2018.09.18

리뷰 | 센티넬원, 에이전트 방식 엔드포인트 보호의 정수

John Breeden | CSO
엔드포인트 보호는 엔드포인트 자체에 있는 서명 기반 바이러스 백신 프로그램으로 시작됐다. 이후 시간이 흐르며 엔드포인트의 보호 기술은 행동 분석을 포함하고 머신러닝과 인공지능을 사용해 위협을 탐지하는 등 상당한 수준으로 발전했다. 심지어 이러한 작업의 ‘브레인’은 네트워크 더 깊은 곳으로 이전했음에도 말이다. 실제로 오늘날 많은 엔드포인트 보호 프로그램이 더는 엔드포인트에 있지 않다. 위협 요소가 내부망 침투를 시도해 응답을 요청할 때만 엔드포인트에 신호를 보낸다.

반면 센티넬원(SentinelOne)의 접근법은 조금 다르다. 고급 탐지 및 대응 기능을 갖춘 강력한 에이전트를 엔드포인트에 배치해 최전선에서 위협을 차단한다. 모든 에이전트는 완전히 독립적이며, 보호하는 엔드포인트가 코어 네트워크에서 연결이 끊겼거나 연결이 전혀 없는 경우에도 작동한다. 독립적으로 실행하는 것 외에도, 각 에이전트는 발생한 공격, 또는 공격 시도에 대한 상세한 포렌식 데이터 수집 역할을 한다.

이들 에이전트는 유사한 위협 및 활동 중인 공격 시도를 알리기 위해 중앙 관리 콘솔로 리포트 한다. 이 정보와 보안 담당자가 수행한 모든 작업은 다른 모든 에이전트로 전송되며 나중에 다른 에이전트가 유사한 위협을 발견할 때 어떻게 처리할지도 안내한다.

센티넬원의 에이전트 설정 및 제어는 관리 콘솔에서 할 수 있다. 모든 에이전트는 완전히 독립적이며, 보호 중인 장치가 네트워크에서 연결이 끊길 때도 작동한다.

센티넬원이 배포한 에이전트는 윈도우 7 또는 윈도우 XP 레거시 에이전트를 비롯해 여러 플랫폼에서 사용할 수 있다. 또한 대부분 버전의 윈도우 서버와 리눅스에서도 구동이 가능하며, OS X 엘캐피탄 같은 맥 시스템의 여러 제품군에서도 연동된다. 에이전트는 클라이언트 시스템에서 수 백MB 정도의 공간을 차지하며, 평균 CPU 사용률은 1% 미만이다. 또한 VDI 환경 또는 클라우드 인스턴스에도 배포할 수 있다.

센티넬원의 가격은 프로그램이 보호하는 엔드포인트 수를 기준으로 책정한 연간 요금이다. 센티넬원은 로컬로 설치 및 관리하거나, 심지어 무선 연결 네트워크에 설치하거나 클라우드를 통해 관리할 수도 있다. 또한 필요에 따라 기존 보안 팀을 지원하거나 센티넬원을 서비스의 일부로 모니터링하고 관리할 수 있는 SaaS 옵션도 제공한다.

센티넬원 테스팅
에이전트가 설치되면 관리자는 환경 및 보안 허용오차에 따라 에이전트를 구성해야 하며, 모든 작업은 관리 콘솔에서 수행한다. 에이전트 정책은 충돌을 방지하기 위해 계층에 기반한다.

에이전트 설정은 매우 상세해야 한다. 충돌을 방지하기 위해서는 규칙을 위계적, 수직적으로 적용해야 한다. 또한 어떤 동작이나 프로그램 요소를 특정 시스템의 보호에서 제외할 수 있다.

예를 들어, 이번 리뷰에서는 시카고 지사에서 일하는 직원을 위한 하나의 규칙 집합을 만들고 소프트웨어 개발에 종사하는 사람은 더 엄격한 정책을 만들어 테스트하기로 했다. 개발 정책을 시카고 지사 규칙보다 위에 두면 시카고에서 일하는 모든 개발자가 더 엄격한 규제를 받게 될 것이다. 반대로 시카고 지사 규칙을 개발 정책보다 위에 두면 개발자에게 더 관대한 규칙이 적용된다. 어쨌든, 이러한 설정은 그림자 규칙이나 내부 충돌을 예방해 줬다.

AI와 머신러닝 기능을 사용하는 대부분 프로그램과 달리 센티넬원은 각 프로그램이 왜 악성코드로 표시됐는지 그 이유를 자세히 설명하기 위해 많은 노력을 기울였다.
센티넬원 에이전트가 보호하는 시스템을 테스트하기 위해 먼저 네트워크와 에이전트의 연결을 끊은 다음 정교한 악성코드를 사용해 공격했다. 센티넬원의 에이전트는 파일의 실행을 차단하고 시스템에서 해당 파일의 모든 인스턴스를 지웠다. 클라이언트가 다시 연결되자마자, 에이전트는 파일이 무엇을 하려고 하는지, 그리고 거기에 대해 어떻게 대응했는지에 대한 완전한 포렌식 기록을 중앙 콘솔에 보고했다. 사용자는 원할 경우 네트워크의 다른 모든 에이전트에게 그 계획이 전달 되도록 할 수 있다.

