엔드포인트 보안은 규모와 관계없이 모든 기업에 필수적인 광범위한 사이버 보안 프로그램의 일부입니다. 기존에는 바이러스 백신 소프트웨어를 사용하여 위협에 대응했지만, 현재는 정교해진 악성코드와 진화하는 제로데이 공격의 위협에 대한 통합 보호 기능으로 발전했습니다. 그렇다면 엔드포인트 보안이란 무엇이고, 어떻게 이루어지며, 기업이 알아야 할 사항은 무엇일까요?
엔드포인트 보안이란?
엔드포인트 보안 또는 엔드포인트 보호는 데스크톱, 노트북, 모바일 기기와 같은 엔드포인트를 사이버 보안 위협으로부터 보호하는 것을 말합니다. 엔드포인트는 사이버 범죄자가 악용할 소지가 있는 조직 네트워크에 대한 진입점을 만들 수 있습니다. 엔드포인트 보안은 이러한 진입점을 악의적인 공격으로부터 보호합니다.
엔드포인트 보안이 왜 중요한가요?
최근 몇 년간 기업의 엔드포인트 수는 증가했습니다. 특히 코로나19 이후 전 세계적으로 원격 근무가 증가함에 따라 이러한 추세는 더욱 두드러졌습니다. 재택근무를 하거나 이동 중에 공용 Wi-Fi에 접속하는 직원이 늘어나면서 기업 네트워크 내 엔드포인트는 그 어느 때보다 많아졌으며, 모든 엔드포인트는 공격의 잠재적인 진입점이 될 수 있습니다.
모든 기업은 규모와 관계없이 사이버 공격의 표적이 될 수 있습니다. 노트북이나 모바일 기와 같은 엔드포인트를 통해 침입하여 이루어지는 공격으로부터 보호하는 것은 점점 더 어려워져, 기기가 해킹되고 데이터 유출로 이어질 수 있습니다. 데이터 침해 사례의 70%는 엔드포인트 기기에서 발생하는 것으로 추정됩니다. 데이터 유출은 회사의 평판을 손상시킬 뿐만 아니라 막대한 비용을 초래할 수 있습니다. IBM이 의뢰하여 작성된 포네몬 연구소(Ponemon Institute)의 2020년 보고서에 따르면 전 세계적으로 데이터 유출로 인한 평균 피해 비용은 386만 달러에 달하며, 미국의 경우 피해액 규모가 더 큰 것으로 나타났습니다. 데이터는 기업의 가장 귀중한 자산이며, 데이터가 손실되거나 데이터에 대한 액세스 권한을 잃게 되면 비즈니스 전체가 위험에 처할 수 있습니다.
기업은 원격 근무가 늘어남에 따른 엔드포인트 수의 증가뿐만 아니라, 사물인터넷의 성장으로 엔드포인트의 유형이 늘어나는 문제도 해결해야 합니다.
기업은 데이터를 보호하고 지능형 사이버 위협에 대한 가시성을 확보해야 합니다. 그러나 많은 중소기업은 네트워크 보안과 고객 정보를 지속적으로 모니터링할 리소스가 부족하며, 이미 침해가 발생한 후에야 네트워크 보호를 고려하는 경우가 많습니다. 네트워크 보호 조치를 취하는 경우에도 네트워크와 인프라에만 집중한 나머지 가장 취약한 요소인 엔드포인트 기기는 보호되지 않은 채 방치할 수 있습니다.
엔드포인트와 그 중요한 데이터로 인해 발생하는 위험은 현재도 계속되는 사이버 보안 과제입니다. 더욱이 엔드포인트 환경이 진화함에 따라, 중소기업과 대기업을 막론한 모든 기업이 사이버 공격의 표적이 되고 있습니다. 따라서 엔드포인트 보안이 무엇이며 어떻게 작동하는지 이해하는 것이 중요합니다.
엔드포인트 보안은 어떻게 이루어지나요?
엔드포인트 보호, 엔드포인트 보안, 엔드포인트 보호 플랫폼이라는 용어는 기업에서 엔드포인트를 보호하기 위해 사용하는 중앙 관리형 보안 솔루션을 지칭하는 용어로 혼용되곤 합니다. 엔드포인트 보안은 파일, 프로세스, 시스템에 의심스럽거나 악의적인 활동이 있는지 검사하는 방식으로 이루어집니다.
기업은 엔드포인트 보호 플랫폼(Endpoint Protection Platform, EPP)을 기기에 설치하여 악의적 행위자(malicious actor)가 악성코드나 그 밖의 도구를 사용하여 시스템에 침입하는 것을 방지할 수 있습니다. 또한 EPP를 다른 탐지 및 모니터링 도구와 함께 사용하면 의심스러운 활동에 플래그를 지정하고 침해가 발생하기 전에 예방할 수 있습니다.
엔드포인트 보호는 기업이 자체 네트워크에 연결할 수 있는 중앙 집중식 관리 콘솔을 제공하며, 관리자는 이를 통해 잠재적인 사이버 위협을 모니터링, 조사, 대응할 수 있습니다. 이러한 작업은 온로케이션(on-location)이나 클라우드 또는 하이브리드 방식을 통해 수행 가능합니다.
