안티바이러스 솔루션, 엔드포인트 보안 플랫폼으로 진화
이제 랜섬웨어에 효율적으로 대응하는 제3의 물결 기대
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] 안티바이러스 제품이 PC의 보안 문제를 완벽하게 해결해 준다고 기대하는 이들은 없을 것이다. 그렇다고 과거 잠시 논쟁이 되었던 안티바이러스 제품의 ‘무용론’을 주장하는 이들 또한 없을 것이다. 엔드포인트 보안 솔루션의 대표주자는 여전히 안티바이러스(AV)이고 보안 솔루션 가운데 가성비가 제일 뛰어나다고 해도 지나치지 않다.
[이미지=utoimage]
그러면 안티바이러스 역할은 어떻게 봐야 할 것인가? 그리고 최근 안티바이러스의 기술 진화는 어디까지 와 있는 것인가를 이해하는 것도 PC 보안을 설계, 이해하는데 도움이 될 것 같다.
1세대 안티바이러스(AV) 제품은 정상적인 파일과 악성 파일을 구분했다. 방법은 간단했다. 악성 파일의 특성을 포함한 시그니처 파일이라는 것을 통해 악성 파일인지 아닌지를 구별했다. 공격의 형태가 불특정 다수였다. 이에 제품을 개발하는 회사 입장에서는 악성 파일의 시그니처를 구하기가 수월했다. 사용자는 새로운 악성 파일을 발견하면 제품을 개발하는 회사에 신고하는 절차만 있으면 상대적으로 빠른 대응이 가능했다. 그렇지만 이러한 방식은 악성코드의 진화 속도에 대응하기에는 한계가 있었다. 한 개의 악성코드가 수만 개의 시스템을 공격하는 형태에서 아주 적은 수의 컴퓨터를 타깃으로 공격하는 형태로 바뀌었기 때문이다. 자연스레 대응은 늦어질 수밖에 없었다. 새로운 공격에 대응할 기술이 필요해졌다.
2세대 안티바이러스 제품이 탄생할 수밖에 없는 환경이 만들어진 것이다. 시그너처 기반 파일 분석 외에도 악성 행위를 실시간으로 분석할 필요가 생겼다. 이 때문에 안티바이러스 외에 HIPS, 개인용 방화벽, 행위 기반 탐지기술이 더해져서 안티바이러스 솔루션은 엔드포인트 보안 플랫폼(Endpoint Protection Platform)으로 한 단계 진화했다.
▲맥아피의 Endpoint Protection Platform[자료=맥아피코리아]
안티바이러스가 흑백(Good file vs, Bad file)의 진영이었다면 회색 영역(gray) 담당은 EPP에 포함되어 있는 평판분석 기술, 행위분석 기술, 위협 인텔리전스 등의 영역으로 넘어갔다. 어벤저스 느낌의 EPP지만 그럼에도 불구하고 공격을 완벽히 차단하는 것은 불가능하다.
이에 따라 엔드포인트에서 공격 흔적을 찾아 분석하는 EDR(Endpoint Detection & Response)이 EPP와 결합해서 운영되고 있다. EDR 도입을 위해 반드시 선행되어야 하는 조건은 탐지된 위협을 분석하고 대응할 수 있는 보안 분석가가 있어야 한다는 것이다. 이는 국내에서 EDR이 빠른 속도로 자리를 잡아가는 데 있어 걸림돌이 된다. 클라우드 인프라에서 AI를 이용한 분석 기술 또한 점점 발전해 나가겠지만 내부 분석가 없이 EDR를 운영하는 것은 올바른 전술이라고 할 수 없다.
고객들이 느끼는 엔드포인트 보안의 주요 고민은 랜섬웨어 대응이다. 회사들마다 대응 프로세스를 만들어가고 있다. 필자는 여기에 더해서 안티바이러스를 제공하는 모든 업체들이 랜섬웨어 감염시 파일을 복구하는 기술을 선보였으면 하는 기대를 해 본다.
기술이라는 것이 선도 업체가 있으면 팔로워 기업이 생기기 마련이다. 안티바이러스 기능에 개인용 방화벽이나 HIPS, 행위 분석 기술이 포함될 때도 그랬다. 모든 제조사가 동시에 기술을 발표하지는 않았다. 그러나 지금은 EPP 제품이 거의 비슷한 형태를 갖추고 있다.
맥아피의 경우에는 랜섬웨어에 감염되더라도 즉시 실행 전으로 롤 백(Roll Back) 하는 기능이 구현되어 추가 비용 없이 랜섬웨어에 대응할 수 있는 프로세스를 갖추고 있다. 다른 안티바이러스 제조사들도 이러한 기능이 구현된다면 중소기업의 보안 강화에 큰 도움이 될 것이다.
▲맥아피 엔드포인트 솔루션에서의 랜섬웨어 대응[자료=맥아피코리아]
엘빈 토플러는 인류의 문명을 ‘제3의 물결’로 설명했다.
엔드포인트 보안도 안티바이러스의 기술 진화가 있었던 제1의 물결과 EPP의 제2의 물결을 넘어 안티바이러스 그 자체로 랜섬웨어에 효율적으로 대응하는 제3의 물결을 기대해본다.