이번 리뷰에서 악성코드는 엑셀 스프레드시트 위반 파일이었다. 센티넬원은 네트워크 엔드포인트에 같은 스프레드시트의 다른 인스턴스 5건이 있음을 경고했다. 아직 열지 않았으므로 악성코드에 대한 정확한 정보는 파악할 수 없었지만, 최소한 악성코드가 있다는 것은 인지한 것이다. 중앙 콘솔에서 해당 에이전트에게 파일을 삭제하도록 명령한 후 이러한 악성코드가 다시 나타날 경우 다른 모든 에이전트도 같은 작업을 수행하도록 지시했다.

센티넬원은 머신러닝을 사용해 공격 패턴과 대응 방식 등을 학습하므로, 다른 모든 독립된 에이전트에도 앞으로 같은 방식으로 대응하도록 할 수 있다.

다음 테스트에서는 에이전트 중 하나를 대응 모드에서 모니터링 모드로 전환했다. 이렇게 하면 랜섬웨어가 엔드포인트를 완전히 장악하고 암호화하는 것을 허용하게 된다. 여기서는 테스트이므로 우리는 랜섬웨어 노트가 여기저기서 튀어 나오고, 모든 파일이 이상하게 변해 가는 '소름 돋는' 장면을 계속 지켜봤다. 일반적인 경우라면 이미 시스템이 완전히 파괴되기 때문에 완전히 지우고, 오프사이트 백업을 다시 불러와야 하겠지만, 센티넬원에게는 이 정도 랜섬웨어는 사소한 문제에 불과했다.

센티넬원 에이전트는 무단 변경이 불가능하다. 따라서 악의적인 프로그램이 이를 덮어쓰거나 수정할 수 없다. 또한 센티넬원은 엔드포인트 내에서 중요한 영역을 보호한다. 악성코드가 마이크로소프트 볼륨 섀도우 카피 데이터와 서비스를 지우려고 시도했지만, 센티넬원이 이를 차단했다.

우리는 관리 콘솔을 통해 악성코드 알림에 적절하게 대응할 수 있었다. 모든 에이전트에게 시스템을 복원하고 모든 파일을 잠금 전 상태로 돌려 놓으라는 명령을 내린 것이다. 재부팅을 통해서만 없앨 수 있는 랜섬 노트를 제외하면, 랜섬웨어 공격이 없었던 일인 것처럼 말끔하게 이전 상태로 돌아갈 수 있었다. 심지어 이것은 센티넬원이 탐지(모니터링) 모드에 있었기 때문에 이 정도까지 공격이 진행될 수 있었던 것이고, 대응 모드로 실행되었다면 여기까지 오지도 못했을 것이다.

센티넬원이 악성 파일 삭제와 같은 작업을 수행할 때 엔드포인트에 있는 사용자는 이에 대한 알림을 받아 볼 수도 있지만, 원한다면 이러한 작업이 조용히 배경에서만 이루어지도록 할 수도 있고, 부분적으로만 알림이 오도록 할 수도 있다.

또한, 센티넬원은 엔드포인트에 대한 강력한 악성코드 방지 및 감염된 시스템을 정상 상태로 롤백하는 기능 외에도 공격에 대한 세세한 포렌식 기록을 제공한다. 이러한 자료는 사이버 보안 팀이 공격자의 툴과 전술, 타깃을 파악하는 데 도움을 줄 것이다.

센티넬원은 공격을 멈추고, 또 시스템을 공격 이전 상태로 되돌리는 것 외에도 악성코드가 수행한 작업, 접촉한 사용자, 향후 방지 대책에 대한 상세한 포렌식 자료를 함께 제공한다.

결론
센티넬원은 엔드포인트에 강력하고, 안전하며, 독립적인 에이전트를 배치하기 때문에 갈수록 정교해지는 공격에 대해 커다란 이점을 갖는다. 그리고 이러한 에이전트는 독립적으로 행동할 수 있기 때문에 공격에 즉각적으로 대응할 수 있고, 추후 분석을 위해 관련 정보를 보안 팀과 공유할 수도 있다. 센티넬원의 에이전트는 고작 수 백MB의 스토리지 공간과 1% CPU 만을 활용해 위협 요소가 핵심 네트워크에 도달하기 전에 이를 차단함으로써 엔드포인트에 꼭 필요한 보호 기능을 제공한다. ciokr@idg.co.kr 



