지속적인 모니터링에서 엔드포인트 보안으로 회귀
엔드포인트 보안, 오히려 전체에 집중해야 하는 것
[보안뉴스 문가용] 엔드포인트 보안이 중흥기를 맞이하고 있다. 방지에 초점을 맞춘 제품들보다 탐지와 사건 대응에 초점을 맞춘 솔루션들이 대거 등장하고 있다는 것이 이런 현상을 나타내고 있다. 게다가 사용자들의 개별 기기를 더욱 탄탄하게 만들어줄 솔루션이라는 것에 주목할 필요가 있다.
지난 1~2년 새, 사이버리즌(Cybereason), 엔실로(enSilo), 헥시스(Hexis), 센티넬원(SentinelOne), 타니움(Tanium), 트라이엄펀트(Triumfant), 지프튼(Ziften) 등 엔드포인트 보안에 초점을 맞춘 신생 기업들이 우후죽순 생겨났다. 벤처캐피탈도 엄청나게 따르고 있다. 위 기업들 중 타니움의 가치는 35억 달러에 달한다고 알려져 있는데 이는 전 세계 벤처 기반 사이버보안 회사 중에서 최고다.
그렇다면 기존의 보안 중견 기업들이 가만히 두고 볼 리가 없다. 브로미움(Bromium), 시스코 시스템즈(Cisco Systems), 사일란스(Cylance), 크라우드스트라이크(CrowdStrike), 맨디언트(Mandiant), 비트9/카본블랙(Bit9/Carbon Black), 카운터택(CounterTack), 포스카웃(ForeScout), 인빈시아(Invincea), 팔로알토 네트웍스(Palo Alto Networks), RSA 시큐리티(RSA Security), 트립와이어(Tripwire) 등도 기존에 보유하고 있던 기술을 바탕으로 한 단계 앞선 엔드포인트 솔루션 및 제품들을 내놓고 있다.
“확실히 현재 뜨거운 시장인 건 맞습니다. 돈도 상당히 많이 돌고 있으며 신생 기업들도 대부분 금방 궤도에 다다릅니다.” 가트너의 부회장인 피터 퍼스트브룩(Peter Firstbrook)의 설명이다. 퍼스트브룩은 30개가 넘는 엔드포인트 탐지 및 대응(endpoint detection and response, 이하 EDR) 제조사들을 지난 12개월간 지켜봐오고 있었다고 하며 EDR 관련 신생기업들이 한 해 동안 거둔 총 수입은 3억 3천 2백만 달러를 웃돈다고 한다.
덩달아 인텔 시큐리티(Intel Security), 맥아피(McAfee), 시만텍(Symantec), 카스퍼스키 랩(Kaspersky Lab), 소포스(Sophos)와 같은 기존 강자들도 자신들의 백신 플랫폼에 새로운 엔드포인트 보호 기능을 덧입혀 이 시장에 뛰어들 차비를 갖추고 있다고 한다. 물론 현 시점까지 EDR 기능을 공식적으로 제공하는 ‘강자’ 기업은 트렌드 마이크로(Trend Micro)뿐이다. 그러나 다른 기업들의 불참이 오래 가지는 않을 것으로 보인다.
왜 엔드포인트인가?
사이버 범죄자들에게 엔드포인트는 항상 ‘맛있는’ 먹잇감이었다. 돈을 노리는 해커나 정치적인 스파이나 이는 마찬가지였다. 왜냐하면 엔드포인트는 정보의 보물창고와 같기 때문이다. “엔드포인트로 향하는 마음은 오랜 동안 진실을 추구해온 인류의 움직임의 축소판입니다. 결국 그곳에 원하는 게 있고 진실이 있습니다.” 맨디언트의 창립자인 케빈 맨디아(Kevin Mandia)의 설명처럼 말이다. EDR 툴들은 이 점을 역으로 이용한다. 해커들이 어떤 정보에 접근하고 훔쳐갔는지 등을 파악해 미래에 다시 들어올 수 있는 공격을 방어하는 데 활용하는 것이다.
맨디아가 말하는 EDR 툴, 혹은 엔드포인트 보안 툴이라면 백신으로 잡을 수 없었던 것들을 잡아내는 기능을 가지고 있는 것이다. 또한 사건이 터졌을 때 포렌식을 진행할 수 있도록 정보도 수집하고 제공할 수 있어야 한다. “물론 일이 안 생기게 하는 게 최고겠죠. 하지만 생겼다 하더라도 데이터를 재빨리 잠근다던지 하는 최선의 후속조치를 취할 수 있게는 해줘야 합니다.”
백신의 수명, EDR의 수명
그렇다면 EDR이 발전하면 할수록 백신은 멸종의 길을 걸어갈 것인가? 분명 백신은 요즘과 같은 고급 공격에는 없는 거나 다름이 없다. 그러나 서명에 근거한 엔드포인트 방어법은 윈도우 생태계에서는 건재하며, 이 방법은 더 발전하면 발전했지 앞으로 상당 기간 동안은 사라지지 않을 것이다. 그러므로 백신 역시 당분간 멀웨어 방어 혹은 정보보안의 일면에 항상 존재할 가능성이 높다는 것이 전문가들의 의견이다. 특히 고급 공격이 아니라 매일 불특정 다수를 향한 일반적이고 전형적인 사이버 공격을 막는 데에 계속해서 활용될 것이라는 전망이다.
