[팔로 알토 네트웍스] 네트워크 보안 기초 #5

[5주차] 네트워크와 엔드포인트 보안 기술

학습목표

1. 다양한 엔드포인트 및 네트워크 보안 기술을 분류한다.
2. 일반적인 네트워크 보안 암호화 알고리즘을 식별한다.
3. 암호화 및 암호화 키 관리 개념을 정의한다.
4. 대칭 및 비대칭 키 회전 기술을 인식한다.

5. 네트워크 액세스, ID 및 액세스 관리(PKI)를 설명한다.

[5-1] 네트워크 보안 기술

네트워크 보안 기술

이 섹션에서는 방화벽, 침입 탐지 시스템(IDS) 및 침입 방지 시스템(IPS), 웹 콘텐츠 필터, 가상 사설 네트워크(VPN), 데이터 손실 방지(DLP), 통합 위협 관리(UTM), 보안 정보 및 이벤트 관리(SIEM)를 포함한 전통적인 네트워크 보안 기술에 대해 설명한다.

 

방화벽
방화벽은 인터넷 초기부터 네트워크 보안의 초석이었다. 방화벽은 신뢰할 수 있는 네트워크(ex. 회사 LAN)와 신뢰할 수 없는 네트워크(ex. 인터넷) 사이의 트래픽 흐름을 제어하는 하드웨어 또는 소프트웨어 플랫폼이다. 이런 방화벽에는 다음과 같은 종류가 있다.

 

① 패킷 필터링 방화벽

1세대 패킷 필터링(포트 기반) 방화벽은 다음과 같은 특징을 갖는다.

⑴ OSI 모델의 레이어 4(Transport Layer)까지 작동하며, 개별 패킷 헤더를 검사하여 소스 및 대상 IP 주소, 프로토콜(TCP, UDP, ICMP) 및 포트 번호를 결정한다.

⑵ 각 패킷 헤더에 포함된 소스 및 대상 IP 주소, 프로토콜 및 포트 번호 정보를 패킷 허용, 차단 또는 삭제 여부를 지정하는 방화벽의 해당 규칙과 일치시킨다. 

⑶ 컨텍스트나 세션에 대한 정보 없이 각 패킷을 개별적으로 검사하고 처리한다.

 

② Stateful 패킷 검사 방화벽

2세대인 Stateful 패킷 검사 방화벽은 다음과 같은 특성을 갖는다.

⑴ OSI 모델의 계층 4(Transport Layer)까지 작동하며, 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크의 호스트 간에 설정된 통신 세션에 대한 상태 정보를 유지한다.
⑵ 개별 패킷 헤더를 검사하여 소스 및 대상 IP 주소, 프로토콜(TCP, UDP 및 ICMP) 및 포트 번호(세션 설정 중에만 해당)를 확인하여, 구성된 방화벽 규칙에 따라 세션을 허용할지, 차단할지 또는 삭제할지 여부를 결정한다.
⑶ 두 호스트 간에 허용된 연결이 설정되면, 방화벽은 필요에 따라 개별 연결에 대한 방화벽 규칙을 생성하고 삭제하므로, 세션 중에 개별 패킷을 추가로 검사하지 않고도 트래픽이 두 호스트 간에 흐를 수 있는 터널을 효과적으로 생성한다.
⑷ 이러한 유형의 방화벽은 매우 빠르지만 포트 기반이며, 연결이 설정된 후 개별 패킷을 검사하지 않기 때문에 두 호스트의 신뢰성에 크게 의존한다.

 

③ 애플리케이션 방화벽

3세대인 애플리케이션 방화벽은 다음과 같은 특성을 갖는다.

⑴ OSI 모델의 계층 7(Application Layer)까지 작동하며, 네트워크의 특정 애플리케이션 및 서비스에 대한 액세스를 제어한다.
⑵ 이들은 호스트 간의 직접 통신을 허용하는 대신, 네트워크 트래픽을 프록시로 전송한다. 요청은 원래 호스트에서 프록시 서버로 전송되며, 프록시 서버는 데이터 패킷의 내용을 분석하고 허용되는 경우, 원래 데이터 패킷의 복사본을 대상 호스트로 전송한다.
⑶ 애플리케이션 계층 트래픽을 검사하므로, 암호화 및 비표준 포트와 같은 숨김 기술을 사용하여 지정된 콘텐츠, 멀웨어, 악용, 웹 사이트 및 애플리케이션 또는 서비스를 식별하고 차단할 수 있다. 프록시 서버는 또한 강력한 사용자 인증 및 웹 애플리케이션 필터링을 구현하고, 신뢰할 수 없는 네트워크로부터 내부 네트워크를 가리는 데 사용될 수 있다. 그러나 프록시 서버는 네트워크의 전반적인 성능에 상당한 부정적인 영향을 미친다.

