, 누군가 희생양이 되어야 한다는 의미도 된다. 누군가 악성코드에 감염이 돼야만 그 악성코드가 감지되고 분석되며 다른 이들을 악성코드로부터 지켜낼 수 있는 것이다. 그동안 범죄자들은 시그니처 기반의 접근법으로는 막아낼 수 없는 새로운 악성코드를 만들 것이다.

명백한 사실은 시그니처 기반의 솔루션들이 오늘날의 악성코드 위협에 대응하는데 충분치 않다는 것이다. 하지만 맥아피에서는 이에 대해 종합적 보안 패키지를 제공한다. 이는 9가지로 나뉘는데 각기 다른 보안 기술을 담고 있다.

헌트는 "이런 도전 과제는 다양한 위협을 포함하며 이로 인해 고객들은 어려움을 겪는다. 일반적인 대기업의 행동은 새로운 위협이 나타나는 대로 새로운 대응 솔루션을 내놓는다는 것"이라고 말했다.

또한 그렇기 때문에 고객에게 많은 혼란을 야기한다. 새로운 접근법이 제안됐다. 따라서 맥아피는 엔드포인트 보호 정책에 대해 재고하게 됐고, 그 결과 다음의 두 가지 접근법을 내놓게 되었다.

맥아피의 새로운 엔드포인트 보안 솔루션
5월 29일 맥아피는 두 가지의 엔드포인트 보안솔루션을 발표했다.

하나는 기업대상, 다른 하나는 노드 숫자가 1,000회선 이하의 기업을 대상으로 한다. 헌트는 자사의 솔루션이 컴퓨터 칩을 운영체제와 애플리케이션과 연결하게 된 첫 사례"라고 말했다.

맥아피의 딥세이프 기술은 맥아피와 인텔이 공동으로 개발된 것이다. 인텔은 2011년 맥아피를 인수했다.

맥아피 딥 디펜더(McAfee Deep Defender)라고 명명된 이 기술은 메모리와 운영체제사이에 상주하며 실시간 메모리 및 CPU 감시를 수행한다. 실시간 커널차원의 감시는 커널 모드 루트킷 등 알려지지 않은 위험을 식별하고 제거해 낸다.

두 보안 솔루션 모두 다 딥 디팬더와 앤드포인트 방화벽과 침입 방지에 필요한 여러 다른 기술들을 포함하고 있다. 두 보안 솔루션 모두 다 일반 컴퓨터, 매킨토시, 리눅스, 모바일, 그리고 가상 보안을 위한 솔루션이다.

두 보안 솔루션 모두 다 맥아피의 이폴리시 오케스트레이터(ePolicy Orchestrator) 관리 소프트웨어를 포함하고 있는데, 실시간 업데이트 기능을 지원한다.

헌트는 대기업용 엔드포인트 보호 제품(Complete Endpoint Protection-Enterprise)의 경우 동적 화이트리스트 기능과 관리자에게 보안이 더욱 취약한 부분에 대해 정보를 제공하는 맥아피 리스크 어드바이저(McAfee Risk Advisor)를 포함하며, 일반 기업용 제품(Complete Endpoint Protection-Business)의 경우 이런 기술들은 완벽한 디스크 암호화로 대체한다고 설명했다.

헌트는 "사람들은 거창하고 손쉬운 해결책을 원한다. 내재적으로 복잡한 기술을 바탕으로 어떻게 더욱 쉽게 해결책을 제시할 것인가? 이 두 가지 보안 솔루션은 맥아피에서 내놓은 이런 고민의 첫 번째 결실이며 여전히 맥아피는 조금씩 앞으로 나아가고자 한다"고 말했다.

또한 헌트는 "우리에게 있어 엔드포인트가 갖는 중요성은 매우 크다. 모든 경쟁업체들은 별도의 모바일 보안 솔루션이 있다. 하지만 그 생각이 옳은 지는 잘 모르겠다. 블루투스 키보드가 설치된 아이패드와 맥북에어의 차이는 거의 없다고 생각한다. 엔드포인트가 다르다고 해서 이를 차별화해서 생각하는 것은 의미가 없다. 노드(node)는 일반 컴퓨터나 매킨토시나 구분하지 않기 때문이다. 사용하는 방법이 같으면 위험도도 동일하다. 그래서 아이패드의 보안을 위해 별도의 솔루션을 구입하는 결정을 고객들이 내리지 않았으면 한다"고 말했다. editor@itworld.co.kr



2013.06.03

시그니처 기반 엔드포인트 보안의 한계 '대안은?'

Thor Olavsrud | CIO
전통적인 보안 솔루션은 악성코드를 예방하지 못하고 있다. 이는 마치 생존자가 건물 정문을 막는데는 성공했지만 좀비 무리들이 창문, 옥상, 차고를 통해 들어가는, 공포영화와 같다고 볼 수 있다.

보안업체 맥아피(McAfee) 엔드포인트 솔루션 담당 CTO 겸 부사장인 사이먼 헌트는 "매일 15만 건의 새로운 악성코드가 발견되고 있다. 악성코드의 공격은 예상치 못한 정도이고 우리는 수세적 입장을 취할 수 밖에 없다"고 말했다.

새로운 바이러스의 출몰 소식을 알기 전에, 누군가는 희생양이 되어 새로운 바이러스의 출현을 알려줘야 한다는 방식은 피해가 큰 소모적인 방식일 수밖에 없다.

