엔드포인트 위협 탐지 및 대응솔루션
[컴퓨터월드] 국내에서 지능형 위협 공격(APT)으로 인해 발생한 침해사고를 보안관리자가 인지한 시점은 공격 발생 후 2개월에서 8개월까지로 나타나고 있다. 이미 내부 정보가 대부분 유출된 이후이다. APT, 랜섬웨어 등 날로 지능화되는 보안위협은 기존에 도입된 전통적인 보안솔루션만으로는 조기에 탐지하고 대응하기 매우 어려운 것이 현실이다.
지능적이고 다양한 형태의 보안공격이 등장하면서 이에 대응하기 위한 보안솔루션도 진화하고 있다. 기존 범용적으로 사용하던 방화벽, 침입방지시스템 등의 전통적인 형태의 네트워크 보안솔루션은 보안위협에 대한 원천적인 차단과 예방이 목적이었다. 그러나 최근 APT 등 지능형 공격에 대응하기 위해 등장한 보안솔루션은 보안위협을 신속하게 탐지하고 대응해 내부 네트워크에 공격이 확산되는 것을 방지하는 것에 초점을 맞추고 있다.
‘지니안 인사이츠 E(Genian Insights E)’는 엔드포인트에서 발생하는 보안 위협을 빠르게 탐지해 대응할 수 있도록 설계된 엔드포인트 위협 탐지 및 대응(Endpoint Detection & Response, 이하 EDR)솔루션이다.
지니언스가 제공하는 EDR제품은 NAC를 통해 다양한 장치 및 OS가 존재하는 조직 내 단말에서 프로세스, 파일, 네트워크 접속 정보 등을 수집한다. 이를 지니안 인사이츠 IOC 탐지엔진으로 보내면서 ‘지니안 인사이츠 E’는 악성 행위 탐지를 시작한다.
‘지니안 인사이츠 E’콘솔은 보안관리 및 위협 탐지를 위한 중앙 집중화된 플랫폼으로 엔드포인트가 분산된 환경에서 위협 탐지 DB를 최신으로 유지한다. 지속적인 모니터링으로 사용 현황, 위협의 시각화를 통해 조직 내부의 엔드포인트를 가시화하여 위협에 대한 대응을 실시한다.
이때 악성행위의 통제는 ‘지니안 NAC’를 통해 이루어지며, 에이전트(Agent)기능 이외에 위협 단말 행동에 대한 다양한 형태의 통제 및 치료 방안(알람, 프로세스 강제 종료, 파일 삭제, 네트워크 차단, 정책 적용 등)의 대응 조치가 이루어진다.
‘지니안 인사이츠 E’는 ▲NAC 에이전트의 EDR 플러그인을 통한 정보수집, 위협대응 ▲위협 탐지를 위해 수집한 정보는 수집/분석을 위해 인사이츠 서버로 전송 처리 ▲침해지표(Indicators of Compromise, IOC)를 통한 위협 탐지 ▲탐지된 위협에 대한 경고 알람 및 대응 ▲대시보드를 통한 보안상황 및 위협에 대한 가시성 제공 ▲엔드포인트 행위에 대한 분석 및 모니터링 등 EDR 관련 기능을 제공한다.
특히, ‘지니안 인사이츠 E’는 EDR 도입 고객의 사용편의성을 고려했다. 별도의 에이전트 배포 및 설치관리를 할 필요 없이 기존 지니언스의 ‘지니안 NAC’를 이용하고 있는 고객은 EDR 에이전트 플러그인 추가와 서버 도입만으로 위협 탐지 및 대응이 가능하다. 사용자 부하 최소화를 위해 필요한 정보만 선택적으로 수집, 대부분의 분석 작업은 서버에서 수행한다.
‘지니안 인사이츠 E’를 통한 랜섬웨어 대응 예
지난 5월 발생한 ‘워너크라이 랜섬웨어(이하 워너크라이)’ 출현으로 전세계 약 150개국 30만 대 이상의 PC가 피해를 본 것으로 알려졌다. 국내에서도 수십 건의 피해가 신고 됐고, 280여 개의 변종 랜섬웨어가 출현했다.
이 사건을 포함해 랜섬웨어에 대응하는데 ‘지니안 인사이츠’가 가진 강점을 다음의 세 가지로 나타낼 수 있다.
1. 변종을 포함한 랜섬웨어 공격에 최신 IOC기반 실시간 대응 가능
워너크라이는 국내 발견시점이 5월 12일이었다. 이 시점 이후 총 15회의 수시 IOC 업데이트를 통해 현재까지 발견된 워너크라이 관련 악성코드와 변종에 대한 IOC 업데이트를 완료해 최신 랜섬웨어에 실시간으로 대응할 수 있는 체계를 마련했다.
2. NAC를 통한 즉각적인 대응으로 네트워크 랜섬웨어 확산 방지
워너크라이 등 랜섬웨어 실행 시에는 자동탐지 모드가 작동해 내부정책상 차단이 아닌 탐지 모드에서도 즉시 탐지가 가능하다. 또한 설정에 따라 랜섬웨어가 PC에 저장(생성, 다운로드 등) 또는 실행되는 순간 차단이 가능하다. 차단된 랜섬웨어 감염파일은 검역소 격리 후 별도 보관되며, 상세정보 확인 및 영구삭제가 가능하다.
랜섬웨어에 감염된 단말 네트워크에 접속하거나, 설정에 따라 악성코드가 탐지된 순간 PC의 모든 네트워크 접근이 즉시 차단된다. C&C 접속 및 추가 구성요소의 다운로드 등을 차단해 피해확산을 방지할 수 있다.
3. 상세 위협분석을 통한 체계적인 대응
관리자는 대시보드를 통해 이상 징후를 탐지하고 분석할 수 있으며, 해결조치를 위한 대상과 정보를 확인할 수 있다. 또한 ‘분석’메뉴를 통해 위협의 현황을 파악할 수 있으며, 위협의 정도/빈도/대상 등을 확인해 조치 여부 및 순서를 조정할 수 있다.
상세한 위협분석을 지원하며 위협의 형태, 위험도 등 속성에 따라 대응의 종류 및 수위를 판단할 수 있도록 기능을 지원하고 있다. 
더불어 탐지된 위협에 이벤트 연결, 정적 및 동적 분석 등 상세 분석정보를 제공하여 보안운영팀(SoC)의 체계적인 대응 업무 생산성을 향상시킬 수 있다.