 

IDS와 IPS

침입 탐지 시스템(IDS)과 침입 방지 시스템(IPS)은 네트워크 트래픽을 실시간으로 모니터링하고 네트워크 활동과 데이터에 대한 심층 패킷 검사 및 분석을 수행한다. 패킷 헤더 정보만 검사하는 기존의 패킷 필터링 및 상태 저장 패킷 검사 방화벽과 달리, IDS/IPS는 패킷 헤더와 네트워크 트래픽의 페이로드를 검사한다. IDS/IPS는 검사된 패킷 내에서 발견되는 알려진 불량 또는 악의적인 패턴(또는 서명)을 일치시키려고 시도한다. IDS/IPS는 일반적으로 대상 네트워크의 소프트웨어 취약성을 탐지하고 차단하기 위해 배포된다.

 

IDS와 IPS의 가장 큰 차이점은 IDS는 수동 시스템인 반면, IPS는 능동 시스템이라는 것이다. IDS는 네트워크 활동을 모니터링하고 분석하며 네트워크의 잠재적인 공격과 취약성에 대한 경고를 제공하지만, 공격을 중지하기 위한 예방 조치는 수행하지 않는다. 그러나 IPS는 IDS와 동일한 모든 기능을 수행하면서, 네트워크에서 의심스러운 패턴 일치 활동을 실시간으로 자동으로 차단하거나 삭제한다. 그러나 IPS에는 다음과 같은 몇 가지 단점이 존재한다.

 

① 네트워크 경계를 따라 인라인으로 배치되어야 하므로, 직접적으로 공격을 받기 쉽다.
② 잘못된 경보는 인증된 사용자와 애플리케이션을 부주의하게 차단하지 않도록 적절하게 식별하고 필터링해야 한다. 합법적인 트래픽이 악의적인 트래픽으로 부적절하게 식별되면, 오탐이 발생한다. 악의적인 트래픽이 합법적인 트래픽으로 부적절하게 식별되면 미탐이 발생한다.
③ IPS를 플러딩하여 서비스 거부(DoS) 공격을 배포하는 데 사용할 수 있으므로, 연결이나 대역폭을 사용할 수 없을 때까지 연결을 차단한다.

 

IDS 및 IPS는 지식 기반(또는 서명 기반) 또는 동작 기반(또는 통계적 이상 기반) 시스템으로 분류할 수도 있다.

 

① 지식 기반 시스템은 알려진 취약점과 공격 프로파일의 데이터베이스를 사용하여 침입 시도를 식별한다. 이러한 유형의 시스템은 행동 기반 시스템보다 오탐 비율이 낮지만, 효과적이기 위해서는 새로운 공격 시그니처로 지속적으로 업데이트해야 한다.
② 행동 기반 시스템은 침입 시도를 나타낼 수 있는 비정상적인 패턴 또는 네트워크 활동 수준을 식별하기 위해 정상 네트워크 활동의 기준선을 사용한다. 이러한 유형의 시스템은 지식 기반 시스템보다 적응력이 뛰어나기 때문에 이전에 알려지지 않은 취약점과 공격을 탐지하는 데 더 효과적일 수 있지만 지식 기반 시스템보다 오탐률이 훨씬 높다.

 

웹 콘텐츠 필터

웹 콘텐츠 필터는 네트워크에서 사용자의 인터넷 활동을 제한하는 데 사용된다. 웹 콘텐츠 필터는 일반적으로 웹 콘텐츠 필터를 판매하는 개별 보안 공급업체가 유지 관리하고 구독 기반 서비스로 제공하는 웹 사이트 데이터베이스와 웹 주소(균일 리소스 로케이터 또는 URL)를 일치시킨다. 웹 콘텐츠 필터는 네트워크의 다양한 사용자 그룹에 대해 허용되거나 차단되는 광범위한 범주를 기반으로 웹 사이트를 분류하려고 시도한다. 예를 들어, 마케팅 및 인사 부서는 합법적인 온라인 마케팅 및 모집 활동을 위해 페이스북 및 링크드인과 같은 소셜 미디어 사이트에 액세스할 수 있지만, 다른 사용자는 차단되는 것이다. 일반적인 웹 사이트 범주에는 다음이 포함된다.

 

① 도박 및 온라인 게임
② 해킹
③ 증오범죄와 폭력
④ 음란물
⑤ 소셜 미디어
⑥ 웹 기반 이메일

 

이러한 사이트는 개인의 생산성을 저하시킬 뿐만 아니라, 드라이브 바이 다운로드를 통해 사용자가 무의식적으로 피해자가 될 수 있는 악성 프로그램의 주요 대상이 될 수도 있다. 특정 사이트는 다른 직원이 포르노 또는 증오 기반 웹 사이트에 노출되는 것을 보호하지 못하는 조직에 성희롱 또는 인종 차별 소송의 형태로 책임을 부과할 수도 있을 것이다.

