[Vol.8] 사이버 하이진(Cyber Hygiene)을 위한 엔드포인트 보안

 In KISA Report

사이버 하이진(Cyber Hygiene)을 위한 엔드포인트 보안

윤대균 (dkyoon@ajou.ac.kr)

아주대학교 교수

 

사이버 보안 분야에서 흔히 회자되는 용어 중 하나가 사이버 하이진(Cyber Hygiene)이다. 번역하면 사이버 위생인데, 건강한 삶을 위해 가장 기본이 개인위생이란 사실에 빗대어 안전하고 건강한 시스템의 비결은 사이버 하이진에 있다는 뜻으로 풀이된다. 사이버 하이진이 일상의 IT 운영에서 잘 관리되고 있다면, 다양한 사이버 공격에도 더 잘 버틸 수 있다는 의미다.

사이버 공격 유형

사이버 공격의 유형은 매우 다양하며 시시각각으로 진화하기도 하고 또 사라지기도 한다. 이 중 대표적인 유형을 뽑아보면 다음과 같다.(1)

  • 멀웨어(Malware): 멀웨어는 스파이웨어, 랜섬웨어, 바이러스와 같이 악의적인 목적으로 제작된 소프트웨어를 말한다. 사용자의 부주의로 인해 위험한 링크를 클릭하거나, 이메일 첨부파일을 오픈할 때 악성 코드가 설치되는 공격 방식이다. 코드가 직접 설치되므로 이로 인해 공격할 수 있는 종류도 무궁무진하다.
  • 피싱(Phishing): 정상적인 행위로 위장하여 사용자 시스템에 침투한 후 로그인 정보와 같은 민감한 데이터를 훔치거나, 멀웨어를 설치하는 공격을 말한다. 요새 누구나 흔히 접할 수 있는 사이버 위협이다.
  • 중간자 공격(Man-in-the-middle attack): 도청 공격(Eavesdropping Attack)이라고도 불리는데, 정상적으로 진행되는 트랜잭션에 몰래 끼어들어 이들 사이의 통신을 엿들음으로써 중요한 정보를 빼 내어가든가, 혹은 정보를 변조해 전달하는 등의 공격을 말한다.
  • 서비스 거부 공격(Denial-of-service attack): 대표적인 서버 공격 방식으로, 엄청난 양의 트래픽을 만들어 서버와 네트워크를 불능사태로 만드는 공격이다. 이러한 공격은 흔히 한군데가 아닌 여러 군데에서 동시다발적으로 이뤄지는 것인 특징인데 이를 분산 서비스 거부 공격(Distributed DOS) 즉 디도스 공격이라 부른다.
  • SQL 인젝션(SQL Injection): 데이터베이스에 비인가 접근을 하기 위한 악성 SQL(Structured Query Language) 코드를 활용하는 공격이다. 유출되어서는 안되는 정보를 DB로부터 빼내가기 위해 주로 많이 사용한다. 특히 웹사이트 검색 시 악성 코드를 전송함으로써 SQL 인젝션 공격이 많이 이루어진다.
  • 제로데이 익스플로잇(Zero-day exploit): 제로데이 익스플로잇, 또는 제로데이 공격은 네트워크 취약성이 알려진 직후 이를 해결하기 전에 이루어지는 공격을 말한다. 공격자는 짧은 시간 노출되는 취약성을 노려 공격하는 것이다.
  • DNS 터널링: DNS(Domain Name System)은 도메인 이름을 IP 주소로 매핑 시켜주는 인터넷에서 기본이 되는 프로토콜이다. DNS는 질의-응답 방식으로 동작하는데, 이때 질의어에 정상적인 도메인 질의 외에 해커가 전달하고자 하는 메시지나 명령어를 코드화하여 질의어에 포장해 전달할 수 있다. 이를 이용하면 해커는 구멍이 뚫린(Compromised) 시스템으로부터 빼낸 데이터를 감시 소프트웨어에 걸리지 않고 은밀하게 자신의 시스템으로 전송할 수 있다. 해커들이 사용하는 C&C(Command & Control) 서버와 감염된(Compromised) 시스템과의 연결 수단으로도 많이 사용된다.

