기획/ 엔드포인트 보호 플랫폼

내부유출, 외부침입 모두 통합 관점으로 진화 중

 

랜섬웨어가 기승을 부리면서 최근 보안이슈는 ‘엔드포인트(EDR_Endpoint Detection & Response 엔드포인트 탐지·대응) 보안’이다. 엔드포인트 보안은 크게 ‘외부 침입 대응’, ‘내부 유출 방어’라는 두 가지 방향으로 나뉜다.

어떻게 하면 해커들의 침입을 빠르게 찾아 차단하고 제거할 것인가 그리고, 어떻게 하면 내부 직원의 유출을 막을 것인가 이 두 가지 고민을 두고 기업 보안 담당자들은 고심을 거듭하고 있다.

본지에서 엔드포인트 보안의 현황을 알고자 유저들을 만나면서, 엔드포인트 솔루션에 대한 바람을 크게 두 가지로 축약해볼 수 있었다.

첫째, ‘가벼웠으면 좋겠다’는 것이었다. 직원들이 사용하는 PC에는 최소 7-8개의 보안 에이전트가 깔린다. 따라서 PC는 무거워 졌고 당연 속도도 느려지고 있다는 것.

둘째, ‘효율적으로 편리’했으면 하는 것이다. PC에 설치된 솔루션 에이전트 간에 연동이 안 되는 문제 즉, 관리 포인트가 넓고 보안 솔루션 간에 충돌 이슈를 해결하는데 많은 시간을 소비한다는 것이다. 이뿐 아니라 적은 보안인력으로 기업 전체 보안을 관리하는 유저들은 관제해야할 분야와 솔루션 개수가 많다. 따라서 실제 지속적으로 사용하고, 관리해야 하는 담당자들의 편의성이 매우 중요하다고 했다.

이에 따라 업계도 단일 플랫폼을 통해 통합적인 엔드포인트 보안을 제공할 수 있는 솔루션을 고민하고 있다. 각각의 보안 영역의 경계를 넘어 통합적으로 정보의 흐름을 모니터링하고 통제할 수 있다면, 더 높은 수준의 보안 체계를 실현할 수 있을 것이다.

물론 통합의 맹점도 있다. 한번 뚫리면 크게 뚫린다는 것이다. 이에 유저는 솔루션 도입에 있어 PoC(Proof of Concept_개념증명)이나 BMT(Bench Marking Test_성능테스트)반드시 해야 한다.

편집부에서는 현재 국내 국외 보안 벤더들의 엔드포인트 솔루션들의 통합적 특징과 기술, 진출 분야 및 결과 등을 소개하고자 한다.



 

내부 정보 유출, 통합으로 해결한다

1. 지니 네트웍스, 지니안 인사이츠

플렛폼 개발로 엔드포인트 보안 가볍게 해결

지니네트웍스(대표 이동범)는 신제품 지니 인사이츠에 통해 엔드포인트 보안능력도 강화했다. 이동범 지니네트웍스 대표는 “우리 회사도 연속적으로 공격을 받는다. 대응을 하면서 ‘회사 내부에 발견하지 못한 잠재된 악성코드가 있지 않을까’ 하는 생긴 고민이 생겼다. CEO나 CISO의 이러한 고민해결을 위해 지니안 인사이츠를 고안했다”고 말했다.

지니 인사이츠는 플랫폼으로, 플러그인 형식으로 운영돼 지니 안사이츠 위에 솔루션을 얹혀 사용할 수 있다. 지니 인사이츠에 지니 엔드포인트 솔루션 에이전트만 내려 설치하면 쉽게 엔드포인트 보안을 능력을 갖출 수 있다. 에이전트는 관제하는 방식이기 때문에 매우 가벼워, 클라이언트의 무게 부담이 거의 없다. 엔드포인트 에이전트는 백신에서 걸러지지 않았던 흔적을 분석해 문제여부를 판단하고 위협을 가름한다. 이동범 대표는 “지니안 인사이츠는 기업 안에서 일어날 수 있는 보안 사고를 대비하는 제품으로, 종전 NAC사용자는 설치유무를 가름할 수 없을 정도로 가볍고 빠르다”고 강조했다.

