엔드포인트 보안, 지속적인 보안과 탐지 위주 보안의 산물
중요한 건 레이어드 시큐리티, 모든 보안 요소가 중요해
이번 기사는 기존 [스압특집-3] 다시 떠오르고 있는 엔드포인트 보안의 확장판으로 요즘 다시 화두가 되고 있는 엔드포인트 보안에 대해 좀 더 이해가 쉽도록 기존의 보안과 비교하여 차별화되는 점을 포인트별로 정리한 것입니다. 역시나 약간의 ‘스압’이 있습니다.
[보안뉴스 문가용] 엔드포인트가 화두가 되고 있다고 하는데, 사실 현장에서는 아직도 기존 엔드포인트 툴 가지고도 제대로 다루지 못해 애를 먹는 곳이 많다. 이들이 가지고 있는 기존 엔드포인트 툴이란 백신, 호스트 침입 방지 시스템(HIPS), 호스트 방화벽, 화이트리스트, 휴리스틱(교육법) 등이다. 하지만 사이버 공격이 워낙에 빠르고 다양하게 변해가는 때에 기존 툴만을 고집해서는 금방 한계에 다다르기 마련이다. 게다가 궁극의 취약점인 인간은 그 누구도 어쩌지 못하는 영역이고 말이다.
.jpg)
▲ 귀여운 녀석들. 내가 없었으면 너희도 없었단다.
그러나 이런 상황에도 역시 변화가 다가오고 있다. 시만텍, 맥아피(혹은 인텔 시큐리티)가 엔드포인트 보안에 팔을 걷어붙이고 나선 것이다. 이들이 각각 내놓은 솔루션은 기존 엔드포인트 솔루션들의 상식과 기능을 크게 상회하는 것으로, 특히 시그니처 기반의 방지 기법과 그 궤를 완전히 달리한다. 이들이 초점을 맞추는 엔드포인트 보안이란 공격이 들어왔을 때 빠르게 탐지해서 문제를 최소 시간 안에 해결하는 것. 이를 엔드포인트 탐지 및 대응(EDR)이라고 부르며, 이 개념에서 엔드포인트란 ‘보안의 문제점’이 아니라 ‘해결의 중요한 실마리’가 된다.
업체마다 조금씩 차이가 있지만 현대 혹은 차세대 엔드포인트 보안이 말하는 몇 가지 핵심요소가 겹치긴 한다. 그 핵심요소 중 가장 중요한 건 바로 ‘엔드포인트는 공격의 첫 경로가 된다’는 것으로, 그렇기 때문에 엔드포인트에 힘을 쏟는 게 효율적이라는 계산이 나오게 된다. 새롭게 떠오르는 이 엔드포인트 보안에서 중요한 점을 몇 가지 꼽아보면 다음과 같다.
1. 탐지(방지가 아니라)
사실 불과 얼마 전만 해도 방지냐 탐지냐의 논란이 계속 진행 중이었고, 양 진형의 주장이 팽팽했다. 그런데 갑자기 탐지로 무게가 확 기울었다. 그 가장 큰 이유는 100%를 장담할 수 없는 방지는 실패했을 때의 손실이 너무 크다는 것이다. 탐지 역시 100%는 아니지만 공격이 발생했을 때의 조치로서는 훨씬 안정적이다. 그래서 그런지 최근 떠오르는 엔드포인트 보안에서 가장 중요한 점은 피해를 최소화하는 것이다.
사실 탐지와 방지를 구분해서 표현하기는 하는데, 둘은 서로와 비슷하기도 하다. 일단 탐지 기능은 패치가 안 된 취약점이나 잘못 된 환경설정을 엔드포인트에서 찾아내 공격의 경로를 일부 차단한다. 이는 방지를 위주로 한 보안에서도 주로 하는 것으로, ‘이것만으로는 불충분하다’는 건 여전하다.
