전사 포렌식과 패치 배포, 몇 시간만에 해결...사이버공격 피해확산 방지

[보안뉴스 정영희 기자] 지난 5월 12일 마이크로소프트 윈도우(Microsoft Windows)를 사용하는 컴퓨터를 대상으로 대규모 워너크라이 랜섬웨어 공격이 발생했다. 이 공격은 5월 15일 기준 150여개 국가와 약 20만대의 컴퓨터(세탁기, 게임기, ATM 등)에 피해를 일으켰고, 변종 악성코드 공격까지 이어지면서 피해는 더욱 확산됐다.

이와 같은 랜섬웨어 공격은 기업 내 디바이스 또는 파일이 암호화 되기 전까지 피해사실을 인지하기 어렵고 암호화 된 것을 확인했을 때에는 이미 기업 내로 확산될 가능성이 높다. 이러한 랜섬웨어의 특성탓에 기업의 보안 담당자들은 어떻게 하면 랜섬웨어 공격을 가능한 빠르게 인지하고 대응해 피해 확산을 막을지 고민에 빠지게 된다.

일반적으로 기업 내 피해가 발생하면 보안 담당자들은 즉시 네트워크를 분리하고 포렌식 과정을 거쳐 패치를 배포하지만 대규모 엔드포인트를 보유하고 있는 기업의 경우, 기존의 사용하던 솔루션으로 포렌식을 전사로 확대해 추가 감염 여부를 파악하기란 쉽지 않다. 또한, 포렌식 뿐만 아니라 패치를 배포하는 데도 몇 개월이 소요되어 이미 그때는 추가 감염이 확산된 다음이 될 수밖에 없다.

만약 몇 개월 소요되던 전사 포렌식과 패치 배포가 단 몇 시간으로 줄어든다면 더 큰 피해 확산을 막을 수 있지 않을까? 효성 ITX가 EDR(Endpoint Detection and Response) 분야의 글로벌 대표 솔루션인 Tanium(태니엄)으로 그 답을 제시한다.

태니엄은 기업의 엔드포인트 규모에 상관없이 15초 이내로 보호, 통제 및 가시화할 수 있는 솔루션이다. 데스크탑, 서버, POS 등 다양한 엔드포인트의 현황(H/W, Application, 파일명, 레지스트리, OS정보, 네트워크, 관리/미관리 자산 목록 등)을 단 15초만에 가시화하여 즉각적인 대응을 가능하게 한다.


이러한 특성은 태니엄의 아키텍처를 통해 설명할 수 있는데, 그림에서 보는 것과 같이 엔드포인트-엔드포인트, 엔드포인트-서버 간의 커뮤니케이션을 링형으로 구성하여 대부분의 기업에서 사용하는 전통적인 허브-스포크 방식에서 발생하는 속도, 확장성, 유연성 등의 문제를 해결한다.

태니엄은 현재 상태 정보를 수초 이내에 가시화하기 때문에 보안사고 발생 시에 적절한 대응이 가능하다. 랜섬웨어와 같이 감염된 엔드포인트가 확인되어 포렌식 수행시 보안 담당자는 릴레이 서버로부터 수집된 과거의 엔드포인트 정보로 대응하는 것이 아니라 현재 상태 정보를 기반으로 대응한다. 뿐만 아니라 어떤 경로로 들어왔는지, 어떤 파일을 실행시켰는지 등을 신속히 확인하고 포렌식을 즉시 전사로 확대함으로써 추가 피해를 빠르게 차단할 수 있다.

태니엄은 15초 이내에 정보를 가시화 할 뿐만 아니라 네트워크 차단, 프로세스 킬, 패치 배포 등도 신속하게 이루어진다. 이로 인해 몇 개월 소요되던 패치 배포를 단 몇 일 만에 완료할 수 있기 때문에 기업의 보안 담당자들이 겪는 고충을 해결할 수 있다.

이러한 가운데 효성ITX는 오는 9월 5일~ 6일까지 코엑스 그랜드볼룸에서 정부·공공기관 및 기업의 정보보호최고책임자(CISO), 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등 6천여 명을 대상으로 개최되는 제11회 국제 사이버 시큐리티 컨퍼런스 ISEC 2017(http://www.isecconference.org/2017/)에 참가해 태니엄 등의 보안 솔루션을 소개할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>