2018.05.28

'정의, 동향, 주요 업체'로 알아보는 엔드포인트 보안

Josh Fruhlinger | CSO
엔드포인트 보안은 여러 방면으로 IT 초기 시대에 있었던 컴퓨터 보호 형태의 직계 후손이다. 하지만 조직들이 악성코드와 침입자를 방어하기 위해 자체 네트워크에서 PC, 서버, 휴대전화에 대한 통제권을 조율하려 시도하면서 빠르게 성장하는 카테고리이기도 하다. 많은 업체들이 고객들의 관심과 돈을 얻기 위해 다투면서 앞으로 업계에 어떤 일이 닥칠지 살펴보도록 하자.



엔드포인트 보안이란 무엇인가?

엔드포인트 보안은 네트워크를 보호하기 위해 각 컴퓨터, 휴대전화, 태블릿, 기타 네트워크 지원 장비 등 엔드포인트에 제재를 가하는 데 초점을 맞추는 보안 접근방식이다. PC의 방화벽과 백신 소프트웨어에 붙이는 세련된 이름처럼 보일 수도 있으며 실제로 해당 카테고리 초기에는 백신 제품들이 최첨단인 것처럼 보이기 위한 마케팅 유행어가 아니냐는 의심도 있었다.

하지만 엔드포인트 보안 제품과 단순한 가정용 컴퓨터 보호의 차이점은 엔드포인트에서의 보안 툴을 기업 IT부서가 중앙에서 관리한다는 것이다. 보안 조치는 2개의 계층에서 실행된다. 엔드포인트에서 백그라운드(Background)로 실행되는 소프트웨어 에이전트가 있고 에이전트를 모니터링하고 통제하는 중앙의 엔드포인트 보안 관리 시스템이 있다. 이 관리 시스템은 IT직원이나 자동화된 시스템이 모니터링하는 제어판이나 그 둘의 조합일 수 있다(자세한 이야기는 나중에 하도록 하겠다).

엔드포인트 보호와 엔드포인트 보안이라는 표현을 구분 없이 사용하는 것을 본 적이 있을 것이다. 가트너는 엔드포인트 보호 플랫폼을 "엔드포인트 장비 보안 기능을 하나의 화합하는 솔루션으로 백신, 스파이웨어 방지, 개인 방화벽, 애플리케이션 관리 및 기타 호스트 침입 방지 스타일(행동 차단 등)을 제공하는 단일 제품에 융합시키는 솔루션"으로 정의한다. 엄격히 따진다면 이 용어에는 중앙에서 관리하지 않지만 기업 수준의 고객들에게 판매되는 모든 제품이 포함될 수 있다. 그렇다. 때로는 기업들이 자사의 백신 제품을 ‘엔드포인트 보호’라고 홍보할 때가 있다. 구매자들이 판단해야 한다.

엔드포인트 보안 동향
물론, 위협이 커지면서 엔드포인트 보안 스위트도 발전해야 한다. 2018년, 엔드포인트 보안 업체들은 다음의 5가지 트렌드를 따라잡기 위해 노력할 것이다.

1. 머신러닝과 AI. 위협이 가속화되면서 인간이 실시간으로 따라잡을 수 없을 만큼 많고 빨라질 것이다. 지루한 엔드포인트 보안 대부분은 점차 자동화될 것이고 머신러닝과 인공지능이 트래픽을 검사하고 위협을 식별하며 가장 긴급한 필요만 인간에게 요청될 것이다. 예를 들어, 머신러닝 기능은 이미 마이크로소프트의 엔드포인트 보안 제품에서 제공되고 있다.