온로케이션(On-location): 온로케이션 또는 온프레미스(on-premises) 방식은 관리 콘솔의 허브 역할을 하는 로컬 호스팅 데이터 센터를 사용하며, 관리 콘솔은 데이터 센터의 에이전트를 통해 엔드포인트에 연결하여 보안을 제공합니다. 이러한 방식은 레거시 모델로 간주되는데, 보통 관리자가 네트워크 경계 내에 있는 엔드포인트만 관리할 수 있기 때문에 보안 사일로가 생성되는 등의 단점이 있습니다.
클라우드: 클라우드 방식을 사용하면 기기가 원격으로 연결된 클라우드의 중앙 집중식 관리 콘솔을 통해 관리자가 엔드포인트를 모니터링하고 관리할 수 있습니다. 클라우드 솔루션은 클라우드의 장점을 활용하여 기존의 경계를 넘어서는 부분까지 보호하므로 보안 사일로가 없어지고 관리자의 도달 범위가 확장됩니다.
하이브리드: 하이브리드는 온로케이션과 클라우드 솔루션이 혼합된 방식으로, 코로나19로 인해 원격 근무가 증가하면서 널리 확산되었습니다. 기업들은 특정 클라우드 기능을 얻기 위해 레거시 아키텍처의 일부 요소를 클라우드에 맞게 요소를 조정했습니다.
EPP는 위협 정보 데이터베이스를 클라우드에 보유함으로써 해당 정보를 로컬 서버에 저장할 때 발생하는 비대 현상과 이러한 데이터베이스를 업데이트하는 데 필요한 유지 관리에서 엔드포인트를 해방시킵니다. 또한 클라우드 기반 접근 방식은 더 빠르고 확장성도 뛰어납니다. 다만 일부 대기업은 규제상의 이유로 온프레미스 보안 방식을 사용해야 할 수 있으며, 중소기업의 경우에는 클라우드 기반 접근 방식이 더 적합할 수 있습니다.
엔드포인트 보안 소프트웨어에는 일반적으로 다음과 같은 요소가 포함되어 있습니다.
- 제로 데이 위협을 탐지하기 위한 머신 러닝
- 적대적 네트워크 공격을 방지하는 통합 방화벽
- 피싱 및 기타 소셜 엔지니어링(Social Engineering) 공격 시도로부터 보호하는 이메일 게이트웨이
- 악의적이거나 우발적인 조직 내부의 위협으로부터 보호하는 내부자 위협 방지 기능
- 엔드포인트 기기 및 운영 체제 전반에서 악성코드를 탐지하고 제거하는 고급 안티바이러스 및 악성코드 방지 기능
- 안전한 웹 브라우징을 위한 선제적 보안 기능
- 데이터 유출 방지를 위한 엔드포인트, 이메일, 디스크 암호화
엔드포인트 보안은 궁극적으로 관리자를 위한 중앙 집중식 플랫폼을 제공하여 가시성을 향상시키고, 운영을 간소화하며 위협 요소를 신속하게 격리할 수 있도록 합니다.
엔드포인트 보안에 대해 이야기할 때는 EPP 외에도 EDR이라는 용어를 접하게 되는데, 이는 '엔드포인트 탐지 및 대응(endpoint detection and response)'의 약자입니다. 일반적으로 엔드포인트 보호 플랫폼(EPP)는 수동적인 위협 보호 방법으로 여겨지는 반면, EDR은 이미 발생한 침해를 조사하고 방지하므로 보다 능동적인 방법입니다. EPP는 각 엔드포인트를 격리하여 보호하는 한편, EDR은 여러 엔드포인트에 걸친 공격에 대한 맥락 정보와 데이터를 제공합니다. 일반적으로 최신 엔드포인트 보안 플랫폼은 EPP와 EDR이 결합된 형식입니다.
무엇을 엔드포인트로 간주하나요?
네트워크 엔드포인트는 방화벽 외부에서 조직의 네트워크에 연결되는 모든 기기를 말합니다. 엔드포인트 기기의 예는 다음과 같습니다.
- 노트북
- 태블릿
- 데스크톱 컴퓨터
- 모바일 기기
- 사물 인터넷(IoT) 기기
- 웨어러블
- 디지털 프린터
- 스캐너
- POS(Point of Sale) 시스템
- 의료 기기
엔드포인트 보안과 엔드포인트 보호, EDR 보안과 관련하여 자주 묻는 질문은 다음과 같습니다.
정보에 액세스하여 이를 탈취하거나, 직원을 속여 중요한 정보를 유출하도록 유도하는 해킹 수법이 계속해서 진화함에 따라 위협 환경은 점점 더 복잡해지고 있습니다. 데이터 유출로 인해 발생할 수 있는 기업의 평판 손상과 재정적 피해를 고려하면 엔드포인트 보안은 모든 규모의 비즈니스에 반드시 필요합니다. 카스퍼스카이는 기업을 위한 다양한 엔드포인트 보안 솔루션을 제공하며, 이러한 솔루션은 여기에서 확인하실 수 있습니다.