오히려 EDR 도입이 아직까지도 ‘마이너’에 머무르고 있는 상황이다. 기존 백신 시장의 수익은 35억 달러에 달하고 4억 개가 넘는 연구기관/제조사/벤더 등이 시장을 이루고 있지만 EDR은 겨우 5천 여개의 기업 및 조직들에서만 도입하고 있는 실정이다. 즉, 현재 ‘사장될 위기’를 논한다면 오히려 백신보다 EDR을 논하는 게 더 타당하다. 하지만 가트너에 의하면 EDR 시장은 계속 성장해 올해 말까지는 1억 3천억 달러의 수익을 발생시킬 수 있을 것이라고 예상되고 있으며 2016년에는 그 규모가 두 배 이상 성장할 것으로 보인다.
또한 2018년까지 엔드포인트 사용자의 활동을 모니터링하고 포렌식 기능을 갖춘 EDR을 갖춘 조직이 80%에 달할 거라는 가트너 보고서도 있다. 2013년의 5%에 겨우 달했던 시장으로서는 꽤나 급격하고 빠른 성장이 아닐 수 없다.
“엔드포인트에 색다른 솔루션을 도입하고 싶어 하는 고객들이 많습니다. 현재의 엔드포인트 보안 솔루션이 마음에 들지 않는 것이죠. 그런 사람들이 찾는 건 아직 백신이 더 많습니다. 혹은 호스트 기반 침입 방지 시스템이거나요. 그 다음이 화이트리스팅 관련 솔루션입니다.” 퍼스트브룩의 설명이다.
EDR은 패치가 되지 않은 버그를 잡아내는 것에서부터 엔드포인트 단에서 일어나는 수상한 활동들을 감지해 따로 격리시키고, 수사를 진행해 피해를 최소화시키는 것 등 다양한 기능을 수행한다. 도구에 따라 자동으로 해당 첩보를 공유하기도 한다. 그럼에도 아직도 일반 사용자들끼리는 물론 전문가들 사이에서도 조금은 낯선 개념으로 남아있다. 이는 사실 시장의 인식 문제라기보다 EDR 자체가 이제 막 태어난 것이나 다름없는 초창기를 지나고 있기 때문이기도 하다.
EDR 제품을 사는 기업들은 보통 자신들이 가지고 있던 기존의 엔드포인트 보안 제품을 ‘보강’하려는 것이지 ‘대체’하려는 건 아니다. 이는 익숙함 혹은 관성이 이유일 수도 있지만 아직까지 백신 위주인 법규나 정책을 준수하려면 어쩔 수 없기 때문이기도 하다. 즉 백신이 아직 시장을 장악하고는 있지만 이게 소비자들의 선호도를 그대로 반영한다고 보기는 어렵다는 것. 이에 대해 포리스터 리서치(Forrester Research)의 크리스 셔먼(Chris Sherman)은 “조만간 많은 기업들이 백신에 투자하는 걸 멈출 것이며 공짜나 시험버전을 활용하는 쪽으로 방향을 틀 것”이라고 내다보고 있다. “그리고 그 빈자리를 새로운 엔드포인트 솔루션들이 채울 것입니다.”
공존 사례 : 카운슬 록 스쿨 디스트릭트과 슈어스크립트
카운슬 록 스쿨 디스트릭트(Council Rock School District)라는 학군 사무실에서는 지프튼(Ziften)이 개발한 EDR 소프트웨어와 트렌드 마이크로의 기업용 백신 솔루션을 동시에 쓰고 있다. “백신은 백신대로 유지하되, 그것을 보강할 다른 방비책도 필요한 상황이라서 두 가지를 다 유지하고 있습니다.” IT 담당관인 매튜 프레드릭슨(Matthew Frederickson)의 설명이다. 해당 사무실의 네트워크에는 1만 3천명의 사용자와 5000개의 엔드포인트 태블릿이 연결되어 있는 상태였다.
그런데 최근 네트워크에 연결된 한 기기를 통해 봇넷 감염이 감지되었다. 다행히 학교에서 설치한 툴들이 제 기능을 발휘해 재빨리 공격을 막고 깨끗하게 청소할 수 있었다. 프레드릭슨에 의하면 수상한 IP 주소가 포착되자마자 네트워크 모니터링 시스템인 랜코프 스텔스와치(Lancope StealthWatch)를 통해 확인한 결과 해당 IP 주소가 이전 다른 초등학교 컴퓨터 교실에서 발견된 봇넷과 연관성이 있다는 걸 알아냈다. “이렇게 깔끔한 조치를 하는 데 걸린 시간은 고작 5분이었습니다. 다른 의미에서 ‘멘붕’이 왔죠. 보통 기존의 백신이나 보안 솔루션을 가지고 이렇게 일을 처리하려면 적어도 1주일은 걸리는 게 보통이거든요. 세상 참 좋아졌다 싶었습니다.”
한편 의료 건강 정보 네트워크로 미국 전국의 약국과 병원들이 사용하는 슈어스크립트(Surescripts)라는 곳에서는 인빈시아(Invincea)의 보안 솔루션을 도입하고서부터 두 달 후 크립토락커 랜섬웨어 공격을 효과적으로 막아내는 데 성공했다고 한다. 슈어스크립트의 CISO인 폴 칼라타이여드(Paul Calatayud)는 기존의 백신에 더해 내부자가 실수든 고의적이든 정보를 유출하거나 엔드포인트 공격의 발판이 되는 것을 막기 위해 보안 솔루션을 한층 더 예비했는데, 그게 통했다고 한다. “엔드포인트에 대한 공격이 확실히 늘고 있어서 CISO로서 이에 대한 솔루션을 찾아볼 수밖에 없습니다. 그래도 효과적인 대응이 가능하니, 세상이 좋아지긴 했습니다.”