2. SaaS 기반의 엔드포인트 보안. 전통적인 중앙 집중식 엔드포인트 보안 관리 시스템은 조직이 자체적으로 배치하고 관리하는 서버나 기기에서 구동한다. 하지만 클라우드 또는 SaaS 기반 서비스가 점차 IT의 일상 활동으로 간주되면서 엔드포인트 보안 관리가 하나의 서비스로 제공되고 있으며 파이어아이, 웹루트(Webroot), 카본 블랙(Carbon Black), 사이버리즌(Cybereason), 몰픽(Morphick) 등의 업체들이 모두 해당 부문으로 이동하고 있다. 어떤 점에서는 머신러닝으로의 움직임과 다르지 않다. 기업들은 내부 인력의 엔드포인트 보안 관리 책임을 덜어주고 있으며 여러 SaaS 서비스들도 보이지 않는 곳에서 머신러닝을 사용하고 있다. 그 결과, 관리형 보안 제공자가 시장 세그먼트로 등장했다.

3. 파일리스 어택(Fileless Attack)에 대한 계층화된 보호. 모두 RAM 안에 존재하며 디스크에 절대로 작성되지 않는 악성코드에 의해 발생하는 파일리스 어택은 놀라운 속도로 발전하는 공격 벡터(Vector)이다. 엔드포인트 보안 업체들은 이런 종류의 공격에 대항하는 데 필요한 계층화된 방어를 제공한다. 기존의 툴은 잘못된 긍정 정보를 대거 생성할 수 있고 이런 것들을 추적하기 위해서는 귀중한 IT자원이 낭비되기 때문에 이것을 자동화 및 머신러닝과 결합해야 할 필요가 있는 경우가 많다. 하지만 어느 엔드포인트 보안 업체나 걱정하는 고객에게 이런 중요한 기능을 제공해야 한다.

4. IoT 기기를 보호 범위 안에 두기. 지난 수년 동안의 인터넷 보안에 관한 이야기 중에서 카메라, 센서, 라우터 등 말 그대로 수십억 개의 인터넷에 연결된 ‘사물’이 컴퓨팅 및 네트워킹 기능이 있는 기기에 필요한 보호책 없이 조용히 작동하고 있다는 이야기가 가장 충격적이었다. 예를 들어, 멀리 볼 것 없이 대학생들이 경쟁자인 마인크래프트 서버 호스트에 대한 디도스 공격을 수행하기 위해 수천 개의 폐쇄 회로 TV 카메라를 장악하여 개발했다가 실수로 역사상 가장 큰 규모의 서비스 거부 공격을 자행한 미라이 봇넷을 보면 알 수 있다. 많은 IoT 기기들이 관리하기 어려운 맞춤 OS로 구동하고 있지만 대부분은 리눅스, iOS, 안드로이드, 윈도우 변종으로 구동하며 엔드포인트 관리 업체들은 그것들에서 구동할 수 있는 소프트웨어 에이전트를 개발하고 이것들을 도입하기 시작했다.

5. 복잡성 감소 및 에이전트 통합. 시작 세그먼트가 성장하면서 많은 엔드포인트 보안 업체들이 특정 종류의 공격이나 취약성을 겨냥하여 증식하고 갈피를 못 잡는 일련의 툴을 제공했다. 그 결과, 기업들이 각각 별도로 관리해야 하는 최대 7가지의 소프트웨어 에이전트를 각 엔드포인트에서 구동하게 되었다. 엔드포인트 보안 기업들은 자사 제품을 하나의 스위트(Suite)에 통합하려 하고 있다. 예를 들어, 시만텍은 하나의 공통 엔드포인트 보안 에이전트가 있는 스위트가 있다.

미래는 어떠한가? ESG는 사이버 보안 및 IT 전문가들을 대상으로 가장 중요한 엔드포인트 보안 과제에 대해 설문조사를 했다. 허위 경보와 자동화 부재 외에 많은 이들이 프로세스 종료, 파일 삭제, 시스템 이미지 롤백(Roll Back)을 포함하여 IT직원들이 해킹된 시스템을 수동적으로 반복하여 이미지를 다시 작성하지 않아도 되는 내부적인 개선 역량이 필요하다고 언급했다. 스마트한 업체들이 있다면 귀담아들었으면 좋겠다.