2. 사용자 활동과 행동 관찰
최신 엔드포인트 보안 기술에서 중요한 건 가시성이다. 사용자 기기나 네트워크 뿐 아니라 그 기기 및 네트워크를 사용하는 사용자들의 행동들도 다 한 눈에 볼 수 있는 상태를 추구한다. 그래야 봇과 관련된 통신들을 보고 지나치지 않을 수 있으며, 조기에 올바른 경보를 발생시킬 확률도 높아진다.
EDR 전문업체인 지프튼(Ziften)의 조시 애플바움(Josh Applebaum) 부회장은 엔드포인트 보안이 뜨기 전에 ‘지속적인 보안’이 있었기 때문에 가능할 수 있는 부분이라고 강조한다. “당대의 유행이라는 게 한 번에 갑자기 튀어나오진 않습니다. 늘 전대의 영향을 받죠. 지금 엔드포인트 보안이라는 것도 지속적인 모니터링이라는 개념이 없었으면 안 나왔을 겁니다. 지속적인 보안이란 개념은 부정당한 게 아니라 편입된 겁니다.”
그러나 한편으로 실시간 사용자 모니터링이 차세대 엔드포인트 보안에 편입될 수 있었던 건 “지속적인 모니터링이 피해의 최소화에 기여하는 바가 지난 몇 개월 간 증명이 되었기 때문”이라고 센티넬원(SentinelOne)의 CEO인 토머 와인가튼(Tomer Wiengarten)은 분석하기도 한다.
3. HIPS, 애플리케이션 화이트리스트, 휴리스틱 등
몇 년 전 애플리케이션 화이트리스팅이란 개념이 등장했을 때 업계의 반응은 찬사 일색이었다. 멀웨어의 침입을 방지할 수 있는 궁극의 해결책인 것으로 묘사했고, 또 묘사됐다. 그러나 이 역시 금방 한계가 드러났다. 무엇보다 화이트리스팅에 의거해 애플리케이션을 설치하고 운영하기엔 너무나 빡빡했다. 그렇다고 모든 공격을 막을 수 있었던 것도 아니다. 이는 호스트 침입 방지 시스템(HIPS)와 호스트 방화벽 역시 마찬가지였다. 그러나 이런 모든 기존의 보안 솔루션 및 방어책들을 깡그리 무시할 수는 없으며 폐기처분한다는 건 말도 안 된다는 게 보안 업계에 있는 전문가 대부분의 목소리이다.
왜냐하면 결국 보안은 예나 지금이나 “다계층 보안” 혹은 레이어드 시큐리티(layered security)만한 방어법은 존재하지 않기 때문이다. 단 하나로 모든 걸 해결할 수 있는 만능 솔루션이 등장하지 않는 이상, 각자 자기의 맡은 바를 충실히 해내는 솔루션들을 집합시켜 놓은 다계층 보안을 대체할 수단은 당분간 나오지 않을 전망이다.
예를 들어 트렌드 마이크로(Trend Micro)와 같은, 보안 업계에서 잔뼈 굵은 기업 역시 위에서 말한 모든 방법을 총동원해서 회사 시스템들을 보호한다. “여태까지 개발해온 보안 솔루션 중 쓸모 없는 건 하나도 없어요. 저흰 앞으로도 계속해서 그런 방법들을 잘 배합해서 사용할 것입니다.” 트렌드 마이크로의 CTO인 라이문드 진스(Raimund Genes)의 예견처럼 말이다.
4. 클라우드와 경량화된 센서들
최근 떠오르고 있는 보안의 또 다른 주요 덕목이 있다면 ‘경량화’다. 클라이언트 시스템에 무거운 소프트웨어를 덕지덕지 깔고 싶어 하지도 않고, 클라이언트도 그런 건 노땡큐다. 사실 백신이 각광받지 못한 가장 큰 이유가 바로 그것이다. EDR 제품들은 클라우드 기반이거나 커널에 설치되기 때문에 매우 가볍다. 사일런스(Cylance)라는 업체가 만드는 솔루션은 머신 러닝 알고리즘을 바탕으로 하기 때문에 가볍고, 크라우드스트라이크(Crowdstrike)의 제품들은 클라우드에 설치되어서 가볍다. 결국 성능도 좋은데 거의 필수적으로 가볍기까지 해야 되는데, 다행히 그런 시장의 요구사항은 잘 받아들여지고 있다.