백신의 입지가 좁아지는 증거
이런 좋은 세상을 이끌어내고 있는 건 무엇일까? 왜 백신은 시장에서 전혀 물러섬이 없음에도 다른 기능을 가진 차세대 소프트웨어로 대체되거나 보조가 필요하게 된 것일까? 아이러니하지만 그동안 백신을 뚫고 일어났던 거대한 사건들 때문이다. 타깃(Target)이나 홈데포(Home Depot), 소니(Sony) 등 여러 시사 매체가 다룰만한 각종 사건들을 뚫고 헤드라인에 안착한 바로 그 악몽 같은 사건들이 오히려 EDR과 같은 차세대 제품의 탄생을 야기한 것.
“회사가 망할 정도 혹은 CEO가 바뀔 정도의 큰 사건들을 겪으며 현 시점에서 보안이란 ‘기업 운영진 수준의 책임과 결정을 요하는 일’이 되어버렸습니다. CIO나 CISO가 기자들 앞에서 발표하지 않는다는 거죠. 보안을 바라보는 시각이 이처럼 달라져 버렸습니다.” 지프튼의 전략가인 조시 애플바움(Josh Applebaum)의 설명이다. “엔드포인트 이전에는 ‘지속적인 모니터링’이 보안 업계의 유행어였죠.”
애플바움의 설명이 이어진다. “하지만 지속적으로 모니터링을 한다고 해도 좋은 것과 나쁜 것을 구분하지 못하면 아무런 소용이 없다는 걸 업계가 깨달았습니다. 그리고 전체를 볼 수 있어야 그런 결정을 내릴 수 있다는 것도요. 그러니 가시성이 강조되고, 경영진이 보안에 더 많이 관여하고 있으며 그에 따라 백신만으로는 소용이 없다는 게 강조되는 것이죠.”
결국 백신이 가지고 있는 한계가 드러났기 때문에 이런 흐름이 일어날 수밖에 없었다는 설명인데, 여기에 더해 ‘무게’의 측면도 적지 않게 작용했다고 애플바움은 주장한다. “백신은 너무 무거워요. 용량이나 컴퓨터 리소스 잡아먹는 측면에서도 그렇고 가격도 그렇고요. 백신 돌아가면 다른 프로그램이 느려지기 시작하죠. 그러니 안 쓰게 되고, 그런 제품인데도 모든 엔드포인트에 설치하려면 가격도 무시할 수 없는 수준이 되고요. 싸고 가벼운 걸 요구하는 게 자연스러운 시장의 흐름일 수밖에 없습니다. 홈데포만 해도 사실 ‘너무 무거워서’ 백신을 설치하고 있지 않다고 된통 당한 것이죠.”실제로 기업들이 백신 설치를 굉장히 부담스러워 한다. 그래서 최근 나오는 보안 솔루션들은 ‘가벼움’을 미덕으로 한다.
생소한 EDR이 좀 더 매력적이려면
그럼에도 기업들이 EDR을 본격적으로 도입하기 시작하려면, 즉 EDR이 잘 팔리려면 사건이 발생한 후 후속조치가 얼마나 빠르고 강력하게 대응하는가가 중요하다고 보인다. 즉 기업들은 ‘해킹 당했을 때 그걸 빠르고 안전하게 해결해주는 무언가’를 찾고 있다는 것. “사건 대응과 포렌식은 굉장히 어려운 기술입니다. 그러니 이걸 제대로 해준다고 하면 기업들은 매력을 느낄 수밖에 없죠. 특히 아웃소싱 즉 외부 인력을 부르지 않고 자체적으로 해결이 가능하다고 하면 대부분 EDR을 도입하고 싶어 할 겁니다.” 타니움의 최고보안아키텍트(CIA)인 라이언 카잔시얀(Ryan Kazanciyan)의 설명이다.
‘사건 대응’ 능력을 강조해야 하는 이유는 포렌식 기술이 점점 ‘필수 능력’이 되어가고 있기 때문이기도 하다. 즉 어려우면 포기할 수 있다는 선택지가 기업 입장에서는 없어지고 있다는 것. “포렌식 기술이 있으면 해킹 사건이 일어났을 때 역추적해서 해커를 잡는다든가 추후 일어날 수 있는 유사 공격을 방어하는 데 큰 도움이 됩니다. 포렌식 기술이 있으면 분석 시간도 줄어들고 놓칠 수 있는 증거도 확보할 수 있습니다. 보안 사건이 점점 크게 다뤄지고 있고, 당한 기업이 되려 소비자들의 철퇴를 맞는 때에 포렌식은 포기할 수 없는 선택지가 되고 있습니다.”
또한 누군가 지적했던 것처럼 헤드라인에서 사라진다고 내 시스템의 멀웨어도 사라지는 건 아니다. 즉 사건 해결 혹은 대응에는 반드시 멀웨어나 감염원의 제거도 포함되어야 한다는 것인데, 이 또한 EDR이 가지고 있는 기능 중 하나다. “전문가가 수동으로 멀웨어를 검색해 제거하려면 못해도 40시간이 걸립니다. 이를 소프트웨어가 대신한다면 한 시간도 안 걸리죠.”