엔드포인트 보안 소프트웨어와 툴
가트너의 2017년 고객 선정 대상(Customer Choice Awards)을 보면 엔드포인트 보안 업체 부문에 대해 파악할 수 있다. 소비자 부문에서 유명한 마이크로소프트와 시만텍 그리고 좀 더 특화된 사일랜스(Cylance), 크라우드스트라이크(CrowdStrike), 카본 블랙 등의 이름을 들어 보았을 것이다. 가트너도 엔드포인트 보안 소프트웨어를 비교할 수 있는 링크를 제공한다.

이런 제품에 대한 좀 더 자세한 정보는 <CSO>의 엔드포인트 보안 소프트웨어 리뷰를 참조하자.

• 디지털 가디언(Digital Guardian): DGTADPP(Digital Guardian Threat Aware Data Protection Platform)는 최전방에서 발전된 위협에 대항하기 위해 노력하고 있으며 주체 조직이 불편하지 않은 자동화 수준으로 구내에서 로컬로 또는 서비스로 즉시 배치할 수 있는 엔드포인트 보안을 제공한다.

• 엔사일로(enSilo): 엔사일로 플랫폼은 감염 후 보호를 제공하는 기능과 함께 전통적인 엔드포인트 보안을 제공한다. 또한 위협을 억제하여 위협 사냥꾼이 도착하여 조사할 수 있을 때까지 위치를 바꾸지 못하고 피해도 끼치지 못하도록 할 수 있다.

• 미네르바(Minerva): 미네르바의 AEP(Anti-Evasion Platform)의 표적은 새로운 종류의 환경 인식 악성코드다. 대부분의 일반적인 위협은 전통적인 백신이 차단하고 미네르바는 이런 보호책을 우회하려는 것들을 막는 것이 핵심이다.

• 프로미섹(Promisec): 모든 조직은 약간의 도움을 받아 위협 감지 및 대응 그리고 기업 내에서 매일 발생하는 많은 문제를 관리할 수 있다. 프로미섹은 이런 도움을 제공하여 엔드포인트의 준수성을 강제할 수 있고, 원한다면 자동으로 처리할 수 있으며 이것들을 감시하여 준수성을 유지하도록 할 수 있다.
ciokr@idg.co.kr
 



2018.05.28

'정의, 동향, 주요 업체'로 알아보는 엔드포인트 보안

Josh Fruhlinger | CSO
엔드포인트 보안은 여러 방면으로 IT 초기 시대에 있었던 컴퓨터 보호 형태의 직계 후손이다. 하지만 조직들이 악성코드와 침입자를 방어하기 위해 자체 네트워크에서 PC, 서버, 휴대전화에 대한 통제권을 조율하려 시도하면서 빠르게 성장하는 카테고리이기도 하다. 많은 업체들이 고객들의 관심과 돈을 얻기 위해 다투면서 앞으로 업계에 어떤 일이 닥칠지 살펴보도록 하자.



엔드포인트 보안이란 무엇인가?

엔드포인트 보안은 네트워크를 보호하기 위해 각 컴퓨터, 휴대전화, 태블릿, 기타 네트워크 지원 장비 등 엔드포인트에 제재를 가하는 데 초점을 맞추는 보안 접근방식이다. PC의 방화벽과 백신 소프트웨어에 붙이는 세련된 이름처럼 보일 수도 있으며 실제로 해당 카테고리 초기에는 백신 제품들이 최첨단인 것처럼 보이기 위한 마케팅 유행어가 아니냐는 의심도 있었다.

하지만 엔드포인트 보안 제품과 단순한 가정용 컴퓨터 보호의 차이점은 엔드포인트에서의 보안 툴을 기업 IT부서가 중앙에서 관리한다는 것이다. 보안 조치는 2개의 계층에서 실행된다. 엔드포인트에서 백그라운드(Background)로 실행되는 소프트웨어 에이전트가 있고 에이전트를 모니터링하고 통제하는 중앙의 엔드포인트 보안 관리 시스템이 있다. 이 관리 시스템은 IT직원이나 자동화된 시스템이 모니터링하는 제어판이나 그 둘의 조합일 수 있다(자세한 이야기는 나중에 하도록 하겠다).