시만텍의 CEO인 마이클 브라운(Michael Brown) 역시 새로 발표한 제품인 ATP 플랫폼의 가장 큰 장점으로 가벼움을 꼽았다. “현존하는 솔루션들은 대부분 다이어트에 실패해서 사용자의 시스템에 커다란 과부하를 줬습니다. 하지만 ATP는 날씬하고 가볍습니다. 추가 에이전트를 요구하지도 않고요.”
5. 사건 대응 및 포렌식
엔드포인트에는 해커가 훔쳐가고 싶은 정보도 잔뜩 있지만 포렌식 및 수사에 필요한 정보도 가득하다. 멀웨어의 흔적 등 공격의 여러 가지 자국들이 가장 생생하게 남아있는 곳이 바로 엔드포인트인 것. 중요한 건 그런 가득한 정보들을 수집하고 저장해서 공격의 근원을 알아내는 것이다. 그것은 미래에 같거나 유사한 공격이 또 들어왔을 때 그것을 막아낼 수 있도록 방비하는 것이기도 하다. 수사와 미래에 대한 대비까지, 전부 엔드포인트 다루는 것에 달려 있는데, 그렇기 때문에 맨디언트(Mandiant)의 창립자인 케빈 맨디아(Kevin Mandia)는 엔드포인트를 “진실의 최종 근원지”라고 부르기도 한다.
버라이즌(Verizon)은 자신들이 수사해왔던 수많은 사건들 중 해커가 수분 안에 공격을 성공시킨 게 무려 60%라고 한다. 실제 해커들이 공격에 걸린 시간과 피해자들이 공격당한 사실을 파악하는 데 걸리는 시간을 비교하면, 해커들의 압승이라고 한다. “차세대 엔드포인트 제품군이 더 활성화되면 기존 백신들이 잡아내지 못했던 공격을 발견할 수 있을 거라고 봅니다. 자연히 포렌식 능력이 전체적으로 상승하겠죠.” 맨디아의 예상이다.
그러나 포렌식 수사라는 게 그리 간단한 일은 아니다. 그리고 포렌식 수사를 확보할 수 있는 사건대응팀을 제대로 갖춘 회사는 아직도 드문 수준이다. 엔드포인트 보안을 강화한다고 해서 자동으로 바랄 수 있는 기대효과는 아니라는 것. 그렇기 때문에 최근 등장하기 시작한 EDR 제품들이 주목을 받는 것이기도 하다. 이 제품들에는 자동 포렌식 데이터 수집 및 저장 기능이 있으며, 심지어 공격자들의 공격을 재현해주는 ‘플레이백’ 기능도 지원한다.
6. 복구와 청소
2차 공격이라고 하더라도 공격자의 행위를 탐지해 막아내는 건 대단한 일이다. 첫 공격에는 누구나 뚫릴 수 있지만 두 번째 공격을 막아내는 건 제대로 된 보안팀의 노력이 필요하다. 그렇기 위해 가장 필요한 건 무엇일까? 바로 ‘청소’다. 멀웨어의 조그마한 흔적이라도 말끔히 지워내야 두 번째 공격의 난이도를 높일 수 있다. 여기에는 기존에 무시했던 패치를 다 적용하고 환경설정을 제대로 하는 것도 포함된다.
그러한 이유로 차세대 엔드포인트 보안툴들은 대부분 자동 패치 및 업데이트 기능을 장착할 예정이다. 센티넬원의 토머 와인가튼은 “엔드포인트 보안 솔루션은 공격 등의 심각한 상황이 발생함과 동시에 엔드포인트를 단단하게 만들어야 하고, 활동영역 및 사용자 행동 영역을 아주 좁게 제한시킬 수 있어야 한다”며 “여기에 더해 복구 기능도 필수로 요구된다”고 내다봤다.
