엔드포인트 보안이 대체 뭐야?

[CCTV뉴스=석주원 기자] 최근 2~3년간 보안산업의 화두는 EDR이었다. EDR은 Endpoint Detection and Response의 약자로, 우리말로 풀어내면 엔드포인트 위협 탐지 및 대응을 의미한다. EDR이 주목을 받는 이유는, 기술의 발전으로 새롭게 등장하는 사이버 위협에 대응하기엔 기존의 보안 시스템의 한계가 명확했기 때문이다. 그래서 보안 업계는 새로운 위협에 대응하기 위한 엔드포인트 보안 솔루션을 찾았고, 이때 주목받은 것이 바로 EDR이다. 그런데 여기서 말하는 엔드포인트 보안은 또 무엇을 의미할까?

■ 엔드포인트(Endpoint), 그리고 보안

엔드포인트 보안을 이해하기 위해서는 먼저 엔드포인트가 무엇인지 알아야 한다. 엔드포인트는 단어의 뜻 그대로 끝점을 의미한다. 현재 우리가 사용하는 대부분의 전자기기들은 네트워크에 연결되어 있는데, 이 네트워크로 연결되어 있는 최종 장치가 엔드포인트가 된다. 예를 들어 우리가 스마트폰으로 인터넷에 접속한다고 했을 때, 우리의 스마트폰은 네트워크 연결의 시작점인 동시에 끝점이 된다.

우리가 스마트폰을 사용할 때 생성되는 데이터들은 스마트폰을 시작으로 인터넷 상에 퍼져 나간다. 동시에 인터넷에서 떠돌던 수많은 데이터 중 일부는 스마트폰을 통해 사용자에게 전달된다. 즉, 사용자가 직접 접촉하는 모든 네트워크 연결 기기는 엔드포인트라고 할 수 있다. 스마트폰은 물론이고, PC, 태블릿, 웨어러블 기기, 사물인터넷(IoT) 기기들도 여기에 속한다.

이제 엔드포인트가 무엇인지는 알았다. 그렇다면 엔드포인트 보안도 자연스럽게 이해가 된다. 엔드포인트인 스마트폰이나 PC 등을 안전하게 보호하는 것이 엔드포인트 보안인 셈이다. PC 사용자라면 최소 하나 이상의 안티바이러스(백신) 프로그램을 사용하고 있을 것이다. 스마트폰은 사용자가 직접 보안 프로그램을 설치하는 경우는 드물지만, 처음 출시될 때부터 강력한 보안 프로그램을 탑재하고 있다. PC처럼 사용자가 보안 프로그램을 직접 구동하지는 않지만, 백그라운드에서는 열심히 제 역할을 하고 있다.
 

■ 기업이 주목하는 엔드포인트 보안

엔드포인트 보안이 최근 몇 년 사이에 많은 관심을 받고 있지만, 엔드포인트라는 용어 자체는 꽤 오래전부터 사용돼 왔다. 그런데 최근에서야 엔드포인트 보안이 주목받는 이유는 무엇일까? 엔드포인트 보안이 주목받기 전까지 기업의 보안 인프라는 서버와 네트워크에 치중되어 있었다. 직원들이 업무용으로 사용하는 PC의 보안도 중요하게 생각하긴 했지만, 그동안은 안티바이러스 프로그램 설치를 의무화하는 정도가 최선이었다.

우리나라는 전 세계에서도 손꼽히는 인터넷 인프라 강국이지만 사이버 보안에서는 많은 헛점을 드러내고 있었다. 그동안 기업과 기관 등에서 발생한 개인정보 대량 유출 사건들이 우리의 보안 현실을 그대로 보여주고 있다. 이러한 사이버 보안 사고가 빈번하게 발생하면서 정부에서는 개인정보 취급 기관과 기업의 망분리 의무화 등 여러 보안 정책을 마련하기도 했다. 하지만 갈수록 진화하는 공격 기술과 유형, 그리고 개선되지 않는 사람들의 보안 의식이 맞물리면서 기존의 보안 기술과 인프라들은 제 역할을 못하는 경우가 많아졌다.

대표적인 예가 랜섬웨어다. 표적으로 삼은 PC에 침투해 파일들을 사용하지 못하게 만들고, 돈을 요구하는 랜섬웨어 공격은 기존의 안티바이러스 프로그램으로는 막을 수 없는 새로운 유형의 사이버 위협이다. 특히 이러한 공격들은 보안 인프라가 잘 구축되어 있는 기업의 중앙 서버를 직접 노리지 않고, 핵심 서버에 접속하는 개인의 PC를 노려 실행된다. 기업들은 이러한 공격을 방지하기 위해 망분리, 가상화, 샌드박스 등의 기술을 도입해 대응하고 있다.

그런데 문제는 개인이 회사에서 사용하는 단말기, 즉 엔드포인트가 업무용 PC에만 국한되어 있지 않다는 데서 발생한다. 스마트폰은 물론이고, 태블릿이나 개인 노트북 등을 회사에서 사용하는 사람이 늘면서, 공격자들은 상대적으로 보안 시스템이 취약한 개인용 엔드포인트를 공격하기 시작했다. 기업 입장에서는 구성원들이 보유한 개인용 디바이스 사용을 완전히 차단하거나 개인용 엔드포인트까지 포용할 수 있는 새로운 보안 시스템을 구축해야하는 상황에 놓였다.