엔드포인트 보호와 엔드포인트 보안이라는 표현을 구분 없이 사용하는 것을 본 적이 있을 것이다. 가트너는 엔드포인트 보호 플랫폼을 "엔드포인트 장비 보안 기능을 하나의 화합하는 솔루션으로 백신, 스파이웨어 방지, 개인 방화벽, 애플리케이션 관리 및 기타 호스트 침입 방지 스타일(행동 차단 등)을 제공하는 단일 제품에 융합시키는 솔루션"으로 정의한다. 엄격히 따진다면 이 용어에는 중앙에서 관리하지 않지만 기업 수준의 고객들에게 판매되는 모든 제품이 포함될 수 있다. 그렇다. 때로는 기업들이 자사의 백신 제품을 ‘엔드포인트 보호’라고 홍보할 때가 있다. 구매자들이 판단해야 한다.

엔드포인트 보안 동향
물론, 위협이 커지면서 엔드포인트 보안 스위트도 발전해야 한다. 2018년, 엔드포인트 보안 업체들은 다음의 5가지 트렌드를 따라잡기 위해 노력할 것이다.

1. 머신러닝과 AI. 위협이 가속화되면서 인간이 실시간으로 따라잡을 수 없을 만큼 많고 빨라질 것이다. 지루한 엔드포인트 보안 대부분은 점차 자동화될 것이고 머신러닝과 인공지능이 트래픽을 검사하고 위협을 식별하며 가장 긴급한 필요만 인간에게 요청될 것이다. 예를 들어, 머신러닝 기능은 이미 마이크로소프트의 엔드포인트 보안 제품에서 제공되고 있다.

2. SaaS 기반의 엔드포인트 보안. 전통적인 중앙 집중식 엔드포인트 보안 관리 시스템은 조직이 자체적으로 배치하고 관리하는 서버나 기기에서 구동한다. 하지만 클라우드 또는 SaaS 기반 서비스가 점차 IT의 일상 활동으로 간주되면서 엔드포인트 보안 관리가 하나의 서비스로 제공되고 있으며 파이어아이, 웹루트(Webroot), 카본 블랙(Carbon Black), 사이버리즌(Cybereason), 몰픽(Morphick) 등의 업체들이 모두 해당 부문으로 이동하고 있다. 어떤 점에서는 머신러닝으로의 움직임과 다르지 않다. 기업들은 내부 인력의 엔드포인트 보안 관리 책임을 덜어주고 있으며 여러 SaaS 서비스들도 보이지 않는 곳에서 머신러닝을 사용하고 있다. 그 결과, 관리형 보안 제공자가 시장 세그먼트로 등장했다.

3. 파일리스 어택(Fileless Attack)에 대한 계층화된 보호. 모두 RAM 안에 존재하며 디스크에 절대로 작성되지 않는 악성코드에 의해 발생하는 파일리스 어택은 놀라운 속도로 발전하는 공격 벡터(Vector)이다. 엔드포인트 보안 업체들은 이런 종류의 공격에 대항하는 데 필요한 계층화된 방어를 제공한다. 기존의 툴은 잘못된 긍정 정보를 대거 생성할 수 있고 이런 것들을 추적하기 위해서는 귀중한 IT자원이 낭비되기 때문에 이것을 자동화 및 머신러닝과 결합해야 할 필요가 있는 경우가 많다. 하지만 어느 엔드포인트 보안 업체나 걱정하는 고객에게 이런 중요한 기능을 제공해야 한다.

4. IoT 기기를 보호 범위 안에 두기. 지난 수년 동안의 인터넷 보안에 관한 이야기 중에서 카메라, 센서, 라우터 등 말 그대로 수십억 개의 인터넷에 연결된 ‘사물’이 컴퓨팅 및 네트워킹 기능이 있는 기기에 필요한 보호책 없이 조용히 작동하고 있다는 이야기가 가장 충격적이었다. 예를 들어, 멀리 볼 것 없이 대학생들이 경쟁자인 마인크래프트 서버 호스트에 대한 디도스 공격을 수행하기 위해 수천 개의 폐쇄 회로 TV 카메라를 장악하여 개발했다가 실수로 역사상 가장 큰 규모의 서비스 거부 공격을 자행한 미라이 봇넷을 보면 알 수 있다. 많은 IoT 기기들이 관리하기 어려운 맞춤 OS로 구동하고 있지만 대부분은 리눅스, iOS, 안드로이드, 윈도우 변종으로 구동하며 엔드포인트 관리 업체들은 그것들에서 구동할 수 있는 소프트웨어 에이전트를 개발하고 이것들을 도입하기 시작했다.

