2019-10-16 00:57 (수)
[가트너 서밋 2019] “위협이 실제 발생하는 엔드포인트 영역 보안 더욱 강화해야”
상태바
[가트너 서밋 2019] “위협이 실제 발생하는 엔드포인트 영역 보안 더욱 강화해야”
  • 길민권 기자
  • 승인 2019.06.17 14:51
이 기사를 공유합니다

가트너 “보호에만 중점을 두는 것이 아니라 탐지와 대응 부문 강화할 것” 권고

▲ 가트너 피터 퍼스트브룩(Peter Firstbrook) 애널리스트. 발표자.
▲ 가트너 피터 퍼스트브룩(Peter Firstbrook) 애널리스트. 발표자.
[미국 워싱턴DC=데일리시큐] 가트너 시큐리티 앤 리스크 매니지먼트 서밋 2019(이하 가트너 서밋 2019)가 미국 워싱턴 내셔널 하버 MD에서 6월 16일부터 20일까지 ‘디지털 시대, IT시큐리티는 모두의 비즈니스다”를 주제로 개최되고 있다.

가트너 서밋(Gartner Summit)은 가트너 보안 리서처들이 올해 핵심적인 보안 트랜드 연구 결과물들을 발표하는 자리로 그 의미가 큰 컨퍼런스다. 더불어 참관객 대부분이 조직의 CISO 및 보안실무자들이기 때문에 네트워킹과 함께 IT시큐리티와 리스크 매니지먼트 전략 그리고 사이버위협 정보를 공유하는 시간이다.

다음은 이번 가트너 서밋에 참관한 김두현 파고네트웍스 이사(테크니컬 제품 마케팅 매니저)의 도움으로 정리된 16일자 발표내용이다.

주제는 ‘The Endpoint Is the New Perimeter–How to Build an Effective Endpoint Protection Strategy(엔드포인트는 새로운 유형의 경계선–효율적인 엔드포인트 보호전략 수립 방안)’으로 발표자는 피터 퍼스트브룩(Peter Firstbrook) 가트너 애널리스트다.

피터 퍼스트브룩은 엔드포인트는 새로운 유형의 경계선으로 봐야 한다는 의미와 함께 효율적인 엔드포인트 보호전략 수립 방안을 제시했다.

그는 “공격자의 최종 목표는 엔드포인트에서 탐지되지 않은 상태로 최대한 오래 머무르는 것”이라고 서두를 던지면서 각 기업/기관은 최신 공격에 대비해 비즈니스 영향도 관점에서 리스크를 평가해야 한다고 밝혔다. 

이어 지난 4월 발생한 노르웨이 알루미늄 제조업체인 노르스크 하이드로의 랜섬웨어 사건, 5월 발생한 미국 볼티모어 시청의 랜섬웨어 사건 등을 예로 들었다. 해당 사건들이 비즈니스 관점에서 끼친 영향은 심각했으며, 다시 한번 각 기업/기관은 비즈니스 영향도 관점에서 보안 리스크를 평가해야 하는 것을 강조했다.

참고로 볼티모어 시청은 1개월이 지난 현시점에도 여전히 업무 프로세스가 모두 복구된 상태가 아니며 실제 업무 프로세스에서 심각한 부작용이 존재하고 있다고 전했다.

또 그는 이미 많이 알려져 있는 공격자 유형과 공격 벡터에 대한 설명에서는 이미 애플리케이션 레이어에서 많은 영역이 암호화되어 통신이 이루어지기 때문에, 네트워크 보안 영역에서 접근하는 방법보다 모든 위협이 실제로 발생하는 엔드포인트 영역에서 보안을 더 강화해야 할 필요성이 있다고 강조했다.

더불어 가트너에서 수년간 사용하고 있는 “Adaptive Security Architecture”인 “Predict(예측), Prevent(예방), Detect(탐지), Response(대응)” 모델에 대해서도 아래와 같이 좀 더 쉽게 이해하도록 유념해야 할 부분을 설명했다.

△Prevent(예방) 부문=SMB 프로토콜을 사용하지 않는다면 적극적으로 시스템에서 프로토콜을 막아야 하고 바이러스토털 등의 인텔리전스 정보는 공격자에게도 공유되고 있다는 사실을 명심해야 한다.

△Detect(탐지) 부문=이미 침투한 공격과 위협에 대한 분석과 탐지이며, 보안팀 입장에서 탐지할 것이라고 기대하고 있는 부분 이외의 위협 행위를 탐지할 수 있는 방법이 있는지 연구해야 한다.

△Response(대응) 부문=단순히 위협 프로세스 킬(Process Kill) 등의 대응이 아니라 앞으로 동일한 위협이나 동일한 사고가 발생하지 않기 위해서 가이드라인을 제시하는 단계까지 마련해야 한다.

즉 EDR개념도 Endpoint Detection(탐지) & Response(대응)에서 Endpoint Detection(탐지) & Remediation(교정/개선)의 단계를 포함하면서, 아래 질의에 대한 응답을 시스템과 프로세스에 포함시켜야 한다고 강조했다.

-침해 정도의 명확한 파악

-침해 발생 원인

-공격자 또는 멀웨어가 활성화 되어 있는 동안 구체적으로 어떤 행위를 했나?

-최악의 상황을 대비한 시스템 복구 방안은 무엇인가?

-우발적인 공격이었는지? 아니면 타겟팅 공격인지 파악. 만약 타겟팅 공격이라면 공격자의 목표는 무엇인지 파악

-이미 진행중인 공격을 탐지하고 조치한 경우, 앞으로 동일한 공격이 침투하지 못하도록 예방하는 방안은 무엇인가?

발표자는 엔드포인트 보호 수준을 총 5가지 레벨로 정의하면서, 각 공격유형에 대한 엔드포인트 프로젝트 로드맵을 제시했다.

g-2.JPG
마지막으로 엔드포인트 보호에 대한 현재 레벨을 위 참조표와 더불어 분석하고 개선 방향을 논의할 것을 권고했다.

기업 내부에서는 보호 수준을 무조건 따라가는 것이 아니라, 비즈니스 위협 분석 결과를 바탕으로 현실적으로 실행 가능한 보호 수준을 협의해야 한다고 강조했다. 더불어 어느 정도 보호 수준을 갖춘 기업도 보호에만 중점을 두는 것이 아니라 탐지와 대응 부문을 추가할 것을 권고했다. (발표내용 정리=김두현 파고네트웍스 이사)

★정보보안 대표 미디어 데일리시큐!★