거스를 수 없는 변화
보안 분석가들은 시만텍에 눈길을 주고 있다. 차세대 엔드포인트 보안에 기여하는 뭔가가 시만텍으로부터 나올 것이라는 예상을 하고 있는 것이다. 시만텍의 사이버보안 전략 책임자이자 부사장인 사미르 카푸리아(Samir Kapuria)도 최근 시만텍이 베리타스(Veritas)라는 스토리지 전문 회사를 매각하면서 오히려 보안에 더 집중적으로 투자할 수 있게 되었다고 말한 바 있다. 다만 기존의 시만텍이 지향하던 엔드포인트 보안과는 사뭇 다를 것이라고 강조했다.
“엔드포인트 보안이라는 말로 다 표현하기가 힘듭니다. 엔드포인트는 보안에 있어서 매우 중요한 부분입니다. 하지만 거기에 목을 매달아서는 안 되죠. 보안은 이제 전체적인 걸 보고 생각해야 하니까요. 저희도 그럴 예정입니다. 시만텍이 새로 설정한 보안의 방향은 그래서 ‘전체’입니다.” 시만텍은 현재 1억 7천 5백만 개의 엔드포인트를 전 세계적으로 보유하고 있으며 5천 7백만 개의 공격 센서를 갖추고 있다. “그래서 만들어지는 어마어마한 정보가 ‘전체보기’를 가능하게 해주죠.”
명실상부 업계 리더로서 시만텍을 주시하는 건 카푸리아가 말하는 ‘전체’를 보는 접근법에서부터 출발하는 엔드포인트 보안이 점점 더 중요하게 대두되고 있기 때문이다. “기업의 전체 면적이랄까 활동범위를 전부 바라봐야 합니다. 엔드포인트는 물론 모바일과 클라우드, 데이터센터 보안까지 다양한 분야를 포함해야 하죠. 그런 구성요소들과 요소들이 유기적으로 형성하고 있는 전체 구조를 알아야 비로소 올바른 엔드포인트 보안이 구현될 수 있습니다. 지금 시기의 엔드포인트 보안이 이전의 엔드포인트 보안과 조금 다른 건 바로 이런 ‘전체 배경’에 대한 중요성이 강조된다는 것입니다.”
인텔의 맥아피 역시 비슷한 시기를 지나고 있다. 수석부회장인 켄데이스 월리(Candace Worley)는 맥아피에서만 15년을 근무한 경력자로 백신의 탄생부터 호스트 IPS, 개인 방화벽 등의 흥망성쇠를 현장에서 목격해왔다. 그런 그가 현재 지켜보고 있는 건 모바일과 다방면으로 늘어나고 있는 재택근무자들이다. “앞으로 백신은 ‘보조’역할에 머무를 것입니다. 사소한 공격 정도나 막을 수 있는 게 전부거든요. 즉 멀웨어의 ‘노이즈’를 줄여주는 역할을 하는 데에는 적격입니다만, 아마 그 정도 역할만 하는 게 백신의 운명일 것입니다.” 지금 시장상황이 어떻든 백신은 하향산업이라는 예견이다.
맥아피나 시만텍이나 최근 각각 쓰레트 인텔리전스 익스체인지(Threat Intelligence Exchange)나 유니파이드 시큐리티 애널리틱스(Unified Security Analytics)와 같은 솔루션을 발표하며 자신들이 말한 ‘전체적인 보안’을 구현하려는 제스처를 취했다. “사건이 터졌을 때 그에 대한 후속조치를 취함에 있어 다각도적인 노력을 조직할 수 있도록 돕는 솔루션”으로 “기존 엔드포인트 제품과의 호환성도 뛰어나다”는 게 공통점이다.
맥아피는 백신 회사라는 이미지를 최대한 씻어내고 싶어한다. 월리는 인터뷰 때 “맥아피가 백신 회사였던 건 이미 2003년부터 끝이었다”며 “이젠 다채로운 보안 솔루션 및 서비스를 제공하는 곳이다”라고 강조했다. “지금 저희의 강점은 클라우드와 비슷한 가시성, 보안, 리포팅 기능을 가진 정보보안 서비스를 제공한다는 것입니다.”
트렌드 마이크로는 이미 EDR을 향해 방향을 전환한지 오래다. 트렌드 마이크로의 CTO인 레이먼드 진스(Raimund Genes)는 이런 흐름을 엔드포인트 보안의 진화로 보고 있다. “차세대라는 말은 안 어울려요. 뭔가 새로운 게 아니라 기존 것들을 종합하고 한 데 모은 것이거든요. 화이트리스팅, 엔드포인트 센서, 방화벽 등 새로울 게 없죠. 좀 더 좋아지고, 한 데 모여 더 나은 시너지를 낼 뿐.”
그는 현대의 엔드포인트 보안 제품이 추구해야 할 가장 기본은 ‘관리의 용이성’과 ‘사용의 편이성’이라고 못 박는다. “결국 엔드포인트 보안이라는 건 엔드포인트 사용자, 즉 사람에 대한 보안일 수밖에 없습니다. 그러니 그 사람이 최대한 실수를 저지르지 않게 용이하고 편리하게 만들어야죠. 그게 본질입니다.”
위에서도 언급했지만 EDR은 아직 초창기에 불과하다. 발전의 여지가 많다는 것이다. “앞으로 한 3~5년 간은 대기업에서 EDR 관련 기술을 가진 작은 업체들을 인수인계하는 일이 많이 생길 겁니다. 혹시 이 분야에서 창업을 하고 싶다면 EDR 기술을 개발해서 큰 기업에 팔아보는 것도 노림직할 것입니다.”