이렇게 시장이 엔드포인트 쪽으로 확 쏠리는 바람에 약간의 변화가 있을 것이라고 보고 있다. 가트너(Gartner)의 부회장인 피터 퍼스트브룩(Peter Firstbrook)이 그 중 하나다. “시장의 주류들이 죄다 엔드포인트에 집중하기 시작했습니다. 이 때문에 시장이 두 갈래로 나뉠 확률이 높습니다. 하나는 규모도 작고 기술력이 덜한 사용자들을 위한 솔루션을 위주로 한 시장, 또 다른 하나는 탐지와 복구에 대한 시장의 수요를 만족시켜줄 만한 솔루션 시장이죠.”
7. 백신, 그래, 백신
백신은 항상 구세대 물건 취급받아왔고, 그 수명도 다했다는 전망이 많은 듯 하다. 그러나 이는 사실이 아니다. 아무리 잘난 솔루션들이 매끈하게 뽑혀 나와도 백신은 항상 우리 곁에 머물러 있을 것이다.
일단 당장 기업 시스템에서 백신을 완전히 지워내고 싶어 하는 곳이 거의 없다. EDR 제품을 출시하는 기업들도 “아직 우리 EDR 제품을 설치하고 나서 백신을 완전히 제거하는 곳을 보지 못했다”며 “둘을 병행해서 쓴다”고 설명하고 있다. 그 이유는? “백신은 매일처럼 일어나는 사소하고 작은 규모의 해킹을 막아주기 때문이며, 이런 사소한 공격도 방어하는 사람 입장에선 놓칠 수 없기 때문”이라고 시만텍의 부회장 중 하나인 사미르 카푸리아(Samir Kapuria)의 설명이다.
한 관계자는 “백신이나 EDR 솔루션이나, 온전히 의지할 수 없는 건 마찬가지”라며 “사소한 걸 광범위하게 파악해 내는 기능과 전문적인 걸 깊이 파헤치는 기능 전부가 지금은 필요한 상태”라고 설명했다. “백신은 더 발전시켜서 보다 복합적인 보안에 추가시킴으로써 ‘레이어드 시큐리티’의 일부가 되게 만들어야 합니다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
중요한 건 레이어드 시큐리티, 모든 보안 요소가 중요해
이번 기사는 기존 [스압특집-3] 다시 떠오르고 있는 엔드포인트 보안의 확장판으로 요즘 다시 화두가 되고 있는 엔드포인트 보안에 대해 좀 더 이해가 쉽도록 기존의 보안과 비교하여 차별화되는 점을 포인트별로 정리한 것입니다. 역시나 약간의 ‘스압’이 있습니다.
[보안뉴스 문가용] 엔드포인트가 화두가 되고 있다고 하는데, 사실 현장에서는 아직도 기존 엔드포인트 툴 가지고도 제대로 다루지 못해 애를 먹는 곳이 많다. 이들이 가지고 있는 기존 엔드포인트 툴이란 백신, 호스트 침입 방지 시스템(HIPS), 호스트 방화벽, 화이트리스트, 휴리스틱(교육법) 등이다. 하지만 사이버 공격이 워낙에 빠르고 다양하게 변해가는 때에 기존 툴만을 고집해서는 금방 한계에 다다르기 마련이다. 게다가 궁극의 취약점인 인간은 그 누구도 어쩌지 못하는 영역이고 말이다.
▲ 귀여운 녀석들. 내가 없었으면 너희도 없었단다.
그러나 이런 상황에도 역시 변화가 다가오고 있다. 시만텍, 맥아피(혹은 인텔 시큐리티)가 엔드포인트 보안에 팔을 걷어붙이고 나선 것이다. 이들이 각각 내놓은 솔루션은 기존 엔드포인트 솔루션들의 상식과 기능을 크게 상회하는 것으로, 특히 시그니처 기반의 방지 기법과 그 궤를 완전히 달리한다. 이들이 초점을 맞추는 엔드포인트 보안이란 공격이 들어왔을 때 빠르게 탐지해서 문제를 최소 시간 안에 해결하는 것. 이를 엔드포인트 탐지 및 대응(EDR)이라고 부르며, 이 개념에서 엔드포인트란 ‘보안의 문제점’이 아니라 ‘해결의 중요한 실마리’가 된다.
