Whitelist vs. Blacklist 지난 호에서는 클라우드 기술을 이용한 예측 방어에 대해 알아보았다. 이번 호에서는 바이러스 백신 프로그램에서 사용하는 블랙리스트가 아닌 허가된 애플리케이션들만 실행을 허용할 수 있는 화이트리스트 기반의 엔드포인트 보안 솔루션에 대하여 살펴보기로 한다.

지난 호에서는 갈수록 심각해지고 있는 엔드포인트 보안을 위하여 기존 시그너처 탐지방법 외에 클라우드 기술을 이용한 예측방어라는 주제로 McAfee의 글로벌 보안 기술의 핵심인 실시간 멀웨어 탐지 및 차단 기술인 Artemis를 비롯하여 평판점수에 의거하여 웹사이트 접속, 멀웨어 유입을 차단하는 TrustedSource 기술, 마지막으로 웹 사이트의 안전성 여부를 사전에 알려줄 수 있는 SiteAdvisor 기술을 살펴보았다.
 
이번 호에서는 바이러스 백신 프로그램에서 사용하는 블랙리스트가 아닌 허가된 애플리케이션들만 실행을 허용할 수 있는 화이트리스트 기반의 엔드포인트 보안 솔루션에 대하여 살펴보기로 하겠다.

화이트 리스트 기반의 애플리케이션 통제
얼마 전까지만 하더라도 안티바이러스 소프트웨어만 설치하고 업데이트하는 것이 전부였다. 그러나 현재 기업들은 웜, 스파이웨어, 트로이 목마, 봇, 루트킷, 해커, ID 도난 및 그 외 특정 회사의 특정 시스템을 대상으로 하는 표적형 공격에 끊임없이 직면하고 있다. 또한 각종 규제 및 컴플라이언스를 확인 및 보고해야 하는 엄격한 요구 사항에 따라 위험이 이전보다 더 커졌다고 할 수 있다. 이러한 요구사항들을 충족시키기 위해서는 안티바이러스 소프트웨어만으로는 불충분하며 안티스팸, NAC, 데스크톱 방화벽, 호스트 IPS 등과 같은 다계층 보안 솔루션이 필수적으로 요구되고 있다. 이와 같은 여러 가지 솔루션을 엔드포인트 시스템에 설치 운영하기 위해서는 시스템의 하드웨어 사양이 낮은 경우에는 적용하는데 어려움을 겪을 수밖에 없다. 기업에서는 처음 설치시뿐만 아니라 보안 솔루션을 지속적으로 운영하기 위해서는 통합된 콘솔이 필수적이며 운영 효율성 및 ROI 또한 고려해야 하는 어려움에 처해있다.
 
진보된 멀웨어가 전례 없이 증가함에 따라 기업들은 엔드포인트 보호를 위해 정기적으로 다운로드 받는 형태의 시그너처 패턴 분석을 사용하는 솔루션에 더 이상 의존할 수 없게 되었다. 위협을 식별하고 분석한 후 해당 시그너처를 밝혀내서 엔드포인트에 적용하기까지는 항상 24~72시간 정도의 갭이 생기기 때문에 이 기간 동안 기업의 데이터와 시스템은 위협에 노출되어 있게 된다.
 
지난 번에 살펴본 것 처럼 이러한 기존 시그너처 기반의 탐지방식을 보완하기 위한 기술을 클라우드라고 불리우는 형태의 새로운 기술로 대응하기 위하여 노력하고 있다. McAfee는 Artemis라는 기술을 이용하여 전세계 각지에서 수집한 커뮤니티 위협 정보를 기반으로 항상 실시간으로 작동하는 보호 기능을 제공하여 이러한 시간차를 줄이고자 노력하고 있다. 즉 Artemis 기술은 시그너쳐를 밝혀내기 전이라도 언제 어디서나 위협을 검역하고 차단해낼 수 있다.
 