항상 청결한 위생을 유지하는 것이 바이러스나 기타 유해 환경으로부터 자신을 보호하기 위해 매우 중요하다. 마찬가지로 시스템을 항상 건강하고 안전한 상태로 유지하는 것은 사이버 공격으로부터의 피해를 최소화하기 위해 매우 중요하다.

사이버 하이진이란?

온라인으로 연결된 컴퓨터, 스마트폰, 또는 수많은 IoT 기기들 모두 사이버 하이진이 필요한 대상이다. 이들 중 일부에서만 보안 침해사고 생겨도 전 조직의 보안이 뚫릴 수 있다. 비위생적인 사람들을 매개로 바이러스나 병균이 퍼지는 것과 같은 원리이다. 사회가 건강하기 위해서는 모든 구성원 각자가 건강해야 하는 것과 마찬가지로 사이버 세상에서도 이를 구성하는 기기들의 철저한 “위생”이 필요하다.

건강을 위해서 매일 깨끗이 닦고, 양치질하며 정기적으로 검진을 받듯이 컴퓨터 시스템, 단말기, 소프트웨어도 항상 점검을 받아야 한다. 또한, 이상이 생기면 신속하게 대응함으로써 가능한 빨리 건강한 상태로 되돌려놔야 한다. 사이버 하이진은 “연결된 모든 기기를 항상 건강하고 안전한 상태로 유지할 수 있도록 하는 프랙티스”라고 한 줄로 정의할 수 있다.

사이버 하이진을 위한 프랙티스가 제대로 갖추어지지 않았을 때 흔히 발생하는 문제는 다음과 같다.(2)

  • 데이터 유실: SSD나 하드드라이브의 데이터가 제대로 백업되어 있지 않거나 혹은 위변조 상태를 상시 모니터하지 못할 경우, 예기치 않은 데이터 유실이 발생할 수 있다. 만일 해커의 악의적 목적을 위해 데이터가 위변조 된다면 더 큰 위험을 초래할 수도 있다.
  • 엉뚱한 곳에 존재하는 데이터: 최근엔 데이터 접근 속도 개선을 위한 캐싱 및 백업 등을 위해 같은 데이터가 여러 곳에 분산되어있는 경우가 많다. 이때, 이를 제대로 추적/관리하지 못하면, 의도하지 않은 곳에 데이터가 저장되어 있을 수도 있다. 추후 데이터 정합성 등의 문제로 전체 시스템 상태가 통제 불능이 될 수도 있다.
  • 보안침해: 피싱, 멀웨어, 바이러스 등의 위협에 쉽게 노출된다.
  • 유효하지 않은 소프트웨어: 보안 취약성이 발견될 때마다, 혹은 시스템을 불안정하게 만들 수 있는 버그가 발견될 때마다 새로운 버전으로 업데이트해야 한다. 많은 경우 하나의 소프트웨어가 아니라 서로 깊이 연관이 있는 여러 소프트웨어가 상호 호환성을 유지할 수 있기 위해 최신 소프트웨어로 업데이트가 필요하기도 하다. 보안 취약점을 안고 실행되는 소프트웨어가 주 공격대상이 될 수 있다는 점도 간과해서는 안 된다.
  • 오래된 보안 소프트웨어: 안티바이러스 소프트웨어 같은 보안 소프트웨어는 새로운 보안 침해 가능성에 대비해 항상 최신 버전으로 관리되어야 한다.

사이버 하이진을 위한 프랙티스는 위에 언급된 상황이 발생하지 않도록 하는 것이다. 소프트웨어 및 하드웨어 업데이트를 수시로 하고, 새로 설치되는 소프트웨어에 대한 관리, 데이터 백업을 상시 “위생관리” 프로세스에 포함하여야 한다. 이 외에도 패스워드 관리, 사용자 권한 관리와 같은 사용자 관리도 물론 중요하다. 체계적인 보안 프랙티스를 위한 프레임워크 도입을 고려하는 것도 바람직하다. 예를 들면 미국 국립표준기술연구소(NIST) 사이버 보안 프레임워크를 참조할 수 있다.(3)