업체마다 조금씩 차이가 있지만 현대 혹은 차세대 엔드포인트 보안이 말하는 몇 가지 핵심요소가 겹치긴 한다. 그 핵심요소 중 가장 중요한 건 바로 ‘엔드포인트는 공격의 첫 경로가 된다’는 것으로, 그렇기 때문에 엔드포인트에 힘을 쏟는 게 효율적이라는 계산이 나오게 된다. 새롭게 떠오르는 이 엔드포인트 보안에서 중요한 점을 몇 가지 꼽아보면 다음과 같다.
1. 탐지(방지가 아니라)
사실 불과 얼마 전만 해도 방지냐 탐지냐의 논란이 계속 진행 중이었고, 양 진형의 주장이 팽팽했다. 그런데 갑자기 탐지로 무게가 확 기울었다. 그 가장 큰 이유는 100%를 장담할 수 없는 방지는 실패했을 때의 손실이 너무 크다는 것이다. 탐지 역시 100%는 아니지만 공격이 발생했을 때의 조치로서는 훨씬 안정적이다. 그래서 그런지 최근 떠오르는 엔드포인트 보안에서 가장 중요한 점은 피해를 최소화하는 것이다.
사실 탐지와 방지를 구분해서 표현하기는 하는데, 둘은 서로와 비슷하기도 하다. 일단 탐지 기능은 패치가 안 된 취약점이나 잘못 된 환경설정을 엔드포인트에서 찾아내 공격의 경로를 일부 차단한다. 이는 방지를 위주로 한 보안에서도 주로 하는 것으로, ‘이것만으로는 불충분하다’는 건 여전하다.
2. 사용자 활동과 행동 관찰
최신 엔드포인트 보안 기술에서 중요한 건 가시성이다. 사용자 기기나 네트워크 뿐 아니라 그 기기 및 네트워크를 사용하는 사용자들의 행동들도 다 한 눈에 볼 수 있는 상태를 추구한다. 그래야 봇과 관련된 통신들을 보고 지나치지 않을 수 있으며, 조기에 올바른 경보를 발생시킬 확률도 높아진다.
EDR 전문업체인 지프튼(Ziften)의 조시 애플바움(Josh Applebaum) 부회장은 엔드포인트 보안이 뜨기 전에 ‘지속적인 보안’이 있었기 때문에 가능할 수 있는 부분이라고 강조한다. “당대의 유행이라는 게 한 번에 갑자기 튀어나오진 않습니다. 늘 전대의 영향을 받죠. 지금 엔드포인트 보안이라는 것도 지속적인 모니터링이라는 개념이 없었으면 안 나왔을 겁니다. 지속적인 보안이란 개념은 부정당한 게 아니라 편입된 겁니다.”
그러나 한편으로 실시간 사용자 모니터링이 차세대 엔드포인트 보안에 편입될 수 있었던 건 “지속적인 모니터링이 피해의 최소화에 기여하는 바가 지난 몇 개월 간 증명이 되었기 때문”이라고 센티넬원(SentinelOne)의 CEO인 토머 와인가튼(Tomer Wiengarten)은 분석하기도 한다.
3. HIPS, 애플리케이션 화이트리스트, 휴리스틱 등
몇 년 전 애플리케이션 화이트리스팅이란 개념이 등장했을 때 업계의 반응은 찬사 일색이었다. 멀웨어의 침입을 방지할 수 있는 궁극의 해결책인 것으로 묘사했고, 또 묘사됐다. 그러나 이 역시 금방 한계가 드러났다. 무엇보다 화이트리스팅에 의거해 애플리케이션을 설치하고 운영하기엔 너무나 빡빡했다. 그렇다고 모든 공격을 막을 수 있었던 것도 아니다. 이는 호스트 침입 방지 시스템(HIPS)와 호스트 방화벽 역시 마찬가지였다. 그러나 이런 모든 기존의 보안 솔루션 및 방어책들을 깡그리 무시할 수는 없으며 폐기처분한다는 건 말도 안 된다는 게 보안 업계에 있는 전문가 대부분의 목소리이다.
