[디지털데일리 김보민기자] 외부뿐만 아니라 내부에서도 위협이 발생할 수 있다고 보는 '제로트러스트(Zero Trust)' 접근 방식이 엔드포인트 보안에 적용될 필요가 있다는 의견이 나왔다. 악성 요소와 더불어 내부 모니터링도 강화해, 최초에 위협을 막는 것이 중요하다는 취지다.

백민경 안랩 솔루션컨설팅팀 부장은 12일 서울 중구 롯데호텔에서 디지털데일리가 개최한 '금융IT 이노베이션' 콘퍼런스를 통해 "제로트러스트는 항상 검증하라는 의미"이라며 "엔드포인트탐지및대응(EDR)에서 이야기하는 부분이 바로 제로트러스트 관점과 같다"고 밝혔다.

EDR은 엔드포인트에서 발생하는 사이버 공격을 탐지하고 대응하는 보안 방식이다. 엔드포인트 기기로는 데스크톱부터 서버, 모바일 기기까지 다양한데 이들은 악성코드와 랜섬웨어 같은 위협을 전달하는 매개체 역할을 한다.

거시적인 개념으로 보면 EDR은 제로트러스트와 맥을 같이 한다. 제로트러스트 또한 모든 요인을 지속 검증해 위험 요소를 탐지하고, 즉각 대응하는 데 특화돼 있다. 실시간 분석, 의심 행위 식별, 최소 권한 원칙 등을 통해 공격 영향을 사전에 막거나 영향을 줄이는 방식이다.

백 부장은 "침해 위험을 최소화하는 것이 제일 중요하다"며 "정보보안 영역에서 공격이 9000번 실패하더라도 한 번 뚫리면 성공한 것"이라고 강조했다.

이날 백 부장은 제로트러스트 적용 없이 엔드포인트 영역에서 발생할 수 있는 피해 사례를 소개했다. 안랩이 소개한 피해 기업은 일부 PC, 서버, VM웨어 ESXi 가상화 시스템의 가상디스크포맷 VMDK 파일이 모두 암호화되는 현상을 겪었다. 이후 암호 데이터 복구를 완료했지만, VM웨어 ESXi 대신 다른 시스템으로 이전 계획이 되며 유사 공격이 다수 재발해 불안감이 증가했다. 침해 경로와 원인 파악이 필요한 이유다.

이 밖에도 관리자 계정을 확보해 VM웨어 브이센터(vCenter)에 원격데스크톱프로토콜(RDP) 접근을 한 뒤, 각 ESXi 서버의 SSH를 활성화해 로그인을 시도하는 장악 방법도 두드러지고 있다. 이후 루트 계정 로그인에 성공하면 거점 윈도 볼륨에 SSH를 더해 랜섬웨어를 실행할 수 있다.

백 부장은 이외 다양한 침해 사례를 소개하며 "보안의 경우 100번을 막아도 티가 나지 않지만, 한 번 뚫리면 모든 것이 무너진다"며 "기존 악성만 막는 것이 아니라 내부에서 정상적으로 (인식하는) 것도 모니터링하는 과정이 제일 중요하다"고 말했다.

제로트러스트 관점에서 보면 내부에서 안심하고 사용하던 모든 영역들이 공격이 들어오는 통로가 될 수 있다는 취지다. 백 부장은 "들어오는 것(위협)을 최초에 막고 피해가 발생하기 전 인지를 하는 것이 제일 중요하다"며 "EDR은 물론 확장탐지및대응(XDR)은 내부에 위협이 확산되기 전 탐지를 돕는 솔루션"이라고 부연했다.

지속적인 추적이 보안을 강화할 핵심 열쇠가 될 수 있다고도 강조했다. 백 부장은 "국내 금융권 대부분이 안랩 V3를 사용하면서도 설치 후 V3가 (위협을) 다 잡아줄 것이라고 믿는 곳은 없을 것"이라며 "PC에 있는 신규 다운로드나 취약점 등을 계속 추적해 엔드포인트에 대한 추적이 필요하다"고 말했다.