 

조직은 이러한 솔루션을 다양한 모드로 구현하여 콘텐츠를 차단하거나 사용자가 제한된 사이트에 액세스하기 전에 경고하거나 모든 활동을 기록하도록 선택할 수 있다. 콘텐츠를 차단하는 데 있어 오탐의 단점은 사용자가 보안 관리자에게 연락하여 부적절하게 분류되어 차단되었거나 합법적인 비즈니스 목적으로 액세스해야 하는 웹 사이트에 대한 액세스를 허용해야 한다는 것이다.

 

VPN

가상 사설 네트워크(VPN)는 인터넷을 가로질러 조직의 네트워크로 다시 안전하고 암호화된 연결 또는 터널을 만든다. VPN 클라이언트 소프트웨어는 일반적으로 조직의 물리적 경계를 넘어 네트워크를 확장하기 위해 랩탑 컴퓨터와 스마트폰과 같은 모바일 엔드포인트에 설치된다. VPN 클라이언트는 방화벽, 라우터 또는 VPN 어플라이언스와 같은 VPN 서버에 연결한다. VPN 터널이 설정된 후 원격 사용자는 파일 서버, 프린터 및 VoIP 전화와 같은 네트워크 리소스에 물리적으로 사무실에 있는 것과 같은 방식으로 액세스할 수 있다.

 

Point To Point 터널링 프로토콜

PPTP는 전송 제어 프로토콜(TCP) 포트 1723을 사용하여 VPN 피어와 통신을 설정한 다음, VPN 피어 간에 캡슐화된 PPP(Point-to-Point Protocol) 패킷을 전송하는 GRE(Generic Routing Encapsulation) 터널을 생성하는 기본 VPN 프로토콜이다. PPTP는 설정하기 쉽고 매우 빠르다고 여겨지지만, 아마도 다양한 VPN 프로토콜 중 가장 보안이 낮을 것이다. 일반적으로 PAP(Password Authentication Protocol), CHAP(Challenge-Handshake Authentication Protocol) 또는 MS-CHAP v1/v2(MS-CHAP v1/v2) 버전과 함께 사용되며, 이들 모두는 잘 알려진 보안 취약점을 가지고 있다. EAP-TLS(Extensible Authentication Protocol Transport Layer Security)는 PPTP를 위한 보다 안전한 인증 프로토콜을 제공하지만, PKI가 필요하므로 설정하기가 더 어렵다.

 

2계층 터널링 프로토콜
L2TP(Layer 2 Tunneling Protocol)는 대부분의 운영 체제(모바일 장치 포함)에서 지원된다. 그 자체로는 암호화를 제공하지 않지만, IPsec과 함께 사용하면 안전하다고 여겨진다.

 

보안 소켓 터널링 프로토콜
SSTP(Secure Socket Tunneling Protocol)는 SSL 3.0 채널을 통해 PPP 또는 L2TP 트래픽을 전송하기 위해 마이크로소프트에서 만든 VPN 터널이다. SSTP는 사이트 간 VPN 터널보다는 주로 원격 클라이언트 VPN 액세스를 위해 사용된다.

 

마이크로소프트 Point To Point 암호화
마이크로소프트 MPP(Point-to-Point Encryption)는 PPP 기반 다이얼업 연결 또는 PPTP VPN 연결의 데이터를 암호화한다. MPPE는 RSA RC4 암호화 알고리즘을 사용하여 데이터 기밀성을 제공하며, 40비트 및 128비트 세션 키를 지원한다.

 

OpenVPN
OpenVPN은 SSL/TLS 암호화를 키 교환에 사용하는 매우 안전한 오픈 소스 VPN 구현이다. OpenVPN은 최대 256비트 암호화를 사용하며, TCP 또는 UDP를 통해 실행할 수 있다. 대부분의 주요 운영 체제에서 기본적으로 지원되지는 않지만, 모바일 장치 운영 체제를 포함한 대부분의 주요 운영 체제로 이식되었다.

 

인터넷 프로토콜 보안
IPsec은 통신 세션에서 IP 패킷을 인증하고 암호화하는 보안 통신 프로토콜이다. IPsec VPN을 사용하려면 엔드포인트 장치에 호환되는 VPN 클라이언트 소프트웨어가 설치되어야 한다. 그리고 구성을 위해서는 그룹 암호나 키가 필요하다. 클라이언트-서버 IPsec VPN은 일반적으로 클라이언트 소프트웨어를 시작하고 사용자 이름과 암호로 로그인하는 등의 연결을 시작하기 위한 사용자 조치가 필요하다.

 

IPsec의 SA(security association)는 둘 이상의 엔티티가 IPsec을 사용하여 네트워크를 통해 안전하게 통신하는 방법을 정의한다. IPsec VPN 터널을 시작하기 위해 통신 엔티티 사이에 단일 IKE(Internet Key Exchange) SA가 설정된다. 그런 다음 VPN 세션의 각 통신 방향에 대해 별도의 IPsec SA가 설정된다.