.jpg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
엔드포인트 보안, 오히려 전체에 집중해야 하는 것
[보안뉴스 문가용] 엔드포인트 보안이 중흥기를 맞이하고 있다. 방지에 초점을 맞춘 제품들보다 탐지와 사건 대응에 초점을 맞춘 솔루션들이 대거 등장하고 있다는 것이 이런 현상을 나타내고 있다. 게다가 사용자들의 개별 기기를 더욱 탄탄하게 만들어줄 솔루션이라는 것에 주목할 필요가 있다.
지난 1~2년 새, 사이버리즌(Cybereason), 엔실로(enSilo), 헥시스(Hexis), 센티넬원(SentinelOne), 타니움(Tanium), 트라이엄펀트(Triumfant), 지프튼(Ziften) 등 엔드포인트 보안에 초점을 맞춘 신생 기업들이 우후죽순 생겨났다. 벤처캐피탈도 엄청나게 따르고 있다. 위 기업들 중 타니움의 가치는 35억 달러에 달한다고 알려져 있는데 이는 전 세계 벤처 기반 사이버보안 회사 중에서 최고다.
그렇다면 기존의 보안 중견 기업들이 가만히 두고 볼 리가 없다. 브로미움(Bromium), 시스코 시스템즈(Cisco Systems), 사일란스(Cylance), 크라우드스트라이크(CrowdStrike), 맨디언트(Mandiant), 비트9/카본블랙(Bit9/Carbon Black), 카운터택(CounterTack), 포스카웃(ForeScout), 인빈시아(Invincea), 팔로알토 네트웍스(Palo Alto Networks), RSA 시큐리티(RSA Security), 트립와이어(Tripwire) 등도 기존에 보유하고 있던 기술을 바탕으로 한 단계 앞선 엔드포인트 솔루션 및 제품들을 내놓고 있다.
“확실히 현재 뜨거운 시장인 건 맞습니다. 돈도 상당히 많이 돌고 있으며 신생 기업들도 대부분 금방 궤도에 다다릅니다.” 가트너의 부회장인 피터 퍼스트브룩(Peter Firstbrook)의 설명이다. 퍼스트브룩은 30개가 넘는 엔드포인트 탐지 및 대응(endpoint detection and response, 이하 EDR) 제조사들을 지난 12개월간 지켜봐오고 있었다고 하며 EDR 관련 신생기업들이 한 해 동안 거둔 총 수입은 3억 3천 2백만 달러를 웃돈다고 한다.
덩달아 인텔 시큐리티(Intel Security), 맥아피(McAfee), 시만텍(Symantec), 카스퍼스키 랩(Kaspersky Lab), 소포스(Sophos)와 같은 기존 강자들도 자신들의 백신 플랫폼에 새로운 엔드포인트 보호 기능을 덧입혀 이 시장에 뛰어들 차비를 갖추고 있다고 한다. 물론 현 시점까지 EDR 기능을 공식적으로 제공하는 ‘강자’ 기업은 트렌드 마이크로(Trend Micro)뿐이다. 그러나 다른 기업들의 불참이 오래 가지는 않을 것으로 보인다.
왜 엔드포인트인가?
사이버 범죄자들에게 엔드포인트는 항상 ‘맛있는’ 먹잇감이었다. 돈을 노리는 해커나 정치적인 스파이나 이는 마찬가지였다. 왜냐하면 엔드포인트는 정보의 보물창고와 같기 때문이다. “엔드포인트로 향하는 마음은 오랜 동안 진실을 추구해온 인류의 움직임의 축소판입니다. 결국 그곳에 원하는 게 있고 진실이 있습니다.” 맨디언트의 창립자인 케빈 맨디아(Kevin Mandia)의 설명처럼 말이다. EDR 툴들은 이 점을 역으로 이용한다. 해커들이 어떤 정보에 접근하고 훔쳐갔는지 등을 파악해 미래에 다시 들어올 수 있는 공격을 방어하는 데 활용하는 것이다.
맨디아가 말하는 EDR 툴, 혹은 엔드포인트 보안 툴이라면 백신으로 잡을 수 없었던 것들을 잡아내는 기능을 가지고 있는 것이다. 또한 사건이 터졌을 때 포렌식을 진행할 수 있도록 정보도 수집하고 제공할 수 있어야 한다. “물론 일이 안 생기게 하는 게 최고겠죠. 하지만 생겼다 하더라도 데이터를 재빨리 잠근다던지 하는 최선의 후속조치를 취할 수 있게는 해줘야 합니다.”
백신의 수명, EDR의 수명
그렇다면 EDR이 발전하면 할수록 백신은 멸종의 길을 걸어갈 것인가? 분명 백신은 요즘과 같은 고급 공격에는 없는 거나 다름이 없다. 그러나 서명에 근거한 엔드포인트 방어법은 윈도우 생태계에서는 건재하며, 이 방법은 더 발전하면 발전했지 앞으로 상당 기간 동안은 사라지지 않을 것이다. 그러므로 백신 역시 당분간 멀웨어 방어 혹은 정보보안의 일면에 항상 존재할 가능성이 높다는 것이 전문가들의 의견이다. 특히 고급 공격이 아니라 매일 불특정 다수를 향한 일반적이고 전형적인 사이버 공격을 막는 데에 계속해서 활용될 것이라는 전망이다.
