[디지털데일리 권하영기자] 기술 발전에 따라 기업 내 다양한 디지털 기기 사용이 늘면서, 이러한 ‘엔드포인트’에 대한 보안 전략이 중요해진 지 오래다. 엔드포인트는 회사 내부 시스템에 접속할 수 있는 기기를 말하는데, 최근에는 엔드포인트 영역에서도 철저한 무신뢰 원칙인 ‘제로트러스트’ 보안을 적용할 필요성이 커지고 있다.

안랩 백민경 팀장은 20일 서울 중구 전국은행연합회 은행회관에서 <디지털데일리>가 개최한 ‘디지털 신뢰 새 패러다임, 제로트러스트 적용 전략 콘퍼런스’에서 ‘제로트러스트 적용을 통한 엔드포인트 보안 혁신 전략’을 소개했다.

백 팀장은 “공격자들이 어떤 기관을 공격할 때 네트워크 쪽으로 접근하는 경우도 있지만 최종적으로 공격을 시작하는 부분은 엔드포인트”라며 “엔드포인트라는 게 일반 클라이언트 PC가 될 수도 있고 모바일 기기나 서버일 수도 있는데 결국 사람이 다루는 엔드포인트 기기가 상당히 취약할 수밖에 없으며, 그래서 공격자들은 끊임 없이 엔드포인트에 침해 사고를 일으키기 위해 노력한다”고 언급했다.

그는 “최근에 나왔던 제로트러스트라는 개념은 모든 접근을 믿지 말고 항상 검증하라는 의미인데, 주로 ZTNA(제로트러스트 네트워크 액세스)에서 많이 들으셨겠지만 이제는 엔드포인트 영역에서도 제로트러스트 관점에서 고민이 필요하다”고 지적했다.

제로트러스트 관점의 엔드포인트 보안 전략이 필요한 대표적인 사례로 백 팀장은 A사의 2023년 랜섬웨어 감염 사례를 제시했다.

VM웨어를 이용한 가상화 서버 서비스를 제공하고 있었던 해당 고객사는 VM웨어에 있는 리눅스 서버가 전부 랜섬웨어에 감염됐는데, 안랩 포렌식 전문팀의 조사 결과 리눅스 타깃의 랜섬웨어가 아닌 윈도에서 동작하는 랜섬웨어(크리시스)에 감염된 것이었다. 고객사 내부 RDP(원격 데스크톱 프로토콜) 서버가 노출되면서 리눅스 서버임에도 윈도 계정 정보가 탈취됐고, 결과적으로 VMDK(가상머신 디스크 포맷) 파일 자체가 전부 암호화돼버려 서비스 장애가 크게 발생한 케이스였다.

백 팀장은 “해당 고객사는 당연히 업무를 위해 접속하는 걸로 봤는데, 사실 이 접근하는 사용자가 기존에 쓰고 있는 어드민 계정 또는 정상적인 권한을 가진 사용자가 접근했는지 계속 검증해야 한다”고 진단했다.

그는 “지금까지 공공·금융기관이나 일반 기업에서 내부 네트워크에 들어오는 외부 공격에 대한 모니터링 위주로 많이 하고 있는데, 이제는 단말 서버가 됐든 클라이언트 OS가 됐든 엔드포인트에 대한 다양한 행위 정보를 수집해 엔드포인트 통합 보안 관제 아니면 통합 로그 분석을 할 수 있는 환경이 돼야 하는데 아직 준비 중이거나 이제 도입을 하는 단계라 침해 사고들이 계속 발생하고 있다”고 진단했다.

글로벌 사이버보안 표준인 마이터어택(MITRE ATT&CK)이 제시한 공격 단계를 요약하면 크게 공격을 준비하는 0단계, 최초 침해 시스템 해킹이 이뤄지는 1단계, APT(지능형 지속위협)로 발전되는 2단계, 데이터 유출 및 랜섬웨어 감염이 발생하는 3단계 등 총 네 단계가 있다. 백 팀장은 “아까 말씀드린 고객사례가 노출된 윈도 서버에 정상 권한을 가진 어드민 계정으로 들어와 원격 로그인을 했던 게 시작이었던 것처럼 그게 사용자가 한 건지 공격자가 탈취된 정보로 들어온 건지 판단이 상당히 어렵다”며 “결국 2단계로 확산되기 전에 막아야 실제 피해를 최소화할 수 있다”

이러한 침해 위협을 완화하기 위한 효율적인 대응전략은 결국 ‘피해 발생 전 인지’가 가장 중요하므로 EDR(엔드포인트 탐지·대응)과 XDR(확장형 탐지·대응)로 상시 모니터링 체계를 구축하는 것이다. 또한 최초 유입을 차단해 사이버 위협을 사전에 예방하는 것이 중요하며, 사후 추적을 위해 EDR·XDR을 통한 위협사냥(Threat Hunting) 역시 필요하다.

백 팀장은 “공격자 입장에서 성을 공략한다고 했을 때, 해자를 건널지 성벽을 올라갈지 아니면 내부자와 내통해서 정상적인 상인인 것처럼 정문으로 들어갈지 상당히 여러 방법이 있다”며 “방어자 입장에선 기존에 창문이나 성문 같은 자신들이 지키고 있는 곳만 보게 되는데, 공격자는 전반적으로 이 성을 침략하기 위해 여러 루트를 고민한다는 걸 알아야 한다”고 지적했다.

그러면서 “기존의 보안 솔루션들은 하나의 사일로 형태로 자신들이 방어하는 영역만 보고 있는데, 그게 아니라 전체적으로 다 볼 수 있도록 엔드포인트에 대한 것도 같이 엮어서 봐야 한다”며 “또 방어자 입장에서는 공격 행위를 찾아서 원인을 분석하고 재발 방지를 하는 것도 매우 중요한데, 그래서 제로트러스트 관점에서 위협사냥을 하는 게 중요하다”고 제언했다.

백 팀장은 “안랩은 제로트러스트 아키텍처 전체 영역에서 단말에 대한 엔드포인트를 상시 모니터링하기 위해 V3와 함께 EDR 솔루션을 통해 상시 위협 모니터링에 대한 체계를 현재 제공 중이며, 3월에 릴리즈할 XTG라고 하는 차세대 방화벽 모듈에서 ZTNA를 지원하는 영역이 나오게 된다”고 밝혔다.

이어 “이를 통해 인증이나 정책 결정 지점, 시행 시점을 분류해서 인증받은 사용자의 접근에 대한 제어도 같이 제공을 하게 되며, 제로트러스트 영역에 있는 엔드포인트를 XDR 플랫폼에서 이미 다 모아서 상시 모니터링과 리스크 관리를 하는 구조로 서비스를 제공하고 있다”고 전했다.