엔드포인트 보안이란?

또한 엔드포인트 보안은 엔드포인트 디바이스를 사용하여 네트워크의 민감한 데이터 및 기타 자산에 대한 사이버 공격을 시작하려는 공격자로부터 네트워크를 보호합니다.

엔드포인트는 여전히 사이버 공격에서 기업 네트워크의 주요 진입점입니다. 여러 연구에 따르면 성공적인 사이버 공격의 90%, 성공적인 데이터 침해의 70%가 엔드포인트 디바이스에서 시작된다고 합니다. IBM의 데이터 유출 비용(CODB) 보고서에 따르면 데이터 유출로 인한 기업의 평균 비용은 444만 달러에 달한다고 합니다.

오늘날 기업은 그 어느 때보다 더 많은 엔드포인트와 더 많은 종류의 엔드포인트를 보호해야 합니다. BYOD(Bring-Your-Own-Device) 정책, 원격 근무의 증가, IoT 디바이스, 고객 대면 디바이스 및 네트워크 연결 제품의 급증으로 해커가 악용할 수 있는 엔드포인트와 보안 팀이 보호해야 하는 취약성이 배가되었습니다.

최초의 엔드포인트 보안 소프트웨어인 바이러스 백신 소프트웨어는 트로이 목마, 웜, 애드웨어 등 알려진 형태의 멀웨어로부터 엔드포인트를 보호합니다.

기존의 바이러스 백신 소프트웨어는 엔드포인트 디바이스의 파일에서 알려진 바이러스 또는 멀웨어의 특징인 바이트 문자열 등 멀웨어의 징후를 검사했습니다. 이 소프트웨어는 바이러스가 발견되면 사용자 또는 관리자에게 경고하고 바이러스를 격리 및 제거하고 감염된 파일을 복구할 수 있는 도구를 제공했습니다.

차세대 바이러스 백신(NGAV)이라고도 하는 오늘날의 바이러스 백신 소프트웨어는 징후를 남기지 않는 멀웨어를 포함한 새로운 유형의 멀웨어를 식별하고 차단할 수 있습니다. 예를 들어, NGAV는 파일리스 멀웨어, 즉 메모리에 상주하여 합법적인 애플리케이션의 코드에 악성 스크립트를 주입하는 멀웨어를 탐지할 수 있습니다. 또한 NGAV는 의심스러운 행동 패턴을 알려진 바이러스의 패턴과 비교하는 휴리스틱과 파일에서 바이러스 또는 멀웨어 감염 징후를 검사하는 무결성 스캔을 사용하여 의심스러운 활동을 식별할 수 있습니다.

바이러스 백신 소프트웨어만으로도 소수의 엔드포인트를 보호하는 데 충분할 수 있습니다. 그 이상은 일반적으로 엔터프라이즈 보호 플랫폼, 즉 EPP가 필요합니다. EPP는 NGAV를 다음과 같은 다른 엔드포인트 보안 솔루션과 결합합니다.

• 웹 제어: 웹 필터라고도 하는 이 소프트웨어는 웹 사이트나 사용자가 다운로드한 파일에 숨겨진 악성 코드로부터 사용자와 조직을 보호합니다. 웹 제어 소프트웨어에는 보안 팀이 사용자가 방문할 수 있는 사이트를 제어할 수 있는 화이트리스트 및 블랙리스트 기능도 포함되어 있습니다.
  
  
• 데이터 분류 및 데이터 손실 방지: 이러한 기술은 클라우드 또는 온프레미스에서 민감한 데이터가 저장되는 위치를 문서화하고 해당 데이터에 대한 무단 액세스 또는 공개를 방지합니다.
  
  
• 통합 방화벽: 이러한 방화벽은 네트워크 안팎으로 무단 트래픽을 방지하여 네트워크 보안을 강화하는 하드웨어 또는 소프트웨어입니다.
  
  
• 이메일 게이트웨이: 이러한 게이트웨이는 수신 이메일을 선별하여 피싱 및 소셜 엔지니어링 공격을 차단하는 소프트웨어입니다.
  
  
• 애플리케이션 제어: 이 기술을 통해 보안 팀은 디바이스에서 애플리케이션의 설치 및 사용을 모니터링하고 제어할 수 있으며 안전하지 않거나 승인되지 않은 앱의 사용 및 실행을 차단할 수 있습니다.