오히려 EDR 도입이 아직까지도 ‘마이너’에 머무르고 있는 상황이다. 기존 백신 시장의 수익은 35억 달러에 달하고 4억 개가 넘는 연구기관/제조사/벤더 등이 시장을 이루고 있지만 EDR은 겨우 5천 여개의 기업 및 조직들에서만 도입하고 있는 실정이다. 즉, 현재 ‘사장될 위기’를 논한다면 오히려 백신보다 EDR을 논하는 게 더 타당하다. 하지만 가트너에 의하면 EDR 시장은 계속 성장해 올해 말까지는 1억 3천억 달러의 수익을 발생시킬 수 있을 것이라고 예상되고 있으며 2016년에는 그 규모가 두 배 이상 성장할 것으로 보인다.
또한 2018년까지 엔드포인트 사용자의 활동을 모니터링하고 포렌식 기능을 갖춘 EDR을 갖춘 조직이 80%에 달할 거라는 가트너 보고서도 있다. 2013년의 5%에 겨우 달했던 시장으로서는 꽤나 급격하고 빠른 성장이 아닐 수 없다.
“엔드포인트에 색다른 솔루션을 도입하고 싶어 하는 고객들이 많습니다. 현재의 엔드포인트 보안 솔루션이 마음에 들지 않는 것이죠. 그런 사람들이 찾는 건 아직 백신이 더 많습니다. 혹은 호스트 기반 침입 방지 시스템이거나요. 그 다음이 화이트리스팅 관련 솔루션입니다.” 퍼스트브룩의 설명이다.
EDR은 패치가 되지 않은 버그를 잡아내는 것에서부터 엔드포인트 단에서 일어나는 수상한 활동들을 감지해 따로 격리시키고, 수사를 진행해 피해를 최소화시키는 것 등 다양한 기능을 수행한다. 도구에 따라 자동으로 해당 첩보를 공유하기도 한다. 그럼에도 아직도 일반 사용자들끼리는 물론 전문가들 사이에서도 조금은 낯선 개념으로 남아있다. 이는 사실 시장의 인식 문제라기보다 EDR 자체가 이제 막 태어난 것이나 다름없는 초창기를 지나고 있기 때문이기도 하다.
EDR 제품을 사는 기업들은 보통 자신들이 가지고 있던 기존의 엔드포인트 보안 제품을 ‘보강’하려는 것이지 ‘대체’하려는 건 아니다. 이는 익숙함 혹은 관성이 이유일 수도 있지만 아직까지 백신 위주인 법규나 정책을 준수하려면 어쩔 수 없기 때문이기도 하다. 즉 백신이 아직 시장을 장악하고는 있지만 이게 소비자들의 선호도를 그대로 반영한다고 보기는 어렵다는 것. 이에 대해 포리스터 리서치(Forrester Research)의 크리스 셔먼(Chris Sherman)은 “조만간 많은 기업들이 백신에 투자하는 걸 멈출 것이며 공짜나 시험버전을 활용하는 쪽으로 방향을 틀 것”이라고 내다보고 있다. “그리고 그 빈자리를 새로운 엔드포인트 솔루션들이 채울 것입니다.”
공존 사례 : 카운슬 록 스쿨 디스트릭트과 슈어스크립트
카운슬 록 스쿨 디스트릭트(Council Rock School District)라는 학군 사무실에서는 지프튼(Ziften)이 개발한 EDR 소프트웨어와 트렌드 마이크로의 기업용 백신 솔루션을 동시에 쓰고 있다. “백신은 백신대로 유지하되, 그것을 보강할 다른 방비책도 필요한 상황이라서 두 가지를 다 유지하고 있습니다.” IT 담당관인 매튜 프레드릭슨(Matthew Frederickson)의 설명이다. 해당 사무실의 네트워크에는 1만 3천명의 사용자와 5000개의 엔드포인트 태블릿이 연결되어 있는 상태였다.
그런데 최근 네트워크에 연결된 한 기기를 통해 봇넷 감염이 감지되었다. 다행히 학교에서 설치한 툴들이 제 기능을 발휘해 재빨리 공격을 막고 깨끗하게 청소할 수 있었다. 프레드릭슨에 의하면 수상한 IP 주소가 포착되자마자 네트워크 모니터링 시스템인 랜코프 스텔스와치(Lancope StealthWatch)를 통해 확인한 결과 해당 IP 주소가 이전 다른 초등학교 컴퓨터 교실에서 발견된 봇넷과 연관성이 있다는 걸 알아냈다. “이렇게 깔끔한 조치를 하는 데 걸린 시간은 고작 5분이었습니다. 다른 의미에서 ‘멘붕’이 왔죠. 보통 기존의 백신이나 보안 솔루션을 가지고 이렇게 일을 처리하려면 적어도 1주일은 걸리는 게 보통이거든요. 세상 참 좋아졌다 싶었습니다.”
한편 의료 건강 정보 네트워크로 미국 전국의 약국과 병원들이 사용하는 슈어스크립트(Surescripts)라는 곳에서는 인빈시아(Invincea)의 보안 솔루션을 도입하고서부터 두 달 후 크립토락커 랜섬웨어 공격을 효과적으로 막아내는 데 성공했다고 한다. 슈어스크립트의 CISO인 폴 칼라타이여드(Paul Calatayud)는 기존의 백신에 더해 내부자가 실수든 고의적이든 정보를 유출하거나 엔드포인트 공격의 발판이 되는 것을 막기 위해 보안 솔루션을 한층 더 예비했는데, 그게 통했다고 한다. “엔드포인트에 대한 공격이 확실히 늘고 있어서 CISO로서 이에 대한 솔루션을 찾아볼 수밖에 없습니다. 그래도 효과적인 대응이 가능하니, 세상이 좋아지긴 했습니다.”