왜냐하면 결국 보안은 예나 지금이나 “다계층 보안” 혹은 레이어드 시큐리티(layered security)만한 방어법은 존재하지 않기 때문이다. 단 하나로 모든 걸 해결할 수 있는 만능 솔루션이 등장하지 않는 이상, 각자 자기의 맡은 바를 충실히 해내는 솔루션들을 집합시켜 놓은 다계층 보안을 대체할 수단은 당분간 나오지 않을 전망이다.
예를 들어 트렌드 마이크로(Trend Micro)와 같은, 보안 업계에서 잔뼈 굵은 기업 역시 위에서 말한 모든 방법을 총동원해서 회사 시스템들을 보호한다. “여태까지 개발해온 보안 솔루션 중 쓸모 없는 건 하나도 없어요. 저흰 앞으로도 계속해서 그런 방법들을 잘 배합해서 사용할 것입니다.” 트렌드 마이크로의 CTO인 라이문드 진스(Raimund Genes)의 예견처럼 말이다.
4. 클라우드와 경량화된 센서들
최근 떠오르고 있는 보안의 또 다른 주요 덕목이 있다면 ‘경량화’다. 클라이언트 시스템에 무거운 소프트웨어를 덕지덕지 깔고 싶어 하지도 않고, 클라이언트도 그런 건 노땡큐다. 사실 백신이 각광받지 못한 가장 큰 이유가 바로 그것이다. EDR 제품들은 클라우드 기반이거나 커널에 설치되기 때문에 매우 가볍다. 사일런스(Cylance)라는 업체가 만드는 솔루션은 머신 러닝 알고리즘을 바탕으로 하기 때문에 가볍고, 크라우드스트라이크(Crowdstrike)의 제품들은 클라우드에 설치되어서 가볍다. 결국 성능도 좋은데 거의 필수적으로 가볍기까지 해야 되는데, 다행히 그런 시장의 요구사항은 잘 받아들여지고 있다.
시만텍의 CEO인 마이클 브라운(Michael Brown) 역시 새로 발표한 제품인 ATP 플랫폼의 가장 큰 장점으로 가벼움을 꼽았다. “현존하는 솔루션들은 대부분 다이어트에 실패해서 사용자의 시스템에 커다란 과부하를 줬습니다. 하지만 ATP는 날씬하고 가볍습니다. 추가 에이전트를 요구하지도 않고요.”
5. 사건 대응 및 포렌식
엔드포인트에는 해커가 훔쳐가고 싶은 정보도 잔뜩 있지만 포렌식 및 수사에 필요한 정보도 가득하다. 멀웨어의 흔적 등 공격의 여러 가지 자국들이 가장 생생하게 남아있는 곳이 바로 엔드포인트인 것. 중요한 건 그런 가득한 정보들을 수집하고 저장해서 공격의 근원을 알아내는 것이다. 그것은 미래에 같거나 유사한 공격이 또 들어왔을 때 그것을 막아낼 수 있도록 방비하는 것이기도 하다. 수사와 미래에 대한 대비까지, 전부 엔드포인트 다루는 것에 달려 있는데, 그렇기 때문에 맨디언트(Mandiant)의 창립자인 케빈 맨디아(Kevin Mandia)는 엔드포인트를 “진실의 최종 근원지”라고 부르기도 한다.
버라이즌(Verizon)은 자신들이 수사해왔던 수많은 사건들 중 해커가 수분 안에 공격을 성공시킨 게 무려 60%라고 한다. 실제 해커들이 공격에 걸린 시간과 피해자들이 공격당한 사실을 파악하는 데 걸리는 시간을 비교하면, 해커들의 압승이라고 한다. “차세대 엔드포인트 제품군이 더 활성화되면 기존 백신들이 잡아내지 못했던 공격을 발견할 수 있을 거라고 봅니다. 자연히 포렌식 능력이 전체적으로 상승하겠죠.” 맨디아의 예상이다.