IPsec VPN은 사용자의 모든 인터넷 트래픽을 조직의 방화벽을 통해 강제로 되돌려 놓도록 구성할 수 있으므로 엔터프라이즈급 보안으로 최적의 보호를 제공하지만, 일부 성능 저하가 있는 경우도 왕왕 있다. 또는 IPsec 터널을 통과하는 다른 특정 유형의 트래픽 경로는 성능 저하가 훨씬 적은 허용 가능한 보호를 위해 장치에서 인터넷으로 직접 이동하도록 분할 터널링을 구성할 수 있다.

스플릿 터널링을 사용하는 경우, 스플릿 터널링 구성은 조직의 네트워크에 "사이드 도어"를 만들 수 있기 때문에 개인 방화벽을 구성하고 조직의 엔드포인트에서 활성화해야 한다. 공격자는 기본적으로 인터넷을 통해, 클라이언트 엔드포인트를 통해, 그리고 IPsec 터널을 통해 네트워크로 브리지할 수 있다.

 

SSL
SSL(Secure Sockets Layer)은 통신 세션을 보안하는 데 사용되는 비대칭 암호화 프로토콜이다. SSL이 여전히 더 일반적으로 사용되는 용어이지만, SSL은 TLS(Transport Layer Security)로 대체되었다.

 

SSL VPN은 에이전트 기반 또는 에이전트 없는 브라우저 기반 연결로 배포될 수 있다. 에이전트 없는 SSL VPN은 사용자가 웹 브라우저를 시작하고, HTTPS 프로토콜을 사용하여 VPN 포털 또는 웹 페이지를 열고 사용자 자격 증명을 사용하여 네트워크에 로그인하기만 하면 된다. 에이전트 기반 SSL 클라이언트는 브라우저 세션 내에서 사용되며, 이는 연결이 활성 상태일 때만 지속되고 연결이 닫히면 자동으로 제거된다. 이러한 유형의 VPN은 전체 클라이언트 VPN 소프트웨어를 설치할 수 없는 호텔 키오스크와 같이, 소유하거나 제어하지 않는 엔드포인트 장치에서 연결하는 원격 사용자에게 특히 유용할 수 있다.

SSL VPN 기술은 원격 엔드포인트 장치를 다시 기업 네트워크에 연결하는 사실상의 표준이자 선호하는 방법이 되었으며, IPsec은 지사 네트워크를 본사 위치 네트워크 또는 데이터 센터에 연결하는 것과 같은 사이트 간 또는 장치 간 VPN 연결에 가장 일반적으로 사용된다.

 

DLP

네트워크 데이터 손실 방지(DLP) 솔루션은 네트워크를 떠나거나 나가는 데이터(ex. 이메일, 파일 전송, 인터넷 업로드 또는 USB 썸 드라이브에 복사)를 검사하고 정의된 정책에 따라 특정 중요 데이터가 네트워크를 벗어나는 것을 방지한다. 중요 데이터에는 다음이 포함될 수 있다.

 

① 이름, 주소, 생년월일, 사회보장번호, 건강기록(전자의무기록, EMR 포함), 전자건강기록(EHR) 등 개인식별정보(PII), 금융데이터(은행계좌번호, 신용카드번호 등)
②기밀자료(군사정보 또는 국가안보정보 등)
③지적 재산, 영업 비밀 및 기타 기밀 또는 독점 회사 정보

 

DLP 보안 솔루션은 민감한 데이터가 사용자가 부주의하거나 악의적으로 네트워크 외부로 전송되는 것을 방지한다. 강력한 DLP 솔루션은 데이터가 암호화되어 있더라도 특정 데이터 패턴의 존재를 감지할 수 있다.

 

그러나 이러한 솔루션은 네트워크 상의 모든 데이터에 대한 가시성과 복호화 기능을 갖추고 있기 때문에 네트워크에 잠재적인 새로운 취약성을 초래한다. 다른 방법은 웹 보안 어플라이언스나 다른 중간 암호 해독 엔진과 같은 다른 곳에서 발생하는 암호 해독에 의존한다. DLP 솔루션은 검사 엔진 간의 트래픽을 효과적으로 라우팅하기 위해 많은 이동 부품을 필요로 하는 경우가 많으며, 이는 네트워크 문제 해결의 복잡성을 가중시킬 수 있다.

 

UTM

통합 위협 관리(UTM) 장치는 다음과 같은 수많은 보안 기능을 단일 어플라이언스로 결합한다.

① 안티 멀웨어
② 안티 스팸
③ 콘텐츠 필터링
④ DLP
⑤ 방화벽(상태 검사)
⑥ IDS/IPS
⑦ VPN

 

UTM 장치는 이러한 보안 기능을 독립형 장치보다 더 잘 수행하지는 않지만, 중소기업 네트워크에서는 조직에 올인원 보안 장치를 제공하는 편리하고 저렴한 솔루션으로 사용된다. 그런데 UTM의 대표적인 단점은 다음과 같다.