5. 복잡성 감소 및 에이전트 통합. 시작 세그먼트가 성장하면서 많은 엔드포인트 보안 업체들이 특정 종류의 공격이나 취약성을 겨냥하여 증식하고 갈피를 못 잡는 일련의 툴을 제공했다. 그 결과, 기업들이 각각 별도로 관리해야 하는 최대 7가지의 소프트웨어 에이전트를 각 엔드포인트에서 구동하게 되었다. 엔드포인트 보안 기업들은 자사 제품을 하나의 스위트(Suite)에 통합하려 하고 있다. 예를 들어, 시만텍은 하나의 공통 엔드포인트 보안 에이전트가 있는 스위트가 있다.

미래는 어떠한가? ESG는 사이버 보안 및 IT 전문가들을 대상으로 가장 중요한 엔드포인트 보안 과제에 대해 설문조사를 했다. 허위 경보와 자동화 부재 외에 많은 이들이 프로세스 종료, 파일 삭제, 시스템 이미지 롤백(Roll Back)을 포함하여 IT직원들이 해킹된 시스템을 수동적으로 반복하여 이미지를 다시 작성하지 않아도 되는 내부적인 개선 역량이 필요하다고 언급했다. 스마트한 업체들이 있다면 귀담아들었으면 좋겠다.


엔드포인트 보안 소프트웨어와 툴
가트너의 2017년 고객 선정 대상(Customer Choice Awards)을 보면 엔드포인트 보안 업체 부문에 대해 파악할 수 있다. 소비자 부문에서 유명한 마이크로소프트와 시만텍 그리고 좀 더 특화된 사일랜스(Cylance), 크라우드스트라이크(CrowdStrike), 카본 블랙 등의 이름을 들어 보았을 것이다. 가트너도 엔드포인트 보안 소프트웨어를 비교할 수 있는 링크를 제공한다.

이런 제품에 대한 좀 더 자세한 정보는 <CSO>의 엔드포인트 보안 소프트웨어 리뷰를 참조하자.

• 디지털 가디언(Digital Guardian): DGTADPP(Digital Guardian Threat Aware Data Protection Platform)는 최전방에서 발전된 위협에 대항하기 위해 노력하고 있으며 주체 조직이 불편하지 않은 자동화 수준으로 구내에서 로컬로 또는 서비스로 즉시 배치할 수 있는 엔드포인트 보안을 제공한다.

• 엔사일로(enSilo): 엔사일로 플랫폼은 감염 후 보호를 제공하는 기능과 함께 전통적인 엔드포인트 보안을 제공한다. 또한 위협을 억제하여 위협 사냥꾼이 도착하여 조사할 수 있을 때까지 위치를 바꾸지 못하고 피해도 끼치지 못하도록 할 수 있다.

• 미네르바(Minerva): 미네르바의 AEP(Anti-Evasion Platform)의 표적은 새로운 종류의 환경 인식 악성코드다. 대부분의 일반적인 위협은 전통적인 백신이 차단하고 미네르바는 이런 보호책을 우회하려는 것들을 막는 것이 핵심이다.

• 프로미섹(Promisec): 모든 조직은 약간의 도움을 받아 위협 감지 및 대응 그리고 기업 내에서 매일 발생하는 많은 문제를 관리할 수 있다. 프로미섹은 이런 도움을 제공하여 엔드포인트의 준수성을 강제할 수 있고, 원한다면 자동으로 처리할 수 있으며 이것들을 감시하여 준수성을 유지하도록 할 수 있다.
ciokr@idg.co.kr
 

X