[아이티데일리] 사이버 공격이 점점 더 정교해지면서 엔드포인트도 점차 주요 공격 대상에 포함되고 있다. 엔드포인트는 노트북, 데스크톱, 모바일 기기, 서버라는 넓은 공격 표면을 갖고 있고, 각 장치의 운영 체제(OS)의 다양성은 상황을 더욱 복잡하게 만든다. 특히 하이브리드, 원격 근무의 증가로 인해 더 많은 서버 워크로드가 클라우드로 옮겨지면서 보안 부서는 회사 네트워크 외에도 관리할 영역이 더욱 넓어져 고민이 늘어가고 있다.

보안 요구사항은 까다로워지고 이를 충족하기 위한 엔드포인트 보안 시장은 끊임없이 진화해왔다. 엔드포인트 보안이 등장한 지는 수십 년이 지났지만, 사용 장치의 변화와 사이버 공격의 급격한 발전은 새로운 보안 기술의 개발을 불러왔다.

보안 전문가가 엔드포인트 보안을 구축하고 강화하기 위해서는 아래 네 가지 주요 영역에 집중해야 한다.

베이스라인 보안

엔드포인트 보호는 강력한 베이스라인 보안에서부터 시작된다. 조직은 OS와 애플리케이션이 제공하는 엔드포인트 보호에 관한 모든 기능을 최적으로 활용해야 한다. 이를 위해서는 다음과 같은 조치가 필요하다.

• 일관된 애플리케이션 배포 방법 사용: 애플리케이션 배포를 신뢰할 수 있는 소스로 제한하고 승인된 애플리케이션 업데이트, 유지 관리를 위한 워크플로우를 구축한다.
• 구성 관리 활성화: OS와 애플리케이션을 보안 중심으로 구성한다. 예컨대 보안 강화 가이드라인을 활용해 브라우저 애드온 및 클라이언트 애플리케이션의 보안 기능을 관리할 수 있다.
• 감사 및 로깅 활용: 엔드포인트에서 발생하는 현상을 이해하려면 우선 올바른 보안 이벤트를 감사 및 로깅하고, 이를 모니터링할 수 있는 프로세스를 마련해야 한다. 이를 위해서 엔드포인트 상태에 대한 신뢰 가능한 단일 소스를 구축해야 한다.

이를 통해 보안 리더는 베이스라인 보안에 대한 기초를 다질 수 있으며, 이 외에도 모든 OS의 취약성을 점검하고 백업 관리와 같은 추가 조치도 검토해야 한다.

엔드포인트 탐지 및 대응(EDR)

EDR 도구는 엔드포인트 이벤트를 저장 및 모니터링해 의심스러운 활동을 탐지하고 추적하며, 이러한 이벤트에 대응할 수 있는 기능을 제공한다. 모니터링되는 일반적인 이벤트에는 실행 이벤트, 레지스트리 이벤트, 파일 이벤트, 네트워크 이벤트가 있지만 이에 국한되지는 않는다.

EDR은 본질적으로 실행 중인 프로세스를 중단시키지 않고, 발생한 이벤트를 분석해 침해 지표나 악의적인 활동 패턴을 탐지한다. EDR 도구는 설치된 엔드포인트 장치의 데이터 레코더 또는 ‘블랙박스’와 유사하며, 해당 장치에서 발생하는 활동에 대한 원격 데이터를 수집해 나중에 검토할 수 있도록 제공한다.

물론 기록된 데이터를 저장하는 것만으로는 충분하지 않으며, EDR 도구는 자동 또는 수동 방식으로 관리자가 데이터를 추가로 분석할 수 있도록 지원할 수 있어야 한다.

자동화된 이동 표적 방어(AMTD)

AMTD는 시스템이나 네트워크의 공격 표면을 지속적으로 변경하는 데 중점을 둔 신기술이다. 프로세스 구조, 메모리 공간, 시스템 구성, 소프트웨어 스택, 네트워크 특성을 유동적으로 수정해 공격자가 취약점을 식별하고 악용하기 어렵게 한다. 이러한 사전 예방적 접근 방식은 사이버 방어를 강화하고 공격 성공 가능성을 줄이는 데 도움을 준다.

AMTD를 통한 엔드포인트 방어는 다음 사항이 포함된다.

• 모핑 또는 고급 무작위화 기술을 통한 메모리 방어 강화
• 사전 예방적 AMTD 방어를 통한 기밀 컴퓨팅 영역 강화
• 코드 또는 입력의 다형성을 통한 런타임 소프트웨어 강화
• 신뢰 가능한 파일 스토리지에서의 엔드포인트 자동 자가 복구
• 명령과 스토리지 폴리모핑을 통해 파일 스토리지 및 스토리지 액세스 채널에 AMTD 적용

엔드포인트 및 엔드포인트 소프트웨어용 AMTD는 공격자가 엔드포인트 OS와 소프트웨어 기술을 리버스 엔지니어링하거나 악용하는 것을 더욱 어렵게 만드는 기술 세트다. 사용되는 애플리케이션과 OS의 공격 표면에 예측할 수 없는 변화를 빈번하게 도입하는 방식으로 작동한다.

모바일 위협 방어

스마트폰 및 태블릿 판매량 증가와 기업 내에서 개인 소유 기기로 업무를 처리하는 BYOD 정책의 확산으로 인해 모바일 사이버 공격 환경 또한 지속적으로 규모가 커지면서 진화하고 있다. 실제로 모바일 멀웨어가 수백 퍼센트씩 증가한다는 통계가 매년 새롭게 발표되고 있다.

모바일 위협 방어(MTD) 시장의 공급업체들은 안드로이드 및 iOS에 대해 △행동 이상 및 구성 탐지 △멀웨어 탐지 △디바이스 공격, 네트워크 공격, 악성 및 정보 유출 앱으로부터 보호 △모바일 피싱 방지 △OS, 하드웨어, 애플리케이션의 취약성 평가, 모니터링, 규정 준수 △크라우드소싱 기반 위협 인텔리전스의 모바일 보호 방식을 조합해 제공한다.

이와 같이 보안 리더가 공격에 대한 엔드포인트의 복원력을 개선하기 위해 사용할 수 있는 주요 도구로는 베이스라인 보안, EDR, AMTD, MTD가 있다. 이러한 도구 외에도 엔드포인트를 보호하기 위해 설계된 다른 보안 계층이 이어져 있다. 보안 리더는 장치의 다양성이 증가하고, 유연해지는 근무 환경, 점점 더 정교해지는 보안 위협에 맞게 전략을 조정해야 하는 입장으로서 총체적인 접근 방식을 취해야 한다.