사이버 공격은 클라우드, IoT, AI와 같은 진화하는 IT 기술을 이용해 한층 더 지능적으로 진화하고 있다. 반면 기업/기관은 새로운 기술이 가져올 신종 위협에 대응하고, 변화하는 비즈니스 환경에 맞춰 보안 전략을 수립하는 한편, 보안인식 없는 경영진과 임직원을 설득해야 한다는 삼중고에 시달리고 있다. 진화하는 위협 상황에서 기업/기관의 비즈니스를 보호하는데 도움을 주는 보안 제품과 서비스를 소개한다.<편집자>
맥아피(구 인텔시큐리티)의 엔드포인트 보안 제품군은 ‘맥아피 엔드포인트 쓰렛 프로텍션’, ‘맥아피 엔드포인트 쓰렛 디펜스’ ‘맥아피 엔드포인트 디펜스 앤드 리스폰스’ 등으로 구성돼 있으며, 하나의 올인원 콘솔에서 관리할 수 있다.
이 제품은 차세대 통합 엔드포인트 보안을 지원하며, 웹컨트롤, 방화벽, 위협예방 기능 등의 기본 기능과 함께 새로운 공격위협 대응 기술을 접목한 포괄적인 방어 전략을 제공한다.
엔드포인트에는 신기술인 동적 애플리케이션 봉쇄(DAC) 기능이 포함돼 있어 멀웨어의 동적행위를 사전에 정책으로 구성하고 랜섬웨어와 유사한 형태로 실행되는 행위를 차단, 확산을 막는다. 또한 악성행위를 위한 애플리케이션을 차단하고, 해당 스크립트 등을 제거한다.
별도의 샌드박스 또는 가상 시스템을 필요로 하지 않고, 사용자 정의 룰에 의해 선 탐지모드 후 차단모드로 변경해서 운영할 수 있으며, 온오프라인 관계 없이 작동한다. 예를 들면 랜섬웨어 별 동작 특성이 각각 다르기 때문에 이를 구분해서 룰셋을 정의 할 수 있다.
맥아피의 머신러닝 기술인 ‘리얼 프로텍트(Real Protect)’도 엔드포인트 제품에 탑재된다. 리얼 프로텍트는 사전 정적분석과 사후 클라우드 분석으로 탐지 정확도를 높인다. 정적분석을 통해 알려진 악성 프로그램 속성과 대조해 정적 바이너리분석을 기반으로 탐지한다. 또한 클라우드 기반 시스템의 머신러닝을 통해서 행위 동작을 탐지하고 다른 랜섬웨어와 동작을 비교한다. 사전-사후 머신러닝 분석의 특성을 가진 리얼 프로텍트는 안티바이러스 테스트 전문기관 AV테스트의 실제환경에 100%에 가까운 탐지능력을 나타냈다.
맥아피 엔드포인트 시큐리티에는 엔드포인트 침해 탐지 및 대응(EDR) 기능도 포함하고 있다. EDR 기능은 감염되고 확산되는 악성코드의 원천 중단과 삭제까지 가능하다.
맥아피 엔드포인트 보안 제품군은 위협을 인지한 후 즉시 조사하고 바로 조치하는 단일콘솔 시스템으로, 기업 전체의 위협 동향을 시각화한다. 보급과 시간별 표면 우선순위가 높은 위협 요소를 알려주며, 위협이 발생한 모든 호스트를 상호 연관시킨다. 모든 엔드 포인트에서 실시간, 휴면 또는 삭제 된 위협을 식별하고, 단일 엔드 포인트 또는 전체 조직에서 즉각적인 조치를 수행한다.
