[디지털데일리 이형두기자] 많은 기업들은 엔드포인트 보안 관리가 어려운 이유로 ‘가시성’ 부족을 꼽는다. 지난해 발간된 포네몬 연구소(Ponemon Institute) 보고서에 따르면, 약 63%의 기업이 네트워크 연결이 끊긴 엔드포인트를 모니터링 할 수 없으며 절반 이상이 엔드포인트 규정 준수 상태(컴플라이언스)를 파악할 수 없다고 답했다.

5일 <디지털데일리> 주최로 서울 명동 은행연합회관에서 열린 ‘2018 금융·엔터프라이즈 차세대 엔드포인트 보안 EDR·EPP 전략’ 컨퍼런스에서 포티넷코리아 이창운 이사<사진>는 “이미 약 2년 전부터 보안 솔루션의 가시성에 대한 얘기가 많이 나오고 있다 ”며 “네트워크 인프라, 보안 솔루션 단계에서부터 가시성이 고민이다 보니, 이게 점점 더 내려와 엔드포인트 역시 가시성을 제공해달라는 고객 요청도 늘고 있다”고 설명했다.

포티넷이 제공하는 시큐리티 패브릭 기반의 EDR 솔루션은 ‘협업’이 중요한 포인트다. 엔드포인트의 보안 위협뿐만 아니라, 엔드포인트에서 발견된 취약점을 다른 인프라 장비에서도 인지해 효율적인 협업이 가능하다. 과거에는 인터넷을 들어오는 위협을 막는 보안이 주가 됐다면, 최근엔 웨스트-이스트 트래픽을 통해 종단으로 퍼지는 형태 공격의 비중이 늘어났다. 단일 솔루션이 아니라 통합된 종합 솔루션이 중요한 이유다.

이창운 이사는 “엔드포인트 솔루션은 대부분 AV(안티바이러스) 갖고 있어 단말기를 보호하지만, 알려지지 않은 위협(APT)은 엔드포인트 솔루션 단계에서 분석하기 어렵다”며 “APT를 탐지하고 차단할 수 있는 샌드박스와 연동할 수 있느냐, 또 샌드박스를 통해 분석된 정보를 다른 엔드포인트 솔루션과 공유해 협업할 수 있느냐가 중요하다”고 말했다.

포티넷의 솔루션은 이용자에게 가시성을 제공하면서 시큐리티 패브릭 기반 솔루션을 통해 분석 정보를 실시간으로 공유한다. 네트워크 인프라의 보안 상태를 시뮬레이션 형태로 확인하고 이를 점수 형태인 ‘보안등급’으로 보여준다. 이밖에 텔레메트리를 통해 각 사용자 ID, 장치유형, 운영체제(OS), 보안상태, 취약점을 모두 시각화된 정보로 제공한다. 네트워크 컨텍스트 내에서 엔드포인트를 인식할 수 있다.

아울러 엔드포인트에서 보안 취약점 정보가 제공되면서 능동적인 방어가 가능해진다. 이창운 이사는 “기존 엔드포인트 보안은 대부분 단말기 위주의 수동적인 방어, 중앙에 기업이 갖고 있는 클라우드 서버에서 분석해 내려 받는 방식”이라며 “포티넷 패브릭 솔루션은 능동적인 방어를 기반으로 자동 위협 차단 및 아웃브레이크를 컨트롤해 다른 단말기로 위협이 건너가지 못하게 막는 전략을 구사하고 있다”고 설명했다.

이 이사는 “엔드포인트 솔루션은 단순히 PC, 노트북을 단순히 보호하는 것이 아니라, 가시성을 제공해 각 단말기가 어떠한 동작을 하고 있는지 아는 것이 중요하다”며 “네트워크 장비 단계에서는 어떤 단말기에서 트래픽이 발생해 어디로 가고 있는지 소스가 뭔지, 내부 인프라 측면에서는 어디에서 발생했는지 어떤 단말기인지 엔드포인트 파악할 수 있어야 한다”고 강조했다.

그는 마지막으로 “정리하자면, 엔드포인트 솔루션은 기본적인 보안 외에 가시성과 제어 기능을 제공해서 컴플라이언스를 수행할 수 있어야 한다”며 “그리고 이를 통해 자동화 기능 등 능동적인 보안, 방어가 가능해야하며, 기존에 이미 투자된 엔드포인트가 있다면 이와 협업할 수 있는 솔루션이 필요하다는 것이 핵심”이라고 전했다.

<이형두 기자>dudu@ddaily.co.kr