시그니처 기반의 안티바이러스 솔루션 무용론
사이먼 헌트는 맥아피가 오랫동안 시그니처 기반의 접근법을 통해 악성코드에 대응해 왔지만 맥아피뿐만 아니라 비슷한 보안 솔루션 제조업체는 모두 실패하게 될 것이라는 점을 인정했다.

헌트는 "시그니처 기반의 접근법이 완전히 구식이라고 말할 수는 없으나 더 이상 사용하지 않을 것이다. 더 이상 이를 통해 악성코드에 대응할 수 없기 때문이다. 시그니처 확인을 통해 컴퓨터 실행속도가 느려지지 않는 것을 측정한다면 충분히 목적을 달성했다고 볼 수 있다. 컴퓨터의 최적 성능을 유지하기 위해 시그니처 기반의 접근법이 존재하는 것"이라고 말했다.

시그니처 기반의 접근법이 성능을 느리게 하지만, 누군가 희생양이 되어야 한다는 의미도 된다. 누군가 악성코드에 감염이 돼야만 그 악성코드가 감지되고 분석되며 다른 이들을 악성코드로부터 지켜낼 수 있는 것이다. 그동안 범죄자들은 시그니처 기반의 접근법으로는 막아낼 수 없는 새로운 악성코드를 만들 것이다.

명백한 사실은 시그니처 기반의 솔루션들이 오늘날의 악성코드 위협에 대응하는데 충분치 않다는 것이다. 하지만 맥아피에서는 이에 대해 종합적 보안 패키지를 제공한다. 이는 9가지로 나뉘는데 각기 다른 보안 기술을 담고 있다.

헌트는 "이런 도전 과제는 다양한 위협을 포함하며 이로 인해 고객들은 어려움을 겪는다. 일반적인 대기업의 행동은 새로운 위협이 나타나는 대로 새로운 대응 솔루션을 내놓는다는 것"이라고 말했다.

또한 그렇기 때문에 고객에게 많은 혼란을 야기한다. 새로운 접근법이 제안됐다. 따라서 맥아피는 엔드포인트 보호 정책에 대해 재고하게 됐고, 그 결과 다음의 두 가지 접근법을 내놓게 되었다.

맥아피의 새로운 엔드포인트 보안 솔루션
5월 29일 맥아피는 두 가지의 엔드포인트 보안솔루션을 발표했다.

하나는 기업대상, 다른 하나는 노드 숫자가 1,000회선 이하의 기업을 대상으로 한다. 헌트는 자사의 솔루션이 컴퓨터 칩을 운영체제와 애플리케이션과 연결하게 된 첫 사례"라고 말했다.

맥아피의 딥세이프 기술은 맥아피와 인텔이 공동으로 개발된 것이다. 인텔은 2011년 맥아피를 인수했다.

맥아피 딥 디펜더(McAfee Deep Defender)라고 명명된 이 기술은 메모리와 운영체제사이에 상주하며 실시간 메모리 및 CPU 감시를 수행한다. 실시간 커널차원의 감시는 커널 모드 루트킷 등 알려지지 않은 위험을 식별하고 제거해 낸다.

두 보안 솔루션 모두 다 딥 디팬더와 앤드포인트 방화벽과 침입 방지에 필요한 여러 다른 기술들을 포함하고 있다. 두 보안 솔루션 모두 다 일반 컴퓨터, 매킨토시, 리눅스, 모바일, 그리고 가상 보안을 위한 솔루션이다.

두 보안 솔루션 모두 다 맥아피의 이폴리시 오케스트레이터(ePolicy Orchestrator) 관리 소프트웨어를 포함하고 있는데, 실시간 업데이트 기능을 지원한다.

헌트는 대기업용 엔드포인트 보호 제품(Complete Endpoint Protection-Enterprise)의 경우 동적 화이트리스트 기능과 관리자에게 보안이 더욱 취약한 부분에 대해 정보를 제공하는 맥아피 리스크 어드바이저(McAfee Risk Advisor)를 포함하며, 일반 기업용 제품(Complete Endpoint Protection-Business)의 경우 이런 기술들은 완벽한 디스크 암호화로 대체한다고 설명했다.

헌트는 "사람들은 거창하고 손쉬운 해결책을 원한다. 내재적으로 복잡한 기술을 바탕으로 어떻게 더욱 쉽게 해결책을 제시할 것인가? 이 두 가지 보안 솔루션은 맥아피에서 내놓은 이런 고민의 첫 번째 결실이며 여전히 맥아피는 조금씩 앞으로 나아가고자 한다"고 말했다.

또한 헌트는 "우리에게 있어 엔드포인트가 갖는 중요성은 매우 크다. 모든 경쟁업체들은 별도의 모바일 보안 솔루션이 있다. 하지만 그 생각이 옳은 지는 잘 모르겠다. 블루투스 키보드가 설치된 아이패드와 맥북에어의 차이는 거의 없다고 생각한다. 엔드포인트가 다르다고 해서 이를 차별화해서 생각하는 것은 의미가 없다. 노드(node)는 일반 컴퓨터나 매킨토시나 구분하지 않기 때문이다. 사용하는 방법이 같으면 위험도도 동일하다. 그래서 아이패드의 보안을 위해 별도의 솔루션을 구입하는 결정을 고객들이 내리지 않았으면 한다"고 말했다. editor@itworld.co.kr

X