2018.09.18

리뷰 | 센티넬원, 에이전트 방식 엔드포인트 보호의 정수

John Breeden | CSO
엔드포인트 보호는 엔드포인트 자체에 있는 서명 기반 바이러스 백신 프로그램으로 시작됐다. 이후 시간이 흐르며 엔드포인트의 보호 기술은 행동 분석을 포함하고 머신러닝과 인공지능을 사용해 위협을 탐지하는 등 상당한 수준으로 발전했다. 심지어 이러한 작업의 ‘브레인’은 네트워크 더 깊은 곳으로 이전했음에도 말이다. 실제로 오늘날 많은 엔드포인트 보호 프로그램이 더는 엔드포인트에 있지 않다. 위협 요소가 내부망 침투를 시도해 응답을 요청할 때만 엔드포인트에 신호를 보낸다.

반면 센티넬원(SentinelOne)의 접근법은 조금 다르다. 고급 탐지 및 대응 기능을 갖춘 강력한 에이전트를 엔드포인트에 배치해 최전선에서 위협을 차단한다. 모든 에이전트는 완전히 독립적이며, 보호하는 엔드포인트가 코어 네트워크에서 연결이 끊겼거나 연결이 전혀 없는 경우에도 작동한다. 독립적으로 실행하는 것 외에도, 각 에이전트는 발생한 공격, 또는 공격 시도에 대한 상세한 포렌식 데이터 수집 역할을 한다.

이들 에이전트는 유사한 위협 및 활동 중인 공격 시도를 알리기 위해 중앙 관리 콘솔로 리포트 한다. 이 정보와 보안 담당자가 수행한 모든 작업은 다른 모든 에이전트로 전송되며 나중에 다른 에이전트가 유사한 위협을 발견할 때 어떻게 처리할지도 안내한다.

센티넬원의 에이전트 설정 및 제어는 관리 콘솔에서 할 수 있다. 모든 에이전트는 완전히 독립적이며, 보호 중인 장치가 네트워크에서 연결이 끊길 때도 작동한다.

센티넬원이 배포한 에이전트는 윈도우 7 또는 윈도우 XP 레거시 에이전트를 비롯해 여러 플랫폼에서 사용할 수 있다. 또한 대부분 버전의 윈도우 서버와 리눅스에서도 구동이 가능하며, OS X 엘캐피탄 같은 맥 시스템의 여러 제품군에서도 연동된다. 에이전트는 클라이언트 시스템에서 수 백MB 정도의 공간을 차지하며, 평균 CPU 사용률은 1% 미만이다. 또한 VDI 환경 또는 클라우드 인스턴스에도 배포할 수 있다.

센티넬원의 가격은 프로그램이 보호하는 엔드포인트 수를 기준으로 책정한 연간 요금이다. 센티넬원은 로컬로 설치 및 관리하거나, 심지어 무선 연결 네트워크에 설치하거나 클라우드를 통해 관리할 수도 있다. 또한 필요에 따라 기존 보안 팀을 지원하거나 센티넬원을 서비스의 일부로 모니터링하고 관리할 수 있는 SaaS 옵션도 제공한다.

센티넬원 테스팅
에이전트가 설치되면 관리자는 환경 및 보안 허용오차에 따라 에이전트를 구성해야 하며, 모든 작업은 관리 콘솔에서 수행한다. 에이전트 정책은 충돌을 방지하기 위해 계층에 기반한다.

에이전트 설정은 매우 상세해야 한다. 충돌을 방지하기 위해서는 규칙을 위계적, 수직적으로 적용해야 한다. 또한 어떤 동작이나 프로그램 요소를 특정 시스템의 보호에서 제외할 수 있다.

예를 들어, 이번 리뷰에서는 시카고 지사에서 일하는 직원을 위한 하나의 규칙 집합을 만들고 소프트웨어 개발에 종사하는 사람은 더 엄격한 정책을 만들어 테스트하기로 했다. 개발 정책을 시카고 지사 규칙보다 위에 두면 시카고에서 일하는 모든 개발자가 더 엄격한 규제를 받게 될 것이다. 반대로 시카고 지사 규칙을 개발 정책보다 위에 두면 개발자에게 더 관대한 규칙이 적용된다. 어쨌든, 이러한 설정은 그림자 규칙이나 내부 충돌을 예방해 줬다.

AI와 머신러닝 기능을 사용하는 대부분 프로그램과 달리 센티넬원은 각 프로그램이 왜 악성코드로 표시됐는지 그 이유를 자세히 설명하기 위해 많은 노력을 기울였다.
센티넬원 에이전트가 보호하는 시스템을 테스트하기 위해 먼저 네트워크와 에이전트의 연결을 끊은 다음 정교한 악성코드를 사용해 공격했다. 센티넬원의 에이전트는 파일의 실행을 차단하고 시스템에서 해당 파일의 모든 인스턴스를 지웠다. 클라이언트가 다시 연결되자마자, 에이전트는 파일이 무엇을 하려고 하는지, 그리고 거기에 대해 어떻게 대응했는지에 대한 완전한 포렌식 기록을 중앙 콘솔에 보고했다. 사용자는 원할 경우 네트워크의 다른 모든 에이전트에게 그 계획이 전달 되도록 할 수 있다.

