“광범위하게 분산된 엔드포인트도 15초 이내 분석”
상태바
“광범위하게 분산된 엔드포인트도 15초 이내 분석”
  • 김선애 기자
  • 승인 2016.12.16 17:22
  • 댓글 0
이 기사를 공유합니다

태니엄 “침해사고 빠르게 탐지·대응…다양한 OS 지원해 엔터프라이즈 환경에 적합”

보안 전문기관들의 시장 전망 보고서는 2017년 랜섬웨어가 ATM, POS, 헬스케어 기기 등을 공격할 것이며, APT와 함께 진행돼 더 많은 피해를 입힐 것이라는 의견을 공통적으로 제시하고 있다. 따라서 PC 이외의 다른 기기까지 포괄하는 엔드포인트 보안 솔루션이 필수적으로 요구될 것으로 보인다.

엔드포인트 보안 솔루션은 시그니처 기반 안티바이러스(AV)과 함께 침해사고를 탐지하고 대응하는 EDR 솔루션을 병행하는 것이 이상적인 것으로 권고된다. EDR은 침해지표(IOC)를 이용해 엔드포인트에 발생한 위협을 탐지하는 한편, 엔드포인트의 행위를 모니터링 해 의심스러운 행위가 일어나는지 살펴본다.

EDR 솔루션 기업 태니엄의 일본 지사장이면서 한국 시장도 담당하고 있는 더그 뉴먼(Doug Neuman)은 “이제 공격은 매우 빠르게 진행되고 있다. 랜섬웨어는 감염되면 즉시 공격을 진행하기 때문에 이미 진행된 공격을 사후에 탐지하는 것으로는 피해를 막을 수 없다”며 “이미 진행된 공격을 조사하고 분석하는 것 뿐 아니라, 현재 진행되고 있는 공격도 빠르게 탐지하고 격리할 수 있어야 한다”고 말했다.

15초 내에 엔드포인트 자산 파악·취약점 탐색

태니엄은 IBM에 인수된 빅픽스 출신 인사들이 설립한 기업으로, 엔드포인트 자산관리에기능이 탁월하다는 평가를 받고 있다. 수십만대의 엔드포인트가 운영되는 환경에서도 15초 내에 엔드포인트 정보를 수집해 자산을 파악하고, 보안 취약점을 탐색하며, 위협 가시성을 제공해 줄 수 있다. 윈도우, 리눅스, 맥, AIX, 솔라리스 등 다양한 OS를 지원한다.

태니엄은 ▲사고 대응(Incident Response) ▲탐지(Discover) ▲IOC 기반 침해 탐지(IOC Detect) ▲보호(Protect) ▲엔드포인트 활동 추적(Trace) ▲패치관리(Patch) 등 6개 모듈로 구성돼 있으며, 단일 플랫폼에서 구동돼 관리 용이성이 뛰어나다. 또한 방화벽, SIEM, 샌드박스 등 써드파티 보안 솔루션과 연동돼 전사 위협정보를 공유한다.

태니엄은 침해사고를 탐지하면 해당 사고가 어떻게 진행됐는지 추적해 분석하고 확실한 위협에 대해서는 차단·격리해 사고의 확산을 막을 수 있다. 스케줄링을 통해 정기적인 위협 대응이 가능하며, 정확한 위협 정보만을 수집해 분석하기 때문에 분석 시간이 짧고 정확하게 대응할 수 있다.

태니엄은 다른 보안 기업과 파트너십을 맺고 공격 탐지 효과를 더욱 높이도록 한다. 팔로알토네트웍스의 APT 방어 솔루션 ‘와일드파이어’에서 분석한 악성코드 정보를 태니엄이 공유해 전사 엔드포인트에 해당 악성코드의 침입을 찾아 격리할 수 있다.

뉴먼 지사장은 “기업에서 사용하는 수많은 엔드포인트의 수량과 종류, OS 타입, 구동되는 애플리케이션을 파악하고, 개별 기기와 애플리케이션에 존재하는 취약점을 찾아 제거해야 한다. 이 작업을 태니엄이 자동화된 프로세스로 제공할 수 있다. 현재 운영하고 있는 프로세스를 확인하고 위협 여부를 찾아볼 수 있어 현재 진행되는 공격도 차단할 수 있다”며 “태니엄의 활용 범위는 무한하다”고 설명했다.

글로벌 분포된 매장 운영하는 기업, 태니엄으로 보안 수준 올려

태니엄의 실제 고객 사례를 살펴보면, 고객사 POC 도중 기밀 자료를 외부로 유출시키는 수상한 프로세스를 발견하고 대응해 큰 피해를 막았으며, 75만대의 PC를 스캔해 악성파일과 위협을 탐지할 수 있었다.

한 의료관련 기관은 패치관리 솔루션을 사용하고 있었음에도 500만건의 윈도우 OS 패치가 누락됐다는 것을 태니엄이 찾아냈으며, 윈도우 패치 컴플라이언스를 한 달 만에 86%에서 99.6%로 끌어올렸다. 글로벌 분포된 매장의 제한적인 밴드위스를 극복하고 윈도우 업데이트 패치를 단 몇 시간만에 완료할 수 있었다.

뉴먼 지사장은 “패치관리만 해도 상당한 시간과 인력이 요구되는 작업이다. 윈도우, 어도비 등 다양한 업무용 애플리케이션에서 수없이 많은 취약점이 발견되는데, 발견된 취약점도 모두 다 대응하지는 못하는 상황”이라며 “알려진 취약점만 제거해도 보안사고의 대부분이 해결된다. 태니엄은 대규모 엔드포인트를 운영하는 환경에서도 짧은 시간에 위협에 처한 상황을 알아볼 수 있다”고 말했다.

태니엄의 한국 영업은 효성ITX가 총판을 맡아 진행하고 있으며, 국내 엔터프라이즈 고객에게 제안하고 있다. 분산된 환경에서 다양한 OS의 엔드포인트를 운영하는 고객, 해외 지사를 다수 운영하는 고객, POS 장비가 많은 유통사 등 여러 환경에서 운영 가능하다.

뉴먼 지사장은 “한국에는 중요한 지적재산권을 보호해야 한다는 요구를 가진 기업이 매우 많다. 또한 개인정보와 중요한 자산 관리 수요가 높은 상황”이라며 “내년에는 한국 시장에서도 성과를 낼 수 있도록 영업과 마케팅 활동을 적극적으로 진행할 것”이라고 말했다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.