EPP는 이러한 엔드포인트 솔루션을 중앙 관리 콘솔에 통합하여 보안 팀 또는 시스템 관리자가 모든 엔드포인트의 보안을 모니터링하고 관리할 수 있도록 합니다. 예를 들어 EPP는 각 엔드포인트에 적절한 보안 툴을 할당하고, 필요에 따라 해당 툴을 업데이트하거나 패치하고, 회사 보안 정책을 관리할 수 있습니다.

EPP는 온프레미스 또는 클라우드 기반일 수 있습니다. 그러나 업계 분석업체 Gartner는 "바람직한 EPP 솔루션은 주로 클라우드에서 관리되며, 엔드포인트가 기업 네트워크에 있든 사무실 외부에 있든 관계없이 활동 데이터를 지속적으로 모니터링 및 수집하고 원격 문제 해결 조치를 취할 수 있는 기능"이라고 언급했습니다.

EPP는 알려진 위협 또는 알려진 방식으로 행동하는 위협을 예방하는 데 중점을 둡니다. 엔드포인트 탐지 및 대응(EDR)이라고 하는 또 다른 종류의 엔드포인트 보안 솔루션을 통해 보안 팀은 예방적 엔드포인트 보안 도구를 우회하는 위협에 대응할 수 있습니다.

EDR 솔루션은 각 디바이스에 들어오는 파일과 애플리케이션을 지속적으로 모니터링하여 멀웨어, 랜섬웨어 또는 지능형 위협을 나타내는 의심스럽거나 악의적인 활동을 찾아냅니다. 또한 EDR은 상세한 보안 데이터와 텔레메트리를 지속적으로 수집하여 실시간 분석, 근본 원인 조사, 위협 헌팅 등에 사용할 수 있는 데이터 레이크에 저장합니다.

EDR에는 일반적으로 고급 분석, 행동 분석, 인공 지능(AI) 및 머신 러닝, 자동화 기능, 지능형 경고, 조사 및 수정 기능이 포함되어 있어 보안 팀이 다음을 수행할 수 있습니다.

• 침해 지표(IOC) 및 기타 엔드포인트 보안 데이터를 위협 인텔리전스 피드와 상호 연관시켜 지능형 위협을 실시간으로 탐지합니다.
  
  
• 의심스러운 활동 또는 실제 위협에 대한 알림과 함께 근본 원인을 격리하고 위협 조사를 가속화하는 데 도움이 되는 상황별 데이터를 실시간으로 수신합니다.
  
  
• 정적 분석(악성 코드 또는 감염된 것으로 의심되는 코드 분석) 또는 동적 분석(의심스러운 코드를 격리하여 실행)을 수행합니다.
  
  
• 엔드포인트 동작에 대한 임계값을 설정하고 해당 임계값을 초과할 때 알림을 제공합니다.
  
  
• 개별 디바이스의 연결을 끊고 격리하거나 프로세스를 차단하는 등의 대응을 자동화하여 위협이 해결될 때까지 피해를 완화합니다.
  
  
• 다른 엔드포인트 디바이스가 동일한 사이버 공격의 영향을 받고 있는지 확인합니다.

많은 최신 EPP 또는 고급 EPP에는 일부 EDR 기능이 포함되어 있지만 예방 및 대응을 포괄하는 완전한 엔드포인트 보호를 위해 대부분의 기업은 두 기술을 모두 사용해야 합니다.

확장 탐지 및 대응(XDR)은 EDR 위협 탐지 및 대응 모델을 인프라의 모든 영역 또는 계층으로 확장하여 엔드포인트 장치뿐만 아니라 애플리케이션, 데이터베이스 및 스토리지, 네트워크 및 클라우드 워크로드를 보호합니다. 서비스형 소프트웨어(SaaS) 제품인 XDR은 온프레미스 및 클라우드 리소스를 보호합니다. 일부 XDR 플랫폼은 단일 공급업체 또는 클라우드 서비스 제공업체의 보안 제품을 통합하지만, 가장 좋은 플랫폼은 조직이 선호하는 보안 솔루션을 추가하고 통합할 수 있는 플랫폼입니다.