지금까지 살펴본 이러한 노력들은 모두 블랙리스트 기반의 접근방식이다. 엔드포인트 시스템의 하드웨어 사양이 충분하고 네트워크에 항상 연결되어 있는 상태라면 위에서 설명한 클라우드 기술을 포함하여 안티바이러스, 안티스파이웨어, NAC, 데스크톱 방화벽, 호스트 IPS 등의 다계층 보안 솔루션을 설치 운영하여 갈수록 지능화되어 가고 있는 위협에 대응하도록 할 수 있으나 우리 주위에는 낮은 하드웨어 사양과 네트워크 대역폭등의 어려움으로 인하여 다계층 보안 솔루션을 적용하기 어려운 경우들을 많이 보게 된다.
 
즉 은행의 ATM 머신, 편의점의 POS 장비, 공장 자동화 머신 등의 경우에는 대부분 하드웨어 사양이 낮을 뿐만 아니라 매일 이루어져야 하는 바이러스 정의 패턴 업데이트에 어려움을 겪고 있다. 또한 검증되지 않은 바이러스 정의 패턴 업데이트로 인하여 시스템의 안정성에 치명적인 오류를 가져올 경우에는 비즈니스 경쟁력을 잃게 되는 위험에 처할 수도 있다. 화이트 리스트 기반의 솔루션은 이와 같은 환경에 처해있는 엔드포인트 시스템들을 위한 최선의 선택이 될 수 있도록 출발하였으며 현재는 일반 엔터프라이즈 환경에서 고정 업무를 담당하는 시스템의 보안 솔루션으로서 주목을 받고 있다.

효과적인 비인가 애플리케이션 차단
사용자는 자기도 모르게 멀웨어를 설치할 수 있으며 지원 문제가 발생하는 소프트웨어를 설치할 수 있고 불법 소프트웨어를 설치할 수 있다. 이러한 것들이 시스템과 기업 전반에 위협이 될 수 있다. 화이트 리스트 기반의 애플리케이션 통제 시스템은 허가되지 않은 애플리케이션을 차단하는 효과적인 방법을 제공할 뿐만 아니라 실시간 메모리 보호를 통하여 악의적인 웜, 트로이목마, 바이러스 등의 실행을 차단하는 보안 솔루션의 역할을 톡톡히 해내고 있다.
 
화이트리스트 기반의 솔루션이 가져야 하는 특징은 다음과 같다. 첫째, 엔드포인트의 애플리케이션에 대한 가시성 및 관리 방안이 제공되어야 한다. 즉 엔드포인트에서 허가된 애플리케이션의 목록을 자동 수집할 수 있어야 하며 어떤 애플리케이션들이 화이트리스트에 포함되어져 있는가에 대하여 가시성이 확보되어야 한다.
 
두번째, 고정 시스템 및 장비에 쉽게 설치하고 실행 가능해야 한다. 네트워크에 연결되어 있는 시스템의 경우에는 중앙에서 배포 및 관리가 가능해야 하며, 그렇지 않은 경우에는 단독으로 배포되고 운영될 수 있어야 한다. 세번째, 화이트리스트를 생성하는 경우에 수동으로 일일이 등록한다는 것은 불가능하다. 따라서 동적으로 화이트 리스트가 생성되고 유지할 수 있어야만 관리자의 많은 시간과 노력을 절감할 수 있다. 네번째, 낮은 하드웨어 사양에서도 원활하게 운영될 수 있도록 오버헤드가 적어야 한다. 이러한 특징을 제공하는 McAfee의 애플리케이션 컨트롤과 체인지 컨트롤 솔루션에 대하여 살펴보자.

McAfee 애플리케이션 컨트롤은 엔드포인트 시스템의 CPU 또는 메모리 자원 측면에서 오버헤드 면적이 적어 시스템 성능에 영향을 미치지 않으며 초기 비용 및 이후 진행되는 운영 비용이 매우 적을 뿐만 아니라 네트워크 액세스가 없는 독립적인 모드에서도 동일한 효과를 볼 수 있도록 개발되었다. 주요 기능으로는 모든 무단 소프트웨어, 스크립트 및 동적 링크 라이브러리(DLL)의 실행 방지 및 메모리 악용 방지를 통하여 불법 소프트웨어뿐만 아니라 자기도 모르는 사이에 설치될 수 있는 ActiveX를 비롯한 모든 멀웨어의 실행을 차단할 수 있다. 또한 인증된 프로세스를 통해 추가되는 새로운 소프트웨어의 설치 및 업그레이드는 허용함으로써 운영의 편의성을 제공한다.
 
