㈜소프트이천

중요한 데이터가 모여 있는 엔드포인트 영역은 지속적으로 보안 위협에 노출되기 마련이다. 이에, 기업들은 최신 보안 위협에 대응하기 위해 다수의 보안 솔루션을 도입하고 있다. 하지만, 운영 및 관리의 한계에 부딪히는 경우가 많고 이는 또 다른 보안 홀(hole)’을 발생시킨다. 바로, AhnLab EPP와 같은 통합 플랫폼 기반의 유기적인 보안 관리가 필요한 이유다.

이번 글에서는 AhnLab EPP를 구성하는 솔루션 간 연동 원리와 실제 운영 사례를 통한 효과적인 플랫폼 활용법에 대해 알아본다.

AhnLab EPP는 위협 관리 및 대응 관점의 차세대 엔드포인트 보안 플랫폼(Endpoint Protection Platform)이다. 기존 포인트 보안 솔루션 중심의 단순한 보안 관리를 넘어 유기적인 엔드포인트 보안 관리 및 운영을 통해 더 강력하고 효율적인 위협 대응을 역량을 제공한다.

AhnLab EPP는 ▲V3 ▲EPP Privacy Management(EPrM) ▲EPP Patch Management(EPM) ▲EPP Security Assessment(ESA) ▲AhnLab EDR 등 다섯 가지 엔드포인트 보안 솔루션으로 구성된다. 여러 엔드포인트 보안 솔루션들을 단일 에이전트, 단일 관리 콘솔을 기반으로 관리해 복잡다단한 엔드포인트 환경을 효과적으로 보호할 수 있다.

AhnLab EPP를 구성하는 각 솔루션의 역할을 간단히 정리하면 다음과 같다.

1. V3: 안티 멀웨어

V3는 다양한 경로를 통해 유입되는 악성코드를 원천 차단한다. 다차원 분석 플랫폼을 바탕으로 여러 보안 위협으로부터 컴퓨팅 환경을 안전하게 보호하며, 사전 방역 기능을 제공해 견고한 보안 구축에 기여한다.

2. EPrM: 개인정보 탐지 및 유출 방지

개인정보 파일이 이동하는 주요 경로를 지속적으로 모니터링하며 개인정보 유출로 의심되는 행위를 차단한다. 개인정보보호 관련 규정에 명시된 기술적 보호 조치를 쉽고 간편하게 수행할 수 있으며, 기업의 개인정보 관련 규제 준수 및 대외 신뢰도 향상에 기여한다.

3. EPM: OS/보안 패치 관리

조직 내 다양한 시스템의 각종 보안 패치에 대한 실시간 중앙 관리 뿐만 아니라 권고 또는 금지 소프트웨어에 대한 설치 및 관리 기능을 제공한다. 운영체제(OS) 뿐만 아니라 기업 및 기관에서 주로 사용하는 소프트웨어 10여 종에 대한 패치까지 지원한다.

4. ESA: 취약 PC 점검 및 조치

업무용 PC의 보안 상태를 점검 및 감사하고 자동 조치를 통해 전반적인 엔드포인트 보안 수준을 강화한다. 국내 최대 수준인 75 개 점검 항목부터 자동 조치, 백그라운드 조치 등 다양한 기능을 제공해 보안 관리자 뿐만 아니라 일반 임직원들도 간편하게 보안 조치를 수행할 수 있다. 또한 기본/확장 점검 항목 외 사용자가 직접 점검 항목을 생성하여 점검할 수 있도록 ‘관리자 지정 점검’ 생성 기능을 제공한다.

5. EDR: 위협 탐지 & 대응

엔드포인트 영역에 대한 지속적인 모니터링을 통해 위협을 탐지 및 분석하고 최적화된 대응 역량을 제공한다. 차별화된 위협 가시성을 바탕으로 위협의 잠복기(dwell time)를 최소화하고, 알려지지 않은 위협에도 사전 대응할 수 있다.

[그림 1] AhnLab EPP 구조도

AhnLab EPP를 통해 다수의 엔드포인트 보안 솔루션 간 규칙 및 대응 조치를 유기적으로 연계 및 설정함으로써 보안 위협에 더욱 강력한 대응이 가능해진다. 보안 담당자의 필요에 따라 다양한 보안 정책을 적용할 수 있어 고객 주도적이며 능동적인 보안 운영이 가능하다. 또한 AhnLab EPP는 동적 UX 기반의 직관적인 대시보드를 통해 한눈에 파악할 수 있는 엔드포인트 위협 가시성을 제공함으로써 보안 관리자의 효율적인 보안 관리 및 즉각적인 위협 대응에 기여한다.