엔드포인트 – 해커들이 노리는 가장 취약한 지점

사이버 하이진의 문제가 상당 부분 사용자 단말 부분에서 발생한다. 다시 말해서 엔드포인트 보안 취약성을 노린 사이버 공격이 그만큼 많이 발생한다는 뜻이다. 사람의 위생관리도 각자 스스로 열심히 관리를 잘하는 것이 중요하지만, 그렇지 못한 경우 전문가의 도움을 받아 위생을 떨어뜨릴 수 있는 원인을 찾아내 조치를 취하는 것도 필요하다. 코로나-19의 경우도 각자 주의하며 전염되지 않도록 마스크를 쓰고 손을 깨끗이 닦는 것이 중요하지만, 또한 사회적 거리 두기 지침을 만들어 이를 강제하며, 이것이 제대로 지켜지지 않으면 즉각 대응하는 것도 필요하다. 이를 위해 많은 공적 인력이 투입되어 상시 모니터링도 해야 한다.

사이버 하이진도 마찬가지이다. 전체 시스템에 대한 공격을 실시간으로 탐지하고, 시스템 상태를 상시 모니터링 함으로써 잠재적 위협요소를 최대한 빨리 발견해 내는 것이 필요하다. 특히 사이버 공격이 시작되는 지점에서의 실시간 관리는 매우 중요하다. 기업 보안담당자를 대상으로 한 한 조사(4)에 의하면 사이버 공격이 시작되는 지점을 엔드포인트 라고 답한 응답자가 38.1%라고 한다. (그림 1)

그림입니다.

원본 그림의 이름: CLP000045ec1ab1.bmp

원본 그림의 크기: 가로 527pixel, 세로 419pixel
[그림 ] 보안담당자들이 인식하는 사이버 공격이 시작되는 지점 (출처: 보안뉴스)

엔드포인트 공격을 통해 멀웨어를 심어 놓고, DNS 터널링을 활용해 멀웨어와 C&C(Command & Control) 서버가 접속함으로써 전체 시스템이 해커의 손아귀에 놓이기도 한다. 엔드포인트 보안 공격은 엔드포인트에서 끝나는 것이 아니라 전체 시스템에 위협을 가한다. 만일 사이버 보안을 위해 투자를 확대한다면 어디에 할 것인가 라는 질문에 대해서도 엔드포인트 투자확대를 우선하겠다는 답이 40%가 넘었다. 그만큼 엔드포인트 중요성을 인식하고 있다는 뜻이다.

사용자 단말기만 엔드포인트에 해당하는 것이다. 사실 온라인으로 연결된 모든 디바이스들이 엔드포인트에 해당한다. 노트북 및 데스크탑 컴퓨터, 태블릿, 스마트폰, 프린터, 포스(POS) 단말기, 현금인출기, 의료기기 등 모든 기기, 그리고 서버도 사실상 엔드포인트이다. 이 모든 것이 엔드포인트 관리 대상이 될 수 있다. 특히 업무용으로 개개인의 디바이스를 사용하는 경우(BYOD: Bring Your Own Device), 기업 내 유/무선망에 접속한 개별 소유 기기들도 관리해야 할 엔드포인트에 포함된다.

엔드포인트 보안 솔루션 동향

대표적인 엔드포인트 보안으로 안티바이러스 솔루션을 들 수 있다. 가장 일반적이며 모든 노트북 및 데스크탑 컴퓨터에 탑재되었다고 봐도 과언이 아니다. 또 다른 중요한 엔드포인트 보안 도구로는 패치 관리 시스템을 들 수 있다. 엔드포인트에 설치된 소프트웨어의 유효성을 상시 모니터링하며 보안패치 등이 나왔을 때 즉시 적용하는 기능이다. 회사 내 소프트웨어 라이센스 관리 도구와 함께 사용되기도 한다. NIST 사이버 보안 프레임워크는 파악(Identify), 방어(Protect), 탐지(Detect), 대응(Respond), 복구(Recover) 이 다섯을 주요 기능으로 제시하고 있다. (그림2)

그림입니다.