McAfee 애플리케이션 컨트롤은 네트워크에 연결되어 있는 엔드포인트 시스템들을 중앙에서 에이젼트 배포, 이벤트 취합 및 정책 설정등을 효율적으로 수행하기 위해 ePO라는 관리 콘솔을 제공한다. ePO를 통해서 관리하고자 하는 엔드포인트 PC 및 서버에는 애플리케이션 컨트롤 에이젼트가 자동으로 배포될 수 있으며 클라이언트 환경은 마이크로소프트 윈도우를 포함하여 Linux, Solaris, HP-UX 등과 같은 모든 주요 운영체제를 지원하고 있다.
 
네트워크 연결이 제공되지 않는 환경에서는 ePO의 도움 없이 단독으로 배포 운영할 수 있는 방법 또한 제공하고 있다. McAfee 애플리케이션 컨트롤의 기능을 살펴보면 첫번째 ePO를 통하여 애플리케이션 컨트롤 에이전트가 클라이언트에 배포되게 되면 해당 에이젼트는 엔드포인트 시스템상에서 운영되는 모든 애플리케이션 리스트들을 스캔하여 자동으로 화이트리스트 목록에 추가하게 된다. 초기 시스템 인벤토리가 생성된 후 재부팅을 해주게 되면 자동 락다운 기능이 활성화되어 이후의 모든 애플리케이션의 설치 및 기존 애플리케이션 삭제 시도는 차단되게 된다.
 
자동 락다운 상태에서는 위 화면에서 보는 것처럼 새로운 애플리케이션 설치 시도시에 실행 차단, 은행 사이트등에서의 새로운 ActiveX 설치 차단, 기존 설치된 애플리케이션 삭제 시도 차단 등이 이루어지게 된다.
 
화이트리스트 기반의 솔루션에서 필수적으로 요구되는 기능 중에 하나는 락다운 상태에서도 승인된 애플리케이션의 목록을 다이나믹하게 유지 관리할 수 있어야 한다는 것이다. 즉 엔드포인트 시스템상에서 주기적으로 업데이트가 되어야 하는 보안 패치 등과 같은 실행 파일들을 손쉽게 등록하여 인증된 소프트웨어는 실행 가능하되 그렇지 않은 경우에는 모두 차단이 되어야 하기 때문이다. McAfee 애플리케이션 컨트롤은 기본적으로 업계에서 일반적으로 많이 사용하는 애플리케이션들의 업데이트 목록을 제공하기 때문에 별도의 인증된 업데이트 프로그램을 등록시킬 필요가 없으며 필요한 경우에 운영자가 다양한 방법을 통해 엔드포인트 시스템에 실행을 허용할 애플리케이션들의 목록을 동적으로 유지·관리할 수 있는 방법을 제공한다.

McAfee 체인지 컨트롤
오늘날 대부분의 IT 기업은 운영 효율에 대한 변경의 중요성을 인식하고 있으며 수많은 기업이 변경 관리 시스템이나 서비스 데스크등의 프로세스 자동화 툴에 투자해 오고 있다. 그러나 실제 변경 활동과 문서화된 변경 관리 프로세스 사이에는 격차가 존재하고 있으며 이러한 변경관리 격차 때문에 IT 부서는 수동으로 변경 비용 관리 및 최소화 업무를 하게 된다. McAfee 체인지 컨트롤은 변경 관리에 대한 제어 기능을 추가하여 이와 같은 격차를 해소시킬 수 있다. 이는 변경 사항의 실시간 탐지, 변경 활동 검증에 대한 책임성 및 원치 않는 변경을 방지해주는 실시간 변경 방지 기능을 고객에 제공하여 실현한다.