 

① 어떤 경우에는 여건 문제로 인해 기능 세트가 줄어든다.
② 모든 보안 기능은 동일한 프로세서와 메모리 리소스를 사용한다. UTM의 모든 기능을 사용하면, 보안 기능을 사용하지 않는 최고급 처리량에 비해 처리량과 성능이 최대 97% 저하될 수 있다.
③동일한 플랫폼에서 수많은 보안 기능이 실행됨에도 불구하고 개별 엔진은 서로 간의 통합이나 협력이 거의 또는 전혀 없는 사일로에서 작동한다.

[5-2] 엔드포인트 보안 기술

엔드포인트 보안

전통적인 엔드포인트 보안에는 악성 소프트웨어 방지 소프트웨어, 스파이웨어 방지 소프트웨어, 개인 방화벽, 호스트 기반 침입 방지 시스템(HIPS) 및 모바일 장치 관리(MDM) 소프트웨어와 같은 수많은 보안 도구가 포함된다. 엔드포인트 보안에는 패치 관리 및 구성 관리를 포함한 효과적인 엔드포인트 보안 모범 사례도 구현해야 한다.

 

엔드포인트 보안 기초

엔드포인트 보안은 다음을 포함하여 조직 전반에 걸쳐 일관된 장치 구성을 보장하는 표준(골든) 이미지로 시작된다.
① 필요 없는 운영 체제 기능과 서비스 비활성화 또는 제거
② 현재 보안 업데이트 설치
③ 핵심 애플리케이션 설치

 

실제로 조직은 다양한 장치 유형, 워크그룹 또는 부서, 사용자 유형을 지원하기 위해 수많은 골든 이미지를 배포할 것이다.

 

대부분의 조직은 엔드포인트를 보호하기 위해 개인 방화벽, 호스트 기반 침입 방지 시스템(HIPS), 모바일 장치 관리(MDM), 모바일 응용 프로그램 관리(MAM), DLP 및 바이러스 백신 소프트웨어를 포함한 여러 보안 제품을 배포한다. 그럼에도 불구하고, 사이버 침해는 빈도, 다양성 및 정교함에서 계속 증가하고 있다. 또한, 모바일 및 IoT 장치를 포함한 엔드포인트의 수와 유형이 기하급수적으로 증가하고 공격 표면을 증가시켰다. Gafgyt, Mirai 및 Muhstik 봇넷의 새로운 변형은 IoT 장치를 특히 대상으로 하며, Shodan과 같은 새로운 검색 엔진은 인터넷에 연결된 취약한 엔드포인트를 검색하는 것을 자동화할 수 있다. 급변하는 위협 환경에 직면하여, 기존의 엔드포인트 보안 솔루션과 바이러스 백신은 엔드포인트의 보안 침해를 더 이상 방지할 수 없다.

 

네트워크 방화벽이 제로데이 공격으로부터 호스트를 완전히 보호할 수 없기 때문에 엔드포인트 보안은 사이버 보안의 필수 요소다. 제로데이 공격은 호스트 시스템의 운영 체제 및 애플리케이션 소프트웨어에서 알려지지 않은 취약성을 대상으로 한다. 네트워크 방화벽은 제로데이 공격을 식별하는 새로운 서명이 개발되어 방화벽에 전달될 때까지 공격자의 제로데이 공격 전달을 차단하지 못할 수 있다.

 

또한, 네트워크 방화벽은 규정과 법률 때문에 모든 트래픽을 해독하는 것이 제한될 수 있다. 이 제한은 공격자가 방화벽의 보호를 무시하고 호스트 시스템을 악용할 수 있는 기회의 창을 제공하므로, 엔드포인트 보안 보호가 필요하다. 엔드포인트 보안 보호는 호스트 시스템에서 실행되는 애플리케이션에서 제공된다. 효과적인 엔드포인트 보안은 호스트를 손상시키기 전에 멀웨어, 공격 및 랜섬웨어를 방지하고 엔드포인트가 온오프라인인 동안 보호를 제공하며, 위협을 탐지하고 자동화하여 영향을 최소화할 수 있어야 한다.

 

멀웨어 방지

멀웨어 방지, 그러니까 바이러스 백신 소프트웨어는 1980년대 초부터 정보 보안의 최초이자 가장 기본적인 신조 중 하나였다. 하지만 이 모든 어렵게 얻은 경험이 반드시 전쟁에서 승리하고 있다는 것을 의미하지는 않는다. 예를 들어, Trustwave의 2019년 글로벌 보안 보고서에 따르면, 실제 현실에서 멀웨어를 탐지하는 데 평균 55일이 걸린다고 한다. 흥미롭게도, 웹 기반 제로데이 공격은 이메일 기반 위협에 대한 사용자 인식, 이메일 보안 솔루션(ex. 안티스팸 및 바이러스 백신)의 가용성 및 사용, 멀웨어 개발자가 위협 벡터로 웹을 선호하는 등의 요인으로 인해 평균적으로 이메일 기반 위협보다 최대 4배 더 오래 현실에서 유지된다.