백신의 입지가 좁아지는 증거
이런 좋은 세상을 이끌어내고 있는 건 무엇일까? 왜 백신은 시장에서 전혀 물러섬이 없음에도 다른 기능을 가진 차세대 소프트웨어로 대체되거나 보조가 필요하게 된 것일까? 아이러니하지만 그동안 백신을 뚫고 일어났던 거대한 사건들 때문이다. 타깃(Target)이나 홈데포(Home Depot), 소니(Sony) 등 여러 시사 매체가 다룰만한 각종 사건들을 뚫고 헤드라인에 안착한 바로 그 악몽 같은 사건들이 오히려 EDR과 같은 차세대 제품의 탄생을 야기한 것.
“회사가 망할 정도 혹은 CEO가 바뀔 정도의 큰 사건들을 겪으며 현 시점에서 보안이란 ‘기업 운영진 수준의 책임과 결정을 요하는 일’이 되어버렸습니다. CIO나 CISO가 기자들 앞에서 발표하지 않는다는 거죠. 보안을 바라보는 시각이 이처럼 달라져 버렸습니다.” 지프튼의 전략가인 조시 애플바움(Josh Applebaum)의 설명이다. “엔드포인트 이전에는 ‘지속적인 모니터링’이 보안 업계의 유행어였죠.”
애플바움의 설명이 이어진다. “하지만 지속적으로 모니터링을 한다고 해도 좋은 것과 나쁜 것을 구분하지 못하면 아무런 소용이 없다는 걸 업계가 깨달았습니다. 그리고 전체를 볼 수 있어야 그런 결정을 내릴 수 있다는 것도요. 그러니 가시성이 강조되고, 경영진이 보안에 더 많이 관여하고 있으며 그에 따라 백신만으로는 소용이 없다는 게 강조되는 것이죠.”
결국 백신이 가지고 있는 한계가 드러났기 때문에 이런 흐름이 일어날 수밖에 없었다는 설명인데, 여기에 더해 ‘무게’의 측면도 적지 않게 작용했다고 애플바움은 주장한다. “백신은 너무 무거워요. 용량이나 컴퓨터 리소스 잡아먹는 측면에서도 그렇고 가격도 그렇고요. 백신 돌아가면 다른 프로그램이 느려지기 시작하죠. 그러니 안 쓰게 되고, 그런 제품인데도 모든 엔드포인트에 설치하려면 가격도 무시할 수 없는 수준이 되고요. 싸고 가벼운 걸 요구하는 게 자연스러운 시장의 흐름일 수밖에 없습니다. 홈데포만 해도 사실 ‘너무 무거워서’ 백신을 설치하고 있지 않다고 된통 당한 것이죠.”실제로 기업들이 백신 설치를 굉장히 부담스러워 한다. 그래서 최근 나오는 보안 솔루션들은 ‘가벼움’을 미덕으로 한다.
생소한 EDR이 좀 더 매력적이려면
그럼에도 기업들이 EDR을 본격적으로 도입하기 시작하려면, 즉 EDR이 잘 팔리려면 사건이 발생한 후 후속조치가 얼마나 빠르고 강력하게 대응하는가가 중요하다고 보인다. 즉 기업들은 ‘해킹 당했을 때 그걸 빠르고 안전하게 해결해주는 무언가’를 찾고 있다는 것. “사건 대응과 포렌식은 굉장히 어려운 기술입니다. 그러니 이걸 제대로 해준다고 하면 기업들은 매력을 느낄 수밖에 없죠. 특히 아웃소싱 즉 외부 인력을 부르지 않고 자체적으로 해결이 가능하다고 하면 대부분 EDR을 도입하고 싶어 할 겁니다.” 타니움의 최고보안아키텍트(CIA)인 라이언 카잔시얀(Ryan Kazanciyan)의 설명이다.
‘사건 대응’ 능력을 강조해야 하는 이유는 포렌식 기술이 점점 ‘필수 능력’이 되어가고 있기 때문이기도 하다. 즉 어려우면 포기할 수 있다는 선택지가 기업 입장에서는 없어지고 있다는 것. “포렌식 기술이 있으면 해킹 사건이 일어났을 때 역추적해서 해커를 잡는다든가 추후 일어날 수 있는 유사 공격을 방어하는 데 큰 도움이 됩니다. 포렌식 기술이 있으면 분석 시간도 줄어들고 놓칠 수 있는 증거도 확보할 수 있습니다. 보안 사건이 점점 크게 다뤄지고 있고, 당한 기업이 되려 소비자들의 철퇴를 맞는 때에 포렌식은 포기할 수 없는 선택지가 되고 있습니다.”
또한 누군가 지적했던 것처럼 헤드라인에서 사라진다고 내 시스템의 멀웨어도 사라지는 건 아니다. 즉 사건 해결 혹은 대응에는 반드시 멀웨어나 감염원의 제거도 포함되어야 한다는 것인데, 이 또한 EDR이 가지고 있는 기능 중 하나다. “전문가가 수동으로 멀웨어를 검색해 제거하려면 못해도 40시간이 걸립니다. 이를 소프트웨어가 대신한다면 한 시간도 안 걸리죠.”