McAfee 체인지 컨트롤은 컴플라이언스 보고를 위해 PCI 및 SOX 제어를 자동화하고 중요한 시스템에 대해 잠금을 설정하기 때문에 오직 신뢰성 있는 애플리케이션만 실행되도록 할 수 있으며 변경 관련 정지 시간 현상을 방지하여 서비스 가용성이 향상되고 ITIL 채택속도가 개선된다. 광범위한 플랫폼에서 배치할 수 있는 운영이 쉽고 수동 작동 빈도가 낮으며 오버헤드가 적은 소프트웨어인 McAfee 체인지 컨트롤은 서버, 네트워크 장치(예: 스위치, 라우터 및 방화벽) 및 데이터베이스에 대한 변경 관리 기능을 제공한다.
 
McAfee 체인지 컨트롤은 실시간 변경 관리를 위하여 시스템 상태에 대한 스냅샷을 제공하고 비교하는 검색 기반의 솔루션과는 달리 엔드포인트 시스템에 시도되는 모든 변경 사항을 실시간으로 계속 추적하고 검증한다. 체인지 컨트롤이 가져야 되는 특징으로는 다음과 같다. 첫번째 인프라 전반에서의 모든 변경 사항이 발생하는 순간 독립적인 변경 데이터베이스에 기록해야 한다. 두번째로 시도되는 모든 변경 사항이 적용되기 전에 실시간으로 확인할 수 있어야 한다. 세번째, 엔드포인트에 대한 매우 적은 오버헤드만으로 운영하는데 방해가 될 수 도 있는 급격한 자원 활용도 상승 문제를 제거할 수 있어야 한다.
 
McAfee 체인지 컨트롤은 엔드포인트 시스템상에서 특정 파일 및 폴더를 대상으로 읽기 시도 및 쓰기 시도를 차단할 수 있도록 중앙에서 ePO를 통하여 정책을 설정할 수 있다. 설정된 정책에 따라서 엔드포인트상에서 인가되지 않은 변경시도시에 즉시 차단이 이루어질 뿐만 아니라 중앙의 ePO 로 모든 이벤트들이 실시간 취합됨으로써 언제 누가 어떤 시도를 했는지를 추적하고 통제할 수 있게 된다.
 
아직 국내에는 많이 알려져 있지 않지만 PCIDSS(Payment Card Industry Data Security Standard)를 준수하기 위해 판매 업체 및 서비스 제공업체는 12개의 범주로 된 약 180개의 개별 요건을 준수해야 한다. 그러나 최근 조사에 따르면 사용 파일 모니터링 및 감사 추적을 명시하고 있는 PCI-DSS의 범주 10/11은 충족하기 가장 까다로울 뿐만 아니라 충족도 역시 최소인 것으로 나타났다.
 
기존 툴의 경우 자원이 많이 소요되는 시스템 검색을 통해 변경 사항을 탐지하는 ‘주기적’ 파일 무결성 모니터링 기능만을 제공했기 때문에 위와 같은 요건들을 충족하기란 어려운 일이었다. McAfee 체인지 컨트롤은 IT 인프라 전반에서 범주 관리 기능을 제공하므로 소매업체는 물론 신용 카드 및 거래를 처리하는 담당자가 효과적이고 비용 효율적인 방식으로 까다로운 PCI 요건들을 충족시키고 PCI 컴플라이언스 여부를 검증할 수 있도록 지원한다. 
 
이번호에서는 기존 바이러스 백신 프로그램에서 사용하는 블랙리스트가 아닌 허가된 어플리케이션들만 실행을 허용할 수 있는 화이트리스트 기반의 엔드포인트 보안 솔루션에 대하여 살펴보았다. 다음호에서는 현재 스마트폰에서의 보안 및 어플리케이션 통제 등과 같은 중앙 관리 솔루션의 필요성이 높아짐에 따라 요구되어지고 있는 스마트폰 관리상의 이슈들을 살펴보고 McAfee 가 최근 인수한 Trust Digital 엔터프라이즈 모빌리티 관리(EMM) 솔루션에 대하여 살펴보기로 한다.
<글 : 김현수 한국맥아피 이사, CISA·CISSP(Hyunsoo_kim@McAfee.com)>

[월간 정보보호21c 통권 제120호(info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>