 

이렇게 "포획률"이 좋지 않은 것은 여러 가지 요인 때문이다. 일부 멀웨어는 변형될 수 있거나 전통적인 멀웨어 방지 시그니처에 의한 탐지를 피하기 위해 업데이트될 수 있다. 또한, 고급 멀웨어는 공격자가 특정 개인이나 조직을 대상으로 하는 맞춤형 멀웨어를 개발할 수 있을 정도로 점점 더 전문화되고 있다.

전통적인 안티 멀웨어 소프트웨어는 시그니처 기반, 컨테이너 기반, 애플리케이션 화이트리스트 및 이상 징후 기반 기술을 포함하여 멀웨어 위협을 탐지하고 대응하기 위해 다양한 접근 방식을 사용한다.

 

① 시그니처 기반 안티 멀웨어 소프트웨어

시그니처 기반 안티바이러스(안티 멀웨어) 소프트웨어는 엔드포인트에서 멀웨어를 탐지하고 식별하기 위해 가장 오래되고 가장 일반적으로 사용되는 접근 방식이다. 이 접근 방식을 사용하려면 보안 공급업체가 지속적으로 멀웨어 샘플을 수집하고, 해당 샘플에 대해 일치하는 시그니처 파일을 만들고 해당 시그니처 파일을 엔드포인트 보안 제품에 대한 업데이트로 모든 고객에게 배포해야 한다.

시그니처 기반 안티바이러스 소프트웨어를 배포하려면, 엔드포인트의 시스템 리소스에 일반적으로 커널 수준의 액세스 권한을 가진 엔진을 설치해야 한다. 시그니처 기반 안티바이러스 소프트웨어는 파일에 액세스할 때 미리 정의된 스케줄을 기반으로 실시간으로 엔드포인트의 하드 드라이브와 메모리를 검색한다. 알려진 멀웨어 시그니처가 탐지되면 소프트웨어는 다음과 같은 미리 정의된 작업을 수행한다.

⑴ 격리

감염된 파일을 격리하여, 엔드포인트나 다른 파일을 감염시킬 수 없도록 한다.
⑵ 삭제

감염된 파일을 제거한다.
⑶ 경고

멀웨어가 탐지되었음을 사용자 또는 시스템 관리자에게 알린다.

 

업데이트된 서명은 보안 공급업체에서 정기적이고 자주 다운로드하여 조직의 엔드포인트에 설치해야 한다. 이러한 방식으로 서명 파일을 다운로드하고 처리하면, 해당 파일이 실행 중인 네트워크 및 엔드포인트의 성능이 현저하게 저하될 수 있다.

비록 서명 기반 접근 방식이 매우 인기가 있지만, 그 효과는 제한적이다. 설계상, 악성코드가 이미 "야생" 상태가 될 때까지 새로운 악성코드에 대한 서명 파일을 생성하고 전달할 수 없기 때문에, 이 기간 동안 네트워크와 엔드포인트는 악명 높은 제로 데이 위협에 눈이 먼 상태다. 하지만 "제로 데이"라는 라벨은 출시부터 탐지까지 평균 5일에서 20일이 걸리기 때문에 다소 오해의 소지가 있다.

애플리케이션 백터별 평균 탐지 시간

 

보안 공급업체에서 탐지 시그니처를 생성하려면, 먼저 새 트래픽 또는 알려지지 않은 의심스러운 트래픽의 샘플을 캡처하고 식별해야 한다. 그런 다음 새 시그니처를 다운로드하고, 조직의 엔드포인트에 설치하여 보호 기능을 제공해야 한다.

이 프로세스는 새로운 탐지 시그니처가 생성, 다운로드 및 설치될 때까지 일부 사용자와 네트워크가 새로운 멀웨어에 의해 성공적으로 침해된다는 것을 의미한다. 이 반응형 모델은 공격자에게 기회의 창을 만들어주고, 새로운 멀웨어가 의심되고, 수집되고, 분석되고, 식별될 때까지 엔드포인트를 때로는 몇 주 또는 심지어 몇 달 동안 취약하게 만든다. 이 기간 동안 공격자는 네트워크와 엔드포인트를 감염시킬 수 있다.