AhnLab EPP는 다양한 보안 솔루션의 유기적인 연동과 통합 운영을 실현하며 ‘연계형 통합 보안’을 충실하게 지향하고 있다. 그 핵심은 단순 보안 관리를 넘어 플랫폼을 기반으로 체계적이며 효율적인 엔드포인트 위협 관리 및 대응을 제공한다는 데 있다.

특히, 지금처럼 위협이 고도화되는 환경에서 AhnLab EPP와 같은 플랫폼은 더욱 빛을 발한다. 불과 몇 년 전까지만 해도 안티바이러스 솔루션이 특정한 공격을 차단하면 그 배경에 대해 궁금해하는 고객들은 소수에 불과했다. 공격을 차단한 것으로 방어에 성공했고 더 이상의 후속 조치는 필요치 않다고 생각했기 때문이다.

하지만 이제는 상황이 달라져 공격의 배경을 알고자 하는 고객들이 점점 늘어나고 있다. 정확한 배경을 알아야 공격 재발을 방지할 수 있고 내부 컴플라이언스를 규정하는데도 도움이 되기 때문이다. AhnLab EPP와 EDR 등 플랫폼에 속한 솔루션들은 단순히 공격을 차단했다는 ‘결과’를 넘어 공격이 감행된 ‘이유’까지 제공하는 역할을 한다.

AhnLab EPP 도입 전 vs 도입 후

그렇다면, AhnLab EPP를 도입하기 전과 후의 위협 대응은 어떻게 달라질까? 먼저, 도입 전 위협 대응 프로세스를 살펴보자.

우선 조직 내부 보안 관리 서버에서 발생하는 위협 탐지 이벤트가 SOC(Security Operation Center)에 전달되고, 관리자는 SOC로부터 이를 공유 받아 관리 서버의 이벤트를 분석한다. 이후, 위협이 발생한 사용자를 식별하여 PC에서 발생된 위협에 대응한다. 보안 위협이 제거된 것을 확인하면 이에 대한 업무 보고서를 작성하는 것으로 마무리된다.

[그림 2] AhnLab EPP 도입 전 위협 대응 프로세스

이 과정에서 위협 발생 PC에 효과적인 조치를 취하기 위해서는 관리자가 반드시 사용자를 식별해야 하고 해당 사용자를 대상으로 위협 제거 조치를 권고하게 된다. 또, 잠복되어 있는 위협을 확인하기 위해 수동으로 덤프(Dump)를 수집하는 과정을 거쳐야 한다.

여기서 주의해야 할 점은 이벤트 발생 이후 사용자 부재 여부까지 파악해야 한다는 것이다. 만약 사용자가 부재할 경우 보안 위협 제거에 어려움을 겪을 수 있다. 또한, 사용자의 범위를 기업 전체 구성원으로 넓혀 보면 데이터 수집에 한계가 있어 어딘가 존재할 수 있는 잠재적 보안 위협을 안고 갈 수 밖에 없다.

반면, AhnLab EPP를 도입하면 위협 자동 대응 프로세스를 수립해 보안 위협에 효과적으로 대처할 수 있다.

[그림 3] AhnLab EPP 도입 후 위협 대응 프로세스

과정을 살펴보면, 내부 관리 서버에서 발생하는 위협 탐지 이벤트는 SOC로 전달되고 관리자는 이를 공유 받아 관리 서버의 위협 이벤트를 분석한다. 이후, 위협이 발생한 사용자를 식별하는 과정에서 AhnLab EPP의 연계 규칙을 활용해 자동 대응과 덤프 수집이 가능하고 잠재적인 위협 대응과 확산 방지까지 할 수 있다. 만약, 사용자가 부재하더라도 관리 서버에 수집되어 있는 이벤트에 기반한 자동 대응 프로세스를 활용하므로 영향을 받지 않는다.

EPP 연계 규칙이란?

AhnLab EPP 위협 자동 대응 프로세스의 핵심이라 할 수 있는 연계 규칙에 대해 알아보자.

연계 규칙이란 사용하고자 하는 솔루션에 따라 정의된 규칙을 생성해 사전 대응할 수 있는 자동 프로세스를 말한다. 예를 들어 V3를 사용할 경우, 랜섬웨어 등 특정 악성코드 감염이 우려되어 이에 선제적으로 대비하고자 한다면, 악성코드 명을 등록하여 해당 이벤트 발생 시 공유 폴더 해제 및 악성코드 검사를 수행하고 Ahnreport 수집을 통해 잠재적인 위협에 대응할 수 있다.