이민성 기술담당 이사는 “엔드포인트 에이전트에서 모아진 데이터를 서버로 전송해 IOC(Indicators of Compromise 국내외 최신 침해지표)엔진으로 위협을 가름한다. 글로벌 벤더들과 인사이트를 공유하며 지속적으로 업그레이드 하고 있다”며 “악성코드를 식별하는 차원에서 그치지 않고 차단 대응력도 갖췄다”고 했다.

이동범 대표는 “내부 유출을 통제하는 것으로 어플리케이션의 패치상태, 신원확인, 보안규정 준수 여부, 사용자 정보, 단말기 상태도 확인한다. 확인되지 않을시에는 조치 페이지로 이동한다”며 “내부 네트워크를 볼 수 있는 모델을 추가로 개발 중이며, 앞으로도 내부보안에 집중할 예정”이라고 했다.


 

2. 닉스테크 세이프몬

빅데이터 방식으로 엔드포인트 이상 징후 탐색

▲ 박동훈 닉스테크 대표

닉스테크(대표 박동훈)는 PC매체 제어를 주기능으로 개인정보를 판단하고 보안USB로 외부로 세어나가는 것을 막는 역할을 줄곧 해왔다.

박동훈 닉스테크 대표는 “최근 EDR의 흐름은 보다 선제적 대응을 통해 피해를 최소화 할 수 있도록 한다. 빅데이터 분석을 통해 이상 징후를 분석하고 사전 노하우를 통해 선제적으로 대응할 수 있게 정보를 주는 것이다”고 했다.

닉스테크가 올 4월에 출시한 세이프몬(Safe Mon)은 각 에이전트의 이상 징후를 모은다. 글로벌 보안벤더 스플렁크가 여기에 합세했다. 박동훈 대표는 “세이프 몬은 엔드포인트 단에서의 이상징후 탐지하고 대응하기 위해 엔드포인트 보안 솔루션과 네트워크 보안 솔루션의 로그를 통합적으로 분석하여 이상 징후를 탐지한다”고 했다. 닉스테크는 랜섬웨어를 막는 솔루션도 출시했다. “엔드포인트 단을 20년 이해해온 노하우를 가진 내공으로 엔드포인트에서 효율적으로 랜섬웨어를 대응하는 ‘세이프 프로세스'를 출시했다"며 ”화이트 리스트를 정리해서 사용자를 선택하고 블랙 리스트로 막는 방식으로 이상 징후를 탐색, 차단한다“고 했다.

닉스테크는 무거워진 엔드포인트단의 문제를 해결하기 위해 매체 통제, 개인정보보호, 보안 USB를 하나로 통합한 ‘원 에이전트, 원 콘솔, 멀티플 서비스’를 목표로 삼고 있다. 즉, 공통된 드라이버를 사용하여 통합된 보안 운영이 가능하게 해 불편함을 최소화 했다. 최근 공공 분야에서는 닉스테크로 윈백 요청이 늘고 있다고 했다.

박동훈 대표는 “어떤 보안 솔루션을 도입하든 도입에 앞서 내부 보안 정책을 검토할 필요가 있다. 내부 정책과 도입되는 솔루션이 기밀한 상호 보완 되는 체계가 이루어져야 보다 정확한 보안 방어 체계가 확보된다”며 “시장 경제가 어려워지면 일반적으로 저가 입찰로 제품을 구매할 경우가 많다. 지속적인 서비스를 받을 수 있는 기업인지, 파트너로서 함께 상호 보안적인 관계를 이어나갈 수 있는지의 관점으로 솔루션을 선정하는 것이 중요하다“고 조언했다.


 

3. SGA솔루션 다락

PC 자료저장 강력 방지

SGA(대표이사 최영철)는 엔드포인트 내부 유출을 막기 위해 주로 공공기관에서 호응을 얻으며 ‘인터넷 PC 자료저장 방지시스템 구축 사업’을 펴왔다. 2014년 엔터프라이즈용으로 다락(DA-Loc)을 출시하여, 엔드포인트의 내부유출도 막아왔다.

다락은 PC 자료저장 방지시스템으로 PC에서 자료를 저장할 수 없게 한다. 최초 적용된 OS 또는 인가된 솔루션만 보호하고, PC를 켜는 순간 자동으로 초기화 되어 문서의 저장을 원천적으로 차단한다. 이로써 내부자들에 의한 중요 업무 자료의 외부 유출을 방지할 뿐만 아니라, 부주의하게 PC에 저장된 중요 문서가 악성코드 감염으로 인해 2차적으로 유출될 수 있는 가능성까지 강력하게 차단했다.