원본 그림의 이름: CLP000045ec0002.bmp

원본 그림의 크기: 가로 1782pixel, 세로 108pixel
[그림 ] NIST 사이버 보안 프레임워크 요구사항(그림출처: 태니엄 코리아)

NIST 프레임워크의 다섯 기능은 동시에 연속적으로 이루어진다. 각각의 단계가 앞 단계에 이어 지면서도 이들 기능이 동시에 이루어져야 하기 때문이다. 예를 들어 탐지 단계에 이어 대응 단계로 넘어가면, 또 탐지 기능이 바로 동작하게 되며, 이는 모든 엔드포인트에서 동시다발적으로 이루어질 수 있다. NIST 프레임워크에서 제시한 기능을 엔드포인트 보안 관점에서 요구사항으로 확대하면, 자산관리, 취약성 관리, 패치 관리, 소프트웨어 업데이트, 행위분석, EDR, 보안정책 운영, 포렌식 및 복구 등으로 구체화할 수 있다. 물론 이들 각각을 더욱 세분화할 수 있다.

엔드포인트 보안 기능 중 가장 익숙한 것으로 안티바이러스 솔루션을 들 수 있다. 맥아피(McAfee), 비트디펜더(Bitdefender), 카스퍼스키(Kaspersky), 트렌드마이크로(Trend Micro) 등은 이미 안티바이러스 시장에서 많이 알려진 회사들이다. 이들은 안티바이러스 시장에서의 강점을 바탕으로 엔드포인트 보안 시장에서도 지명도를 유지하고 있다. 국내의 안랩도 안티바이러스를 바탕으로 엔드포인트 보안 시장에서 입지를 확보하고 있다.

패치 관리도 엔드포인트 보안의 매우 중요한 기능이다. 지원되는 플랫폼, 관리되는 소프트웨어 종류, 중앙집중식 관리이냐 아니냐에 따른 분류 등 워낙 다양한 조건이 존재하므로 특정 패치 관리 솔루션을 따로 언급하는 것은 특별한 의미가 없다. 하지만, 엔드포인트 보안 솔루션이라면 패치 관리는 필수적으로 갖춰야 할 기능이다. 오히려 여기서 주목할 것은 얼마나 신속하게 패치 적용이 이루어지느냐이다. 제로데이 공격이 날로 빈번해지고 있는 상황에서 가능한 이른 시간에 모든 엔드포인트에 패치를 적용하는 것은 매우 중요하다. 하지만 이는 많은 기업에서 매우 큰 도전과제이기도 하다. 엔드포인트가 수만/수십만 규모인 경우, 새로운 패치 하나를 적용하는데도 엄청난 시간이 걸릴 수 있다. 이 시간을 줄이는 것이 사이버 하이진을 위한 주요 관건이다.

패치를 신속하게 적용하는 것은 단순히 패치를 다운로드하고 설치/테스트하는 기능만 최적화해서 될 수 있는 것은 아니다. 우선 꼭 필요한 패치만 해당 기기에 신속하게 적용하기 위해 정확한 자산관리와 함께 실시간 모니터링이 필요하다. 각 엔드포인트에서 이벤트가 발생하면 이를 신속히 메인 서버에게 알려야 하며, 또한 메인 서버는 엔드포인트 상태를 파악하기 위해 거꾸로 질의를 던질 수 있다. 예를 들면, 패치 적용이 끝난 후 성공적으로 패치가 적용되었는지 테스트를 시도할 수도 있고, 특정 조건에 맞는 엔드포인트 만을 찾아 패치를 적용한다든가 아니면 다른 추가 액션을 취할 수 있다.

점차 지능화되고 있는 사이버 위협에 효과적으로 대응하기 위한 차세대 기술로 EDR(Endpoint Detection & Response)과 같은 보안 솔루션의 필요성이 대두되고 있다. 안티바이러스 솔루션이 알려진 패턴에 기반한 취약점을 발견하여 이를 수정하는 것이 주 기능이라면, EDR은 엔드포인트에서 발생하는 모든 행동 정보를 저장하고 분석할 수 있는 기능이 핵심이다. 파일에 대한 접근, 네트워크 사용, 애플리케이션 실행 등 엔드포인트에서 수행되는 모든 프로세스 행위를 기록하고, 이를 바탕으로 상시 “탐지”가 가능하다. 엔드포인트에서 발생하는 악성 행위가 발견되는 즉시 대응함으로써 피해 확산을 방지할 수 있다. EDR은 일반적으로 위협 탐지 및 경보, 시각화, 분석 도구, 그리고 대응 기능을 갖추고 있다. 신속한 분석과 이슈 전파를 위해 다수의 에이전트를 두기도 하지만, 이는 오히려 일관성 있는 대응에 어려움을 초래할 수 있다. 단일 에이전트를 두되 효율적으로 데이터를 전파할 수 있는 아키텍처를 갖추고, 사용자 친화적인 질의/분석 도구를 갖추는 것이 좀 더 실용적일 것으로 판단된다.

