전체메뉴

[애플경제 전윤미 기자] 클라우드 보안에선 특히 원격 엔드포인트에서 사전에 탐지, 차단하는 EDR과 함께, 기업이 유저 접근 관리(UAM)나 특권 접근 관리(PAM)를 지원하는 기술이 새삼 강조되고 있다. 특히 후자의 경우는 클라우드가 보편화되는 가운데, 일부 벤더(CSP)들이 이를 지원하는 경우가 늘어나고 있다. 클라우드 네트워크에 대한 사이버 공격 수법이 더욱 고도화되는 현실을 감안한 것이기도 하다.

날로 고도화되는 사이버 위협에 대응

잘 알려져있다시피, 엔드포인트 보안을 위한 EDR은 'Endpoint Detection and Response’ 의 약자다. 국내 보안업체인 ‘이스트 시큐리티’사는 “엔드포인트에서 탐지하고 대응하는 솔루션, 즉 컴퓨터에서 발생하는 수상한 행동을 의심하고, 감시하면서 기록을 남기는 것”이라고 설명하고 있다.

즉, “‘예측-보호-탐지-대응’ 등 4가지 과정을 한 번에 수행할 수 있어야 하며, 기존 백신의 한계를 보완할 수 있는 솔루션으로 급부상하고 있다”면서 “엔드포인트 탐지와 대응, 즉 바이러스 백신 소프트웨어와 기타 기존의 엔드포인트 보안 도구를 넘어서는 사이버 위협으로부터 조직의 최종 사용자나, 엔드포인트 디바이스, IT 자산을 자동으로 보호하도록 설계된 소프트웨어”임을 강조했다.

IBM은 또한 “데스크탑 및 노트북 컴퓨터, 서버, 모바일 디바이스, IoT(Internet of Things) 디바이스 등 네트워크의 모든 엔드포인트에서 지속적으로 데이터를 수집하고, 이를 실시간으로 분석하여 사이버 위협의 증거를 찾고 자동으로 대응하는 것”이라고 EDR을 정의하고 있다.

EDR 첫 단계, ‘실시간 분석, 위협 탐지’

이에 따르면 우선 EDR은 지속적인 엔드포인트 정보 수집이 첫 번째다. 네트워크의 모든 엔드포인트 디바이스에서 프로세스나, 성능, 구성, 네트워크 연결 상태, 파일이나 데이터 다운로드 또는 전송, 최종 사용자나 장치 동작에 대한 데이터를 지속적으로 수집하는 기능이 첫 번째다. 이때 데이터는 보통 클라우드에서 호스팅되는 중앙 집중식 DB 또는 데이터 레이크(Lake)에 저장된다.

EDR은 또 고도의 분석과 머신 러닝 알고리즘을 통해 알려진 위협이나 의심스러운 활동을 나타내는 패턴이 발생할 때마다 실시간으로 분석, 식별하고 탐지한다.

이때 EDR은 두 가지 유형의 지표, 즉 잠재적인 공격 또는 침해와 관련된 행동이나 이벤트인 ‘침해 지표’(IOC)와, 알려진 사이버 위협 또는 사이버 범죄자와 관련된 행동이나 이벤트인 ‘공격 지표’(IOA)를 분석한다. 이들 지표를 분석, 식별하기 위해 EDR은 자체 엔드포인트 데이터와, 위협적인 인텔리전스 서비스의 데이터를 실시간으로 연결한다. 이를 통해 공격 전술이나, 악용된 엔드포인트, IT 인프라 취약성 등 최근의 새로운 사이버 위협에 대한 업데이트 정보를 파악하는 것이다.

특히 IBM은 “이 경우 많은 기업들이 엔드포인트뿐만 아니라 애플리케이션이나, 데이터베이스, 웹 브라우저, 네트워크 하드웨어 등 IT 인프라의 모든 계층에서 보안 관련 정보를 수집하는 ‘보안 정보 및 이벤트 관리’(SIEM) 솔루션과 EDR을 통합한다”면서 “SIEM 데이터는 위협을 식별하고, 위험도의 우선 순위를 지정하며, 조사와 해결을 위해 컨텍스트를 추가하여 EDR 분석을 강화하는 역할을 한다”고 소개하고 있다.

‘자동으로 위협 대응, 조사와 문제 해결’

이같은 식별과 분석이 끝나면 바로 자동으로 대응에 나선다. 즉, △보안 분석가에게 특정 위협 징후나 의심스러운 활동을 경고하고, △심각도에 따른 분류나 우선 순위 지정, △모든 네트워크 인시던트 또는 위협에 대한 추적 보고서 생성, △엔드포인트 디바이스의 연결 해제, 또는 네트워크 최종 사용자 로그오프를 시행한다.

그 결과에 따라선 △시스템 또는 엔드포인트 프로세스를 중지하거나, △엔드포인트가 악성파일 또는 의심스러운 파일이나 이메일 첨부 파일을 실행(폭파)하지 않도록 방지한다. 때로는 네트워크의 다른 엔드포인트를 검색하도록 바이러스 백신이나 멀웨어 방지 소프트웨어를 트리거하기도 한다.