그러나 포렌식 수사라는 게 그리 간단한 일은 아니다. 그리고 포렌식 수사를 확보할 수 있는 사건대응팀을 제대로 갖춘 회사는 아직도 드문 수준이다. 엔드포인트 보안을 강화한다고 해서 자동으로 바랄 수 있는 기대효과는 아니라는 것. 그렇기 때문에 최근 등장하기 시작한 EDR 제품들이 주목을 받는 것이기도 하다. 이 제품들에는 자동 포렌식 데이터 수집 및 저장 기능이 있으며, 심지어 공격자들의 공격을 재현해주는 ‘플레이백’ 기능도 지원한다.
6. 복구와 청소
2차 공격이라고 하더라도 공격자의 행위를 탐지해 막아내는 건 대단한 일이다. 첫 공격에는 누구나 뚫릴 수 있지만 두 번째 공격을 막아내는 건 제대로 된 보안팀의 노력이 필요하다. 그렇기 위해 가장 필요한 건 무엇일까? 바로 ‘청소’다. 멀웨어의 조그마한 흔적이라도 말끔히 지워내야 두 번째 공격의 난이도를 높일 수 있다. 여기에는 기존에 무시했던 패치를 다 적용하고 환경설정을 제대로 하는 것도 포함된다.
그러한 이유로 차세대 엔드포인트 보안툴들은 대부분 자동 패치 및 업데이트 기능을 장착할 예정이다. 센티넬원의 토머 와인가튼은 “엔드포인트 보안 솔루션은 공격 등의 심각한 상황이 발생함과 동시에 엔드포인트를 단단하게 만들어야 하고, 활동영역 및 사용자 행동 영역을 아주 좁게 제한시킬 수 있어야 한다”며 “여기에 더해 복구 기능도 필수로 요구된다”고 내다봤다.
이렇게 시장이 엔드포인트 쪽으로 확 쏠리는 바람에 약간의 변화가 있을 것이라고 보고 있다. 가트너(Gartner)의 부회장인 피터 퍼스트브룩(Peter Firstbrook)이 그 중 하나다. “시장의 주류들이 죄다 엔드포인트에 집중하기 시작했습니다. 이 때문에 시장이 두 갈래로 나뉠 확률이 높습니다. 하나는 규모도 작고 기술력이 덜한 사용자들을 위한 솔루션을 위주로 한 시장, 또 다른 하나는 탐지와 복구에 대한 시장의 수요를 만족시켜줄 만한 솔루션 시장이죠.”
7. 백신, 그래, 백신
백신은 항상 구세대 물건 취급받아왔고, 그 수명도 다했다는 전망이 많은 듯 하다. 그러나 이는 사실이 아니다. 아무리 잘난 솔루션들이 매끈하게 뽑혀 나와도 백신은 항상 우리 곁에 머물러 있을 것이다.
일단 당장 기업 시스템에서 백신을 완전히 지워내고 싶어 하는 곳이 거의 없다. EDR 제품을 출시하는 기업들도 “아직 우리 EDR 제품을 설치하고 나서 백신을 완전히 제거하는 곳을 보지 못했다”며 “둘을 병행해서 쓴다”고 설명하고 있다. 그 이유는? “백신은 매일처럼 일어나는 사소하고 작은 규모의 해킹을 막아주기 때문이며, 이런 사소한 공격도 방어하는 사람 입장에선 놓칠 수 없기 때문”이라고 시만텍의 부회장 중 하나인 사미르 카푸리아(Samir Kapuria)의 설명이다.
한 관계자는 “백신이나 EDR 솔루션이나, 온전히 의지할 수 없는 건 마찬가지”라며 “사소한 걸 광범위하게 파악해 내는 기능과 전문적인 걸 깊이 파헤치는 기능 전부가 지금은 필요한 상태”라고 설명했다. “백신은 더 발전시켜서 보다 복합적인 보안에 추가시킴으로써 ‘레이어드 시큐리티’의 일부가 되게 만들어야 합니다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