사실 많은 기업들이 개인용 기기의 사무실 반입 및 사용을 엄격하게 통제하고 있다. 하지만 여전히 많은 사람들이 편의성 등을 이유로 이를 무시하거나 편법으로 보안 시스템을 우회하곤 한다. 더욱이 외부에서 기기를 반입하지 않더라도 회사의 PC에 인가받지 않은 프로그램을 설치해 사용한다거나, 안전하지 않은 인터넷 사이트를 방문하는 등 개인의 부주의로 인해 보안 시스템이 뚫릴 위험성은 완전히 배제할 수 없다. 결국 기업들은 개인용 기기까지 포함한 모든 엔드포인트에 대한 보안 대책을 마련하는 것이 리스크를 줄이는 방법이라고 인식하게 된 것이다.
 

■ EDR이 주목받는 이유

서두에 언급한 것처럼 현재 엔드포인트 보안 시장은 EDR을 중심으로 형성되어 있다. 그렇다고 엔드포인트 보안 솔루션이 EDR만 있는 것은 아니다. 지금은 입지가 많이 약해졌지만 안티바이러스 프로그램은 전통적인 엔드포인트 보안 솔루션 중 하나다. 망분리나 샌드박스 역시 엔드포인트 보안 기술 중 하나로 볼 수 있다. 하지만 지금 시점에서 엔드포인트 보안을 이야기하면 누구나 EDR을 떠올린다. 그 이유는 EDR이 최신 사이버 위협에 최적화된 솔루션이기 때문이다.

EDR의 필요성을 이해하려면 최신 사이버 공격의 유형을 먼저 살펴봐야 한다. 최신 사이버 공격은 머신러닝과 인공지능 기술을 통해 고도화되었고, 더욱 집요해졌다. 게다가 이러한 공격들은 보안에 가장 취약한 끝단, 즉 엔드포인트를 공략한다. 인공지능 기술을 접목한 공격자들은 수많은 변종 악성코드를 빠르게 양산해 무차별 공격을 시도하며, 또 끈질기게 물고 늘어진다.

그렇다면 이에 맞서는 보안 솔루션도 엔드포인트를 커버하면서 인공지능을 기반으로 선제적 대응을 할 수 있어야 한다. 또한 알려진 위협에 대한 탐지는 물론이고, 알려지지 않은 위협에 대한 탐지가 가능해야 하며, 위험이나 의심스러운 행위를 탐지했을 때 신속한 대응도 할 수 있어야 한다.

또한 이렇게 위협에 대응하면서 사용자의 생산성에는 부정적인 영향을 주지 않을 만큼 가벼워야 한다. 완벽한 보안 시스템을 갖추었다고 해도 이로 인해 업무 효율성이 떨어진다면 기업 입장에서는 솔루션 도입을 주저할 수밖에 없다. 지금까지 개발된 보안 솔루션 중에 이러한 조건에 최적화된 것이 바로 EDR이다.

다만, 전문가들은 EDR 하나만으로 모든 위협에 대응할 수 없다고 조언한다. EDR 등장 이후 입지가 급격히 좁아지긴 했지만 안티바이러스는 특정 상황에서 여전히 유용한 보안 솔루션이며, 네트워크 보안도 마찬가지다. EDR이 최신 트렌드의 보안 기술인 것은 분명하지만, 하나의 솔루션에만 의지하지 말고 여러 보안 시스템을 혼용해 위협을 최소화해야 한다.
 

■ 엔드포인트 보안의 책임 주체

엔드포인트는 개인이 사용하는 최종 단말기를 지칭하지만, EDR을 포함해 엔드포인트 보안의 주체는 여전히 기업이다. 그렇다면 과연 엔드포인트에서 보안 문제가 발생했을 때 그 책임은 누가 져야 할까? 엔드포인트에서 문제가 발생했다는 것은 어쨌든 엔드포인트의 사용자가 1차적인 책임을 질 수밖에 없음을 의미한다. 하지만 모든 책임을 개인에게만 돌릴 수도 없다.

가령 개인 사용자가 기업에서 요구하는 보안 수준을 충족시켰다고 한다면, 기업의 보안 시스템에 문제가 있다고 봐야 하기 때문이다. 이 경우에는 기업의 보안 관리자 역시 책임을 져야한다.

사실 네트워크에 연결되어 있는 이상 완벽한 보안이란 있을 수 없다. 하지만 최선의 보안은 가능하다. 사용자는 사용자대로, 관리자는 관리자대로 각자의 영역에서 최선의 보안 규정을 준수해야 한다. 사실 지금까지의 보안 사고들을 살펴보면 사용자의 의도 혹은 의도하지 않은 실수가 직접적인 원인이 된 경우가 많았다. EDR이 차세대 엔드포인트 보안 솔루션으로 뛰어난 성능을 발휘한다고 해도, 각각의 보안 주체들이 공들여 관리하지 않는다면 제 역할을 하기 어렵다는 점을 항상 기억해야 한다.