이재욱 이사는 “사용자가 인터넷으로 메일을 보내면 문서를 자동으로 삭제한다. 이외에도 PC카카오톡도 사용할 수 없게 차단할 수 있다. 직원들이 몰래 문서를 PC안에 보관하고 싶어 파일확장자를 바꿔도, 다락은 바로 알아내고 문서를 삭제해버린다.”며 “웨어러블과 모바일 분야까지 기술을 적용할 수 있다”고 했다.

유저는 다락의 정책을 설정하면 운영하는데 어려움이 없다. 예를 들면, 마케팅부서는 모든 문서를 저장하게 허용할 수 있고, 영업부서는 엑셀파일만 저장하게 설정할 수 있다.

마케팅 부서에 모든 문서를 삭제하라는 CEO의 결정이 없는 한 그 정책은 기업이 운영되는 동안 유지된다. 정책은 모든 확장자가 있는 모든 문서, 도면 파일, 음성 파일, 동영상 파일까지 지원한다.

다락은 매우 가볍다. 카카오톡 설치 프로그램 사이즈가 32MB, 다락은 24MB 이다. PC에 부하를 주지 않는다. 메모리 사용량도 기본적인 상시 프로세스 점유율은 1% 내외로, PC를 처음 부팅 시 문서를 검색하고 삭제를 해야 하기 때문에 그 순간 프로세스 점유율이 약 3~5% 정도 더 올라간다. 부팅이 끝나면 다시 1%내외로 떨어진다.

이재욱 이사는 “올 4월 엔드포인트 보안 전문기업 바이러스체이서와 제휴하면서 안티바이러스 솔루션 바이러스체이서, 패치관리 솔루션 패치체이서, 망분리 및 자료저장방지솔루션 다락, PC보안감사솔루션 내 PC 지키미”로 활동하게 됐다며 “서버보안 로그와 엔드포인트 보안 로그 분석을 통합한 차세대 통합보안관제 솔루션을 출시 할 예정이다. 기업은 PC부터 서버까지 악성코드를 사전에 탐지하고 대응할 수 있을 것”이라고 했다.

4. 한컴 시큐어 디지털 가디언

문서 태깅으로 생성부터 삭제까지 관리

▲ 홍승찬 한컴시큐어 부사장

한컴 시큐어의 디지털 가디언(Digital Guardian)은 내부유출 강화에 도움이 된다. 송상엽 이사는 “종전 DLP 의 문제점인 경계를 강화해서 데이터가 언제 어떻게 변형되었는지를 제어하는 기능으로 보완성을 높였다. 디지털 가디언은 데이터의 흐름을 추적한다. 엔드포인트에서 생성되고 소멸되는 모든 파일에 '태깅'을 달아 라이프 사이클을 관리한다. 기업의 문서 라이프 사이클을 다 관리한다는 방향이다”고 말했다. 따라서 문서의 생성, 수정, 이동, 삭제 등 의 로그를 수집해서 이상 징후를 찾아낸다. 디지털 가디언은 랜섬웨어의 비정상적 문서 행위도 식별 차단할 수 있다.

파일 중심의 데이터 보호 기술을 가지고 있기 때문에 중요 정보들에 대한 사전 분류도 가능하다. 분류된 파일들은 흐름 추적과 대응이 가능하다. 방법으로는 차단, 암호화, 사용자 분류 등의 기능으로 디지털 가디언에서 제공하는 단일 에이전트로 사용할 수 있다.

디지털 가디언은 수많은 엔드포인트 보안 솔루션들 간의 연동 또는 사용상의 이슈들을 최소화하기 위해 SIEM 기능을 제공해주는 솔루션들과 연동할 수 있다. 스플렁크, 팔로알토 네트웍스, 파이어아이와 같은 네트워크 ATP 솔루션들과의 연동이 자유롭다.

송상엽 이사는 “윈도우, 리눅스, Mac 모두 지원하고 있다. 세계적으로 리눅스, Mac까지 지원하는 솔루션은 많지 않다. 또한 국내에서는 모바일 지원은 하지 않고 있다”고 했다. 덧붙여 디지털 가디언이 국내에 선보인지 얼마 되지 않아 현재 POC 중인 기업들이 있고 곧 좋은 결과를 기대할 수 있을 것 같다고 했다.