이같은 단계가 진행된 후엔 문제 해결 도구를 사용하여 위협요인을 제거한다. 가장 먼저 악성 파일을 파괴하고 엔드포인트에서 삭제한다. 또 손상된 구성이나 레지스트리를 설정하고, 데이터와 애플리케이션 파일을 복원한다. 취약성을 제거하기 위해 업데이트하거나 패치를 적용한다. 특히 재발 방지를 위해 탐지 규칙을 업데이트한다.

특히 EDR은 또 다른 공격을 방지하기 위해 사전에 위협을 추적하기도 한다. 이를 위해 EDR은 UI 기반이나, 프로그래밍을 통해 임시 검색 데이터 쿼리나, 위협 인텔리전스와의 상관 관계 조사 등을 수행하기도 한다. “이처럼 EDR 도구는 위협 추적을 위해 특별히 설계되었으며, 간단한 스크립팅 언어(일반 작업 자동화용)부터 자연어 쿼리 도구까지 모든 것을 포함하는 개념”이란게 IBM의 설명이다.

EDR보다 포괄적인 XDR도 성행

한편 EDR과 XDR의 역할 구분도 중요하다. 시장분석기관인 IRS글로벌은 “EDR이라는 관점에서의 엔드포인트뿐 아니라, 모든 IT 관련 디바이스에 대한 감지와 대응을 실시하는 ‘확장형 탐지 및 대응’(XDR)이라는 키워드가 매우 성행하고 있다”고 했다.

즉 XDR을 실현하기 위해 각 엔드포인트 출신의 시큐리티 벤더가 ‘보안 정보 및 이벤트 관리’(SIEM) 및 ‘보안 오케스트레이션 자동화 대응’(SOAR) 기능을 갖춘 벤더를 인수ㆍ제휴ㆍ출자하기도 한다. 반대로 SIEM의 벤더가 엔드포인트나 클라우드 및 애플리케이션의 시큐리티 벤더와 제휴하기도 한다는 얘기다.

IRS글로벌은 또한 “새로운 기술이지만 빠르게 발전하고 있는 XDR은 보안 제어 지점이나, 원격 측정과 분석, 운영을 중앙의 단일 엔터프라이즈 시스템으로 통합함으로써 이미 과부하 상태인 보안 운영 센터(SOC)의 효율성을 증대하는 역할도 한다”고 덧붙였다.

멀티 클라우드 환경, UAM, PAM 지원 벤더 증가

한편 클라우드 네트워크에선 EDR과 함께 UAM이나 PAM을 보완하는 기술도 중요시되고 있다. 전자를 위해선 관리 효과와 편의성이 향상된 ‘프라이빗 액세스 프로덕트’ 벤더(CSP)가 등장하고 있다. 또 쿠버네티스를 활용하는 멀티 클라우드 환경의 IT 담당자가 가진 특권 액세스 관리(PAM)를 지원하는 CSP도 점차 확산되고 있어 주목을 끈다.

새삼 그 원론적 의미를 보면, UAM은 말 그대로 소속 구성원 등 사내 부서의 유저를 자사의 시스템에 접속시키기 위한 관리 시스템이다. PAM은 그 보다 한 단계 상위의 개념으로서, 시스템 담당자나 개발자 등 서버의 설정을 변경하는 유저들만을 대상으로 한 액세스 관리 시스템이다.

IRS글로벌은 그러나 “모두 ‘제로 트러스트’ 및 SASE(보안엑세스 서비스 엣지)에서 보듯, 신뢰할 수 있는 ‘조직 내부’와, 신뢰할 수 없는 ‘외부’로 네트워크를 나누거나 그 경계선에서 보안을 시행하는 방식은 지양할 필요가 있다”면서 “대신에 모든 내․외부 통신을 신뢰하지 않는 조건으로 보안 대책을 강구하는 툴을 만드는게 최근의 경향”이라고 했다.

특히 UAM에 대해선 “자회사나, 거래처, 파트너 기업, 위탁처 등의 서드파티 벤더가 관련된 사이버 보안 침해사건이 빈발하면서 그 중요성이 더욱 커지고 있다”고 했다.

‘제로 트러스트’, ‘SASE’가 철칙

특히 IBM은 “새로운 UAM으론 관리성과 편리성이 더욱 향상된 프라이빗 액세스 프로덕트 벤더가 생겨나고 있는 것이 최근의 경향”이라고 했다. 그 중엔 중개인 없는 유저 작업 보관이나, 유저의 조작 권한에 대한 세밀한 제어와 같은 기능을 갖춘 솔루션을 출시하기도 한다.

IBM에 따르면 또한 “PAM을 위해 기업 내부의 IT 담당부서가 새롭게 채용하는 플랫폼으로 쿠버네티스를 채택하는 경우가 많다”는 것이다. 또 “클라우드 CSP 중에서도 쿠버네티스를 활용하는 멀티 클라우드 환경의 IT 담당자의 ‘특권 액세스 관리’를 지원하는 사례도 등장하고 있어 주목된다”고 했다.