이번 리뷰에서 악성코드는 엑셀 스프레드시트 위반 파일이었다. 센티넬원은 네트워크 엔드포인트에 같은 스프레드시트의 다른 인스턴스 5건이 있음을 경고했다. 아직 열지 않았으므로 악성코드에 대한 정확한 정보는 파악할 수 없었지만, 최소한 악성코드가 있다는 것은 인지한 것이다. 중앙 콘솔에서 해당 에이전트에게 파일을 삭제하도록 명령한 후 이러한 악성코드가 다시 나타날 경우 다른 모든 에이전트도 같은 작업을 수행하도록 지시했다.

센티넬원은 머신러닝을 사용해 공격 패턴과 대응 방식 등을 학습하므로, 다른 모든 독립된 에이전트에도 앞으로 같은 방식으로 대응하도록 할 수 있다.

다음 테스트에서는 에이전트 중 하나를 대응 모드에서 모니터링 모드로 전환했다. 이렇게 하면 랜섬웨어가 엔드포인트를 완전히 장악하고 암호화하는 것을 허용하게 된다. 여기서는 테스트이므로 우리는 랜섬웨어 노트가 여기저기서 튀어 나오고, 모든 파일이 이상하게 변해 가는 '소름 돋는' 장면을 계속 지켜봤다. 일반적인 경우라면 이미 시스템이 완전히 파괴되기 때문에 완전히 지우고, 오프사이트 백업을 다시 불러와야 하겠지만, 센티넬원에게는 이 정도 랜섬웨어는 사소한 문제에 불과했다.

센티넬원 에이전트는 무단 변경이 불가능하다. 따라서 악의적인 프로그램이 이를 덮어쓰거나 수정할 수 없다. 또한 센티넬원은 엔드포인트 내에서 중요한 영역을 보호한다. 악성코드가 마이크로소프트 볼륨 섀도우 카피 데이터와 서비스를 지우려고 시도했지만, 센티넬원이 이를 차단했다.

우리는 관리 콘솔을 통해 악성코드 알림에 적절하게 대응할 수 있었다. 모든 에이전트에게 시스템을 복원하고 모든 파일을 잠금 전 상태로 돌려 놓으라는 명령을 내린 것이다. 재부팅을 통해서만 없앨 수 있는 랜섬 노트를 제외하면, 랜섬웨어 공격이 없었던 일인 것처럼 말끔하게 이전 상태로 돌아갈 수 있었다. 심지어 이것은 센티넬원이 탐지(모니터링) 모드에 있었기 때문에 이 정도까지 공격이 진행될 수 있었던 것이고, 대응 모드로 실행되었다면 여기까지 오지도 못했을 것이다.

센티넬원이 악성 파일 삭제와 같은 작업을 수행할 때 엔드포인트에 있는 사용자는 이에 대한 알림을 받아 볼 수도 있지만, 원한다면 이러한 작업이 조용히 배경에서만 이루어지도록 할 수도 있고, 부분적으로만 알림이 오도록 할 수도 있다.

또한, 센티넬원은 엔드포인트에 대한 강력한 악성코드 방지 및 감염된 시스템을 정상 상태로 롤백하는 기능 외에도 공격에 대한 세세한 포렌식 기록을 제공한다. 이러한 자료는 사이버 보안 팀이 공격자의 툴과 전술, 타깃을 파악하는 데 도움을 줄 것이다.

센티넬원은 공격을 멈추고, 또 시스템을 공격 이전 상태로 되돌리는 것 외에도 악성코드가 수행한 작업, 접촉한 사용자, 향후 방지 대책에 대한 상세한 포렌식 자료를 함께 제공한다.

결론
센티넬원은 엔드포인트에 강력하고, 안전하며, 독립적인 에이전트를 배치하기 때문에 갈수록 정교해지는 공격에 대해 커다란 이점을 갖는다. 그리고 이러한 에이전트는 독립적으로 행동할 수 있기 때문에 공격에 즉각적으로 대응할 수 있고, 추후 분석을 위해 관련 정보를 보안 팀과 공유할 수도 있다. 센티넬원의 에이전트는 고작 수 백MB의 스토리지 공간과 1% CPU 만을 활용해 위협 요소가 핵심 네트워크에 도달하기 전에 이를 차단함으로써 엔드포인트에 꼭 필요한 보호 기능을 제공한다. ciokr@idg.co.kr 

X