 

▶내부망 보안 벤더 특징

벤더사	주력분야	편의성 및 통합 요소	진출산업군	OS
지니네트웍스 지니안인사이츠	NAC, 내부네트워크 관제 및 통제	NAC을 기반으로 한 통합플랫폼(플러그인 형식) 개발	공공, 포털, 엔터프라이즈(국내 NAC 시장점유율 1위)	윈도우
닉스테크 세이프몬	PC매체제어,보안USB	엔드포인트 솔루션과 네트워크 솔루션의 로그를 통합적으로 분석해 이상 징후 탐지	공공, 금융, 엔터프라이즈(금융권 80% 이상 진출)	윈도우
SGA솔루션즈 다락	인터넷 PC 자료저장 방지	서버보안 로그와 엔드포인트 보안 로그 분석을 통한 차세대 통합보안관제	공공, 엔터프라이즈	윈도우
홍상수 기자의 전체기사 보기 페이스북 트위터 구글+ 카카오스토리 라인 네이버블로그 밴드 네이트온 쪽지 보내기 C로그 보내기 구글 북마크 Copyright @2024 CIOCISO매거진. All rights reserved. 가장 많이본 뉴스 1레드햇-퀄컴, 소프트웨어 정의 차량 혁신 가속화 비전 제시 2태니엄, XEM 플랫폼이 SW 취약성 감소와 ROI 증가를 구현해 기업 생산성을 획기적으로 강화했다는 조사결과 발표 3잡코리아 ‘원픽’ 출시 1년… ”누적 공고 조회 수 2,500만 회 돌파” 4라이프시맨틱스, 경북대학교병원과 ‘바이오코리아 2024’ 참가.. 캐노피엠디 SCAI·HDAI 기술 시연 NEWS 더보기 라이프시맨틱스, 경북대학교병원과 ‘바이오코리아 2024’ 참가.. 캐노피… AI 기술 기반 디지털헬스 전문기업 라이프시맨틱스(대표 송승재)가 5월 8일부터 10일까지 서울 코엑스에서 열린 ‘바이오코리아 2024(BIO KOREA 2024)’에 ... 잡코리아 ‘원픽’ 출시 1년… ”누적 공고 조회 수 2,500만 회 돌파… 태니엄, XEM 플랫폼이 SW 취약성 감소와 ROI 증가를 구현해 기업 … 레드햇-퀄컴, 소프트웨어 정의 차량 혁신 가속화 비전 제시 COLUMN 더보기 [칼럼] IT관리에 반드시 필요한 AD(Active Directory)의… MS의 AD(Active Directory), 디렉토리 서비스 시장을 평정하다 전편까지는 디렉토리 서비스의 개념과 역사, 한때 디렉토리 서비스 시장을 장악했던 노벨 NDS(N... [칼럼] IT관리에 반드시 필요한 AD(Active Directory)의… [칼럼] IT관리에 반드시 필요한 AD(Active Directory)의… [칼럼] “IT관리에 반드시 필요한 AD(Active Directory)… EVENT/EDU 더보기 디버티, '제24회 CISO 정보 보안 컨퍼런스’ 참가… 스텔라사이버 '… [CISO컨퍼런스] '2024년 사이버 보안에 특화된 전략 강화', 제2… CIOCISO매거진, '제24회 CISO 컨퍼런스' 개최... 참가 기업… CIOCISO매거진, 4월 17일 '제4회 원주 IT로드쇼' 참가 기업 … START UP 더보기 신문사소개 찾아오시는길 개인정보취급방침 청소년보호정책 (책임자 : 장명국) 이메일 무단수집거부 인터넷신문윤리강령 광고문의 기사제보 문의하기 RSS CIOCISO (ciociso.com) | 주소 : 서울특별시 노원구 동일로 1366 삼봉빌딩 604호 | 대표전화 : 02-3283-0488 | 상호명 : (주)씨미디어그룹 사업자등록번호 : 107-81-57633 | 대표자명 : 장명국 | 통신판매업신고번호 : 제2008-서울마포-01059호 | 인터넷신문 등록번호 : 서울, 아03158 등록&발행연월일 : 2014년 5월 16일 | 제호 : CIOCISO | 발행인 : 장명국 | 편집인 : 김민철 | 청소년보호책임자: 장명국 © Copyright 2012 CIOCISO All Right Reserved. mail to webmaster@ciociso.com 최상단으로