시그니처 기반 접근 방식의 또 다른 과제는 새로운 멀웨어 변종이 발견되고 샘플링된 후 고유한 시그니처를 작성, 테스트 및 배포해야 하는 매년 수백만 개의 새로운 멀웨어 변종이 생성된다는 것이다. 이러한 수백만 개의 멀웨어 변종 중 70%가 2005년에는 7개에 불과했고 지난 10년 동안 20개로 증가한 비교적 제한된 수의 멀웨어 "패밀리"를 기반으로 하고 있음에도 불구하고, 이러한 대응적 접근 방식은 현대 멀웨어 위협으로부터 엔드포인트를 보호하는 데 효과적이지 않다.

 

또한, 고급 멀웨어는 변형 및 다형성과 같은 기술을 사용하여 시그니처 기반 탐지의 고유한 약점을 활용하여 야생에서 발견되는 것을 피하고, 이미 생성된 시그니처를 회피한다. 이러한 기술은 매우 일반적으로 사용되어, 오늘날 수집된 멀웨어 샘플의 70~90%가 단일 조직에서만 사용된다.

 

② 컨테이너 기반 엔드포인트 보호 

컨테이너 기반 엔드포인트 보호는 프로세스가 실행되는 동안, 취약한 프로세스를 보호하는 가상 장벽을 감싼다. 프로세스가 악의적인 경우, 컨테이너가 이를 탐지하고 종료하여, 엔드포인트의 다른 합법적인 프로세스나 파일을 손상시키지 않도록 한다.

그러나 컨테이너 기반 접근 방식은 일반적으로 상당한 양의 컴퓨팅 리소스 오버헤드를 필요로 하며, 컨테이너 기반 보호를 회피하거나 비활성화하는 공격이 입증되었다. 이 접근 방식은 또한 보호해야 하는 애플리케이션 및 다른 소프트웨어 구성 요소와 상호 작용하는 방법에 대한 지식을 필요로 한다. 따라서 컨테이너화 도구는 특정 일반 애플리케이션을 지원하기 위해 개발되지만, 대부분의 독점 또는 산업별 소프트웨어를 보호할 수는 없다. 웹 브라우저 플러그인 등에서도 컨테이너 기반 환경 내에서 올바르게 작동하는 데 문제가 있을 수 있다.

 

③ 애플리케이션 화이트리스팅

애플리케이션 화이트리스팅은 최종 사용자가 엔드포인트에서 멀웨어를 포함한 승인되지 않은 애플리케이션을 실행하는 것을 방지하기 위해 일반적으로 사용되는, 또 다른 엔드포인트 보호 기술이다.

애플리케이션 화이트리스팅에는 화이트리스트 정책에 의해 명시적으로 허용되지 않는 한, 엔드포인트에서 실행할 수 있는 애플리케이션이 허용되지 않는 파지티브 제어 모델이 필요하다. 실제로 애플리케이션 화이트리스팅에는 승인된 애플리케이션 목록을 설정하고 유지하는 데 많은 관리 노력이 필요하다. 이 접근 방식은 특별히 허용된 애플리케이션 목록을 만든 다음, 다른 파일이 실행되지 않도록 하면 엔드포인트를 보호할 수 있다는 전제에 기초한다. 이 기본 기능은 공격 표면을 줄이는 데 유용할 수 있지만, 엔드포인트 보안에 대한 포괄적인 접근 방식은 아니다.

클라우드 및 모바일 컴퓨팅, 소비자화, BYOD 및 BYOA와 같은 현대적인 추세는 애플리케이션 화이트리스트를 기업에서 적용하기 매우 어렵게 만든다. 또한, 애플리케이션이 화이트리스트에 오른 후에는 애플리케이션이 취약점을 이용하더라도 실행이 허용된다. 공격자는 화이트리스트에 있는 애플리케이션을 악용하기만 하면 화이트리스트에 상관없이 대상 엔드포인트를 완벽하게 제어할 수 있는 것이다. 애플리케이션이 성공적으로 악용된 후에는 공격자는 모든 활동을 메모리에 유지하면서 악성 코드를 실행할 수 있다. 새로운 파일이 생성되지 않고 실행을 시도하는 새로운 실행 파일도 없기 때문에 화이트리스트 소프트웨어는 이러한 유형의 공격에 대해 효과적이지 않게 된다.

 

④ 이상 탐지
엔드포인트에서 비정상적인 활동을 탐지하기 위해 수학적 알고리즘을 사용하는 엔드포인트 보안 접근 방식은 휴리스틱 기반, 행동 기반 또는 이상 탐지 솔루션으로 알려져 있다. 이 접근 방식은 먼저 정상적인 활동으로 간주되는 것의 정확한 기준선을 설정하는 데 의존한다. 이 접근 방식은 수년 동안 사용되어 왔으며, 미탐의 수를 줄이기 위해 매우 큰 데이터 세트가 필요하다.

 

안티 스파이웨어 소프트웨어
안티 스파이웨어 소프트웨어는 서명을 사용하여 애드웨어, 악성 웹 애플리케이션 구성 요소 및 기타 악성 도구와 같은 바이러스를 넘어, 다른 형태의 멀웨어를 찾기 때문에 기존 바이러스 백신 소프트웨어와 매우 유사하다.