[글_ 황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸며, 시만텍과 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
이제 랜섬웨어에 효율적으로 대응하는 제3의 물결 기대
[보안뉴스= 황민주 맥아피코리아 엔터프라이즈사업부문 대표] 안티바이러스 제품이 PC의 보안 문제를 완벽하게 해결해 준다고 기대하는 이들은 없을 것이다. 그렇다고 과거 잠시 논쟁이 되었던 안티바이러스 제품의 ‘무용론’을 주장하는 이들 또한 없을 것이다. 엔드포인트 보안 솔루션의 대표주자는 여전히 안티바이러스(AV)이고 보안 솔루션 가운데 가성비가 제일 뛰어나다고 해도 지나치지 않다.
[이미지=utoimage]
그러면 안티바이러스 역할은 어떻게 봐야 할 것인가? 그리고 최근 안티바이러스의 기술 진화는 어디까지 와 있는 것인가를 이해하는 것도 PC 보안을 설계, 이해하는데 도움이 될 것 같다.
1세대 안티바이러스(AV) 제품은 정상적인 파일과 악성 파일을 구분했다. 방법은 간단했다. 악성 파일의 특성을 포함한 시그니처 파일이라는 것을 통해 악성 파일인지 아닌지를 구별했다. 공격의 형태가 불특정 다수였다. 이에 제품을 개발하는 회사 입장에서는 악성 파일의 시그니처를 구하기가 수월했다. 사용자는 새로운 악성 파일을 발견하면 제품을 개발하는 회사에 신고하는 절차만 있으면 상대적으로 빠른 대응이 가능했다. 그렇지만 이러한 방식은 악성코드의 진화 속도에 대응하기에는 한계가 있었다. 한 개의 악성코드가 수만 개의 시스템을 공격하는 형태에서 아주 적은 수의 컴퓨터를 타깃으로 공격하는 형태로 바뀌었기 때문이다. 자연스레 대응은 늦어질 수밖에 없었다. 새로운 공격에 대응할 기술이 필요해졌다.
2세대 안티바이러스 제품이 탄생할 수밖에 없는 환경이 만들어진 것이다. 시그너처 기반 파일 분석 외에도 악성 행위를 실시간으로 분석할 필요가 생겼다. 이 때문에 안티바이러스 외에 HIPS, 개인용 방화벽, 행위 기반 탐지기술이 더해져서 안티바이러스 솔루션은 엔드포인트 보안 플랫폼(Endpoint Protection Platform)으로 한 단계 진화했다.
▲맥아피의 Endpoint Protection Platform[자료=맥아피코리아]
안티바이러스가 흑백(Good file vs, Bad file)의 진영이었다면 회색 영역(gray) 담당은 EPP에 포함되어 있는 평판분석 기술, 행위분석 기술, 위협 인텔리전스 등의 영역으로 넘어갔다. 어벤저스 느낌의 EPP지만 그럼에도 불구하고 공격을 완벽히 차단하는 것은 불가능하다.
이에 따라 엔드포인트에서 공격 흔적을 찾아 분석하는 EDR(Endpoint Detection & Response)이 EPP와 결합해서 운영되고 있다. EDR 도입을 위해 반드시 선행되어야 하는 조건은 탐지된 위협을 분석하고 대응할 수 있는 보안 분석가가 있어야 한다는 것이다. 이는 국내에서 EDR이 빠른 속도로 자리를 잡아가는 데 있어 걸림돌이 된다. 클라우드 인프라에서 AI를 이용한 분석 기술 또한 점점 발전해 나가겠지만 내부 분석가 없이 EDR를 운영하는 것은 올바른 전술이라고 할 수 없다.
고객들이 느끼는 엔드포인트 보안의 주요 고민은 랜섬웨어 대응이다. 회사들마다 대응 프로세스를 만들어가고 있다. 필자는 여기에 더해서 안티바이러스를 제공하는 모든 업체들이 랜섬웨어 감염시 파일을 복구하는 기술을 선보였으면 하는 기대를 해 본다.
기술이라는 것이 선도 업체가 있으면 팔로워 기업이 생기기 마련이다. 안티바이러스 기능에 개인용 방화벽이나 HIPS, 행위 분석 기술이 포함될 때도 그랬다. 모든 제조사가 동시에 기술을 발표하지는 않았다. 그러나 지금은 EPP 제품이 거의 비슷한 형태를 갖추고 있다.
맥아피의 경우에는 랜섬웨어에 감염되더라도 즉시 실행 전으로 롤 백(Roll Back) 하는 기능이 구현되어 추가 비용 없이 랜섬웨어에 대응할 수 있는 프로세스를 갖추고 있다. 다른 안티바이러스 제조사들도 이러한 기능이 구현된다면 중소기업의 보안 강화에 큰 도움이 될 것이다.
▲맥아피 엔드포인트 솔루션에서의 랜섬웨어 대응[자료=맥아피코리아]
엘빈 토플러는 인류의 문명을 ‘제3의 물결’로 설명했다.
엔드포인트 보안도 안티바이러스의 기술 진화가 있었던 제1의 물결과 EPP의 제2의 물결을 넘어 안티바이러스 그 자체로 랜섬웨어에 효율적으로 대응하는 제3의 물결을 기대해본다.
[글_ 황민주 맥아피코리아 엔터프라이즈사업부문 대표]
[필자 소개]
황민주_20년 간 보안업계에 몸담고 있지만 보안이 필요 없는 세상을 꿈꾸며, 시만텍과 마이크로소프트를 거쳐 현재 맥아피코리아 엔터프라이즈 사업부문 대표로 재임 중이다.
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