이 밖에 AhnLab EPP를 구성하는 솔루션들의 연계 규칙 예시는 다음과 같다.

EDR: 알려지지 않은 계정 탈취, 랜섬웨어, 시스템 설정 변경 등의 ‘행위’가 발생하면, 악성 여부 분석을 위한 파일 자동 수집 및 삭제 등을 통해 위협을 통제할 수 있다.

EPM: 다양한 사유에 의해 보안 패치가 권장 패치에 도달하지 못하는 경우, 현 상황에 대해 사용자에게 공지하고 패치 점검을 수행할 수 있다.

EPrM: 사용자 PC의 개인정보 미처리 파일 개수가 사내 정책을 초과할 경우, 사용자의 보안 인식 제고를 위해 ‘프라이버시 캠페인’을 수행하여 개인정보보호 현황을 인지시킬 수 있다.

ESA: PC 보안 점검을 일정 기간 이상 미수행한 사용자를 대상으로 점검을 수행하여 보안을 강화할 수 있다.

AhnLab EPP 운영 사례: 불법 프로그램 사용 및 악성코드 유포 제어

다음으로, AhnLab EPP의 V3와 EPM을 활용해 불법 프로그램 사용과 악성코드 유포를 제어한 사례들을 소개한다.

1. 사내 금지 프로그램 탐지 및 대응

조직에서 발생할 수 있는 흔한 경우 중 하나로, 사내 정책 상 금지된 프로그램을 탐지해 대응한 사례다. 예를 들면, 정보가 유출될 수 있는 메신저 프로그램을 탐지해 대응하고자 보안 체계를 강화하는 것이다.

이 경우, EPP 콘솔을 통해 EPM의 보안 조치 권고를 진행하고, 금지 소프트웨어 관리 정책을 적용한다. 이후 금지 프로그램인 특정 메신저를 사용 금지 목록에 등록한다. 사내 보안 정책에 따라 금지 소프트웨어에 대한 제어 정책을 설정하고, 최근 검사 이력을 확인해 설정된 조건에 부합하는 사용자 PC를 연계 규칙에 기반해 탐지하고 대응한다.

이를 수행하기 위해서는 EPP 콘솔에서 다음과 같은 연계 규칙 설정이 필요하다.

먼저 탐지의 경우, EPM의 소프트웨어 설치 조건에 해당 메신저 프로그램을 등록한다. 대응은 EPP를 통한 공지사항 보내기, EPM의 소프트웨어 설치 점검, V3 네트워크 차단 기능을 설정한다. 이를 통해 메신저 프로그램을 설치한 사용자는 일차적으로 공지사항 받아 본인의 보안 정책 위반 사실을 인지할 수 있다. 그럼에도 불구하고 조치를 하지 않는다면 V3 네트워크 차단 기능을 통해 사용자가 보안 정책을 준수하도록 보다 강력한 조치를 취할 수 있다.

2. 보안 취약점을 통한 악성코드 탐지

다음은 보안 취약점에 의한 악성코드 이슈에 대해 전사 임직원 PC를 대상으로 패치를 적용하고 감염 대응 체계를 강화한 사례이다. 이 경우, 다음과 같은 설정을 운영 환경에서 지속적으로 탐지하고 자동으로 대응할 수 있도록 해야 한다.

먼저, EPP 콘솔을 통해 사용자 PC의 백신 실시간 감시 정책 사용이 필요하다. 특정 악성코드 감염 이력이 있고, 혹은 특정 보안 패치 미적용 이력이 있거나 사내 권장 패치 수행률이 특정 비율 이하인 사용자 PC를 탐지해야 한다. 설정된 조건에 부합한다면 연계 규칙을 통한 탐지와 대응이 가능하다.

이 때, EPP 콘솔에서는 다음과 같이 연계 규칙 조건이 필요하다.

탐지의 경우, V3에서 악성코드 진단명을 등록하고 EPM에서 특정 패치가 미적용 됐거나, 사내 권장 패치율 이하인 사용자를 확인 및 선택한다. 이후 EPP 공지사항을 통해 보안 취약점을 통한 악성코드 감염 이슈가 있음을 사용자에게 인지시키고, EPM을 통해 패치를 수행한다. 추가적으로, EPP의 Ahnreport 수집을 통해 향후 발생 가능한 이슈까지 추가 분석할 수 있다.

출처 : AhnLab