거스를 수 없는 변화
보안 분석가들은 시만텍에 눈길을 주고 있다. 차세대 엔드포인트 보안에 기여하는 뭔가가 시만텍으로부터 나올 것이라는 예상을 하고 있는 것이다. 시만텍의 사이버보안 전략 책임자이자 부사장인 사미르 카푸리아(Samir Kapuria)도 최근 시만텍이 베리타스(Veritas)라는 스토리지 전문 회사를 매각하면서 오히려 보안에 더 집중적으로 투자할 수 있게 되었다고 말한 바 있다. 다만 기존의 시만텍이 지향하던 엔드포인트 보안과는 사뭇 다를 것이라고 강조했다.
“엔드포인트 보안이라는 말로 다 표현하기가 힘듭니다. 엔드포인트는 보안에 있어서 매우 중요한 부분입니다. 하지만 거기에 목을 매달아서는 안 되죠. 보안은 이제 전체적인 걸 보고 생각해야 하니까요. 저희도 그럴 예정입니다. 시만텍이 새로 설정한 보안의 방향은 그래서 ‘전체’입니다.” 시만텍은 현재 1억 7천 5백만 개의 엔드포인트를 전 세계적으로 보유하고 있으며 5천 7백만 개의 공격 센서를 갖추고 있다. “그래서 만들어지는 어마어마한 정보가 ‘전체보기’를 가능하게 해주죠.”
명실상부 업계 리더로서 시만텍을 주시하는 건 카푸리아가 말하는 ‘전체’를 보는 접근법에서부터 출발하는 엔드포인트 보안이 점점 더 중요하게 대두되고 있기 때문이다. “기업의 전체 면적이랄까 활동범위를 전부 바라봐야 합니다. 엔드포인트는 물론 모바일과 클라우드, 데이터센터 보안까지 다양한 분야를 포함해야 하죠. 그런 구성요소들과 요소들이 유기적으로 형성하고 있는 전체 구조를 알아야 비로소 올바른 엔드포인트 보안이 구현될 수 있습니다. 지금 시기의 엔드포인트 보안이 이전의 엔드포인트 보안과 조금 다른 건 바로 이런 ‘전체 배경’에 대한 중요성이 강조된다는 것입니다.”
인텔의 맥아피 역시 비슷한 시기를 지나고 있다. 수석부회장인 켄데이스 월리(Candace Worley)는 맥아피에서만 15년을 근무한 경력자로 백신의 탄생부터 호스트 IPS, 개인 방화벽 등의 흥망성쇠를 현장에서 목격해왔다. 그런 그가 현재 지켜보고 있는 건 모바일과 다방면으로 늘어나고 있는 재택근무자들이다. “앞으로 백신은 ‘보조’역할에 머무를 것입니다. 사소한 공격 정도나 막을 수 있는 게 전부거든요. 즉 멀웨어의 ‘노이즈’를 줄여주는 역할을 하는 데에는 적격입니다만, 아마 그 정도 역할만 하는 게 백신의 운명일 것입니다.” 지금 시장상황이 어떻든 백신은 하향산업이라는 예견이다.
맥아피나 시만텍이나 최근 각각 쓰레트 인텔리전스 익스체인지(Threat Intelligence Exchange)나 유니파이드 시큐리티 애널리틱스(Unified Security Analytics)와 같은 솔루션을 발표하며 자신들이 말한 ‘전체적인 보안’을 구현하려는 제스처를 취했다. “사건이 터졌을 때 그에 대한 후속조치를 취함에 있어 다각도적인 노력을 조직할 수 있도록 돕는 솔루션”으로 “기존 엔드포인트 제품과의 호환성도 뛰어나다”는 게 공통점이다.
맥아피는 백신 회사라는 이미지를 최대한 씻어내고 싶어한다. 월리는 인터뷰 때 “맥아피가 백신 회사였던 건 이미 2003년부터 끝이었다”며 “이젠 다채로운 보안 솔루션 및 서비스를 제공하는 곳이다”라고 강조했다. “지금 저희의 강점은 클라우드와 비슷한 가시성, 보안, 리포팅 기능을 가진 정보보안 서비스를 제공한다는 것입니다.”
트렌드 마이크로는 이미 EDR을 향해 방향을 전환한지 오래다. 트렌드 마이크로의 CTO인 레이먼드 진스(Raimund Genes)는 이런 흐름을 엔드포인트 보안의 진화로 보고 있다. “차세대라는 말은 안 어울려요. 뭔가 새로운 게 아니라 기존 것들을 종합하고 한 데 모은 것이거든요. 화이트리스팅, 엔드포인트 센서, 방화벽 등 새로울 게 없죠. 좀 더 좋아지고, 한 데 모여 더 나은 시너지를 낼 뿐.”
그는 현대의 엔드포인트 보안 제품이 추구해야 할 가장 기본은 ‘관리의 용이성’과 ‘사용의 편이성’이라고 못 박는다. “결국 엔드포인트 보안이라는 건 엔드포인트 사용자, 즉 사람에 대한 보안일 수밖에 없습니다. 그러니 그 사람이 최대한 실수를 저지르지 않게 용이하고 편리하게 만들어야죠. 그게 본질입니다.”
위에서도 언급했지만 EDR은 아직 초창기에 불과하다. 발전의 여지가 많다는 것이다. “앞으로 한 3~5년 간은 대기업에서 EDR 관련 기술을 가진 작은 업체들을 인수인계하는 일이 많이 생길 겁니다. 혹시 이 분야에서 창업을 하고 싶다면 EDR 기술을 개발해서 큰 기업에 팔아보는 것도 노림직할 것입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