지능화된 위협에 효과적으로 대응하기 위해 기계학습 활용이 점차 보편화되고 있다. 많은 엔드포인트 보안 솔루션이 인공지능 기술을 내세우며 차별점을 강조하고 있다. 기계학습을 활용한 자동 분석은 거스를 수 없는 추세이다. 그러나 보안 위협 형태나 대응 방식은 산업 도메인마다 다르고 심지어 한 기업 내에서도 조직별로 다를 수 있다. 특히 엔드포인트에서 수집되는 행동 정보마다 고유의 특성을 지닐 수도 있다. 따라서 일반화된 기계학습 모델을 제공하는 것보다는 학습 및 분석 대상이 될 수 있는 엔드포인트 행동 정보를 담고 있는 비정형 원 데이터를 안정적으로 저장해 두는 것이 오히려 더 바람직할 수 있다. 행동 패턴을 학습하고 이를 바탕으로 이상 패턴을 찾아내는 기계학습 모델은 해당 도메인의 전문가가 관여하여 개발하는 것이 더 효과적이다. 이런 모델은 또한 수시로 확장하고 재학습 시켜야 할 필요가 있기에 가능하다면 엔드포인트 보안 솔루션 수요 기업에서 직접 개발하는 편이 낫다는 것이 필자의 생각이다.

맺으며

앞서 조사한 결과에서 보여준 것처럼 엔드포인트에 대한 보안은 전체 사이버 보안에서 매우 큰 비중을 차지하고 있다. 안티바이러스 솔루션을 통해 이미 엔드포인트 보안에 익숙해 있지만, 지능화된 보안 위협에 효과적으로 대응하기 위해서는 총체적인 엔드포인트 보안이 필요하다. 기존 안티바이러스 기업들도 이런 추세에 맞춰 진화하고 있다. 새로운 타입의 보안 위협에 대응하는 다양한 솔루션들이 속속 등장하고 있다. 어느 한 솔루션도 엔드포인트 보안에 필요한 모든 요소를 커버할 수는 없다. 따라서 엔드포인트 보안 솔루션이 향후 지향해야 할 것 중의 하나는 “기본”에 충실한 것이다. 얼마나 유연하게 변화하는 보안 침해 상황에 적응하며 진화하는가가 핵심 경쟁력이 될 것이다.

엔드포인트 보안이 안고 있는 가장 큰 도전은 과연 “어디까지” 확장해야 하는가이다. 기업 내 개인 PC 같은 기기를 넘어 BYOD, 즉 기업 내에서 쓰이고 있는 (혹은 기업 사설망 내에 연결된) 개인 소유의 모든 기기도 포함될 수 있다. 더 나아가, 협력업체까지 포함될 수도 있다. 기업의 업무 영역이 확장되며 어쩔 수 없이 넘어야 할 과제다. 관리와 운영은 통합하되 엔드포인트 보안 솔루션 개별 기능을 모듈화하여 이를 가볍게 만들고, 필요한 용도에 국한하여 효과적으로 쓰일 수 있도록 하는 것도 바람직한 방향이다. 엔드포인트 보안 솔루션의 개별 기능도 중요하지만, 이의 운영 기반이 되는 플랫폼이 더욱 중요하다. 기본 공통 기능을 효율적으로 제공하고, 확장성 있는 아키텍처를 갖춘 플랫폼이어야 할 것이다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원,KISA Report]라고 출처를 밝혀주시기 바랍니다.

   [ + ]

1. https://www.cisco.com/c/en/us/products/security/common-cyberattacks.html
2. https://digitalguardian.com/blog/what-cyber-hygiene-definition-cyber-hygiene- benefits-best-practices-and-more
3. https://www.nist.gov/cyberframework
4. https://www.boannews.com/media/view.asp?idx=94545
Recent Posts
Contact Us

언제든지 편하게 연락주세요.

Not readable? Change text. captcha txt