 

개인 방화벽
네트워크 방화벽은 인터넷과 같은 외부 네트워크의 위협으로부터 기업 네트워크를 보호한다. 그러나 대부분의 전통적인 포트 기반 네트워크 방화벽은 멀웨어에 의해 손상되어 네트워크 전체에 전파되는 다른 장치와 같이 네트워크 내에서 발생하는 위협으로부터 기업 네트워크 내의 엔드포인트를 보호하는 데 거의 도움이 되지 않는다.

개인(또는 호스트 기반) 방화벽은 일반적으로 랩탑과 데스크톱 PC에 설치되고 구성된다. 퍼스널 방화벽은 일반적으로 개별 또는 그룹 보안 정책에 따라 트래픽을 허용하거나 차단하는 7계층, 애플리케이션 계층 방화벽으로 작동한다. 개인 방화벽은 랩탑 컴퓨터를 인터넷에 직접 연결하는 원격 또는 이동 중인 사용자가 사용하는 랩탑에서 특히 유용하다(ex. 공공 Wi-Fi 연결을 통한 경우). 또한, 개인 방화벽은 엔드포인트로부터의 아웃바운드 트래픽을 제어하여 해당 엔드포인트로부터의 멀웨어 확산을 방지할 수 있다. 그러나 개인 방화벽을 비활성화하거나 우회하는 것은 오늘날 대부분의 고급 멀웨어에서 일반적이며, 또한 아주 기본적인 목표다.

Windows 방화벽은 Windows 데스크톱 또는 모바일 운영 체제의 일부로 설치된 개인 방화벽의 대표적 예시다. 개인 방화벽은 설치된 엔드포인트 장치만 보호하지만, 네트워크 내부에는 추가적인 보호 계층을 제공한다.

 

호스트 기반 침입 방지 시스템
HIPS는 멀웨어를 탐지하기 위해 엔드포인트에 설치된 에이전트에 의존하는 엔드포인트 보호에 대한 또 다른 접근 방식이다. HIPS는 서명 기반 또는 이상 징후 기반이 될 수 있으므로, 다른 서명 및 이상 징후 기반 엔드포인트 보호 접근 방식과 동일한 문제에 취약하다.

또한, HIPS 소프트웨어는 종종 엔드포인트에서 상당한 성능 저하를 유발한다. 팔로알토 네트웍스의 조사에 따르면, 응답자의 25%가 HIPS 솔루션이 최종 사용자의 성능에 중대한 영향을 초래했다고 답했다.

 

모바일 기기 관리(MDM)
MDM 소프트웨어는 스마트폰 및 태블릿과 같은 모바일 장치에 엔드포인트 보안을 제공한다. MDM이 제공하는 모바일 장치의 중앙 집중식 관리 기능은 다음과 같다.

 

① DLP: 장치에 저장하거나, 장치에서 전송할 수 있는 데이터 유형을 제한한다.
② 정책 시행: 예를 들어, 암호를 요구하고, 암호화를 활성화하고, 보안 설정을 잠그고, 탈옥이나 루팅을 방지한다.
③ 멀웨어 방지: 모바일 멀웨어를 탐지하고 방지한다.
④ 소프트웨어 배포: 셀룰러 또는 Wi-Fi 네트워크를 통해 패치 및 업데이트를 포함한 소프트웨어를 원격으로 설치한다.
⑤ 원격 삭제: 분실하거나 도난당한 장치의 전체 내용을 안전한 방식으로, 원격으로 삭제한다.
⑥ 지오펜싱 및 위치 서비스: 장치의 물리적 위치에 따라 장치 내 특정 기능을 제한한다.

[5-3] 기초: 인증서와 PKI

공개 키 기반 인프라인 PKI는 보안 자격 증명이나 인증서를 교환하는 안전한 방법이다. PKI는 두 개의 키를 사용한다. ①공유되는 공개 키, ③ 비밀로 유지되는 개인 키. 두 개의 키는 키 쌍으로 기능하다. 만약 한 키가 암호화에 사용된다면, 다른 키는 복호화에 사용되는 것이다. 두 키가 다르고 독립적으로 관리되기 때문에 PKI는 비대칭 암호화라고 불린다.

반면, 대칭 암호화는 암호화와 복호화 모두에 하나의 키를 활용한다. 대칭 암호화 키는 길고 강한 경우가 많지만, 두 프로세스 모두에 하나의 키를 사용할 때 고유한 문제는 역시나 키 분배 또는 키 공유다. 그렇기에 PKI는 개인 키를 누설할 필요 자체를 없앰으로써 키 교환 문제를 해결한다.

피어 또는 클라이언트/서버 아키텍처 간의 대부분의 보안 연결은 SSL 연결을 통해 수행된다. SSL 표준은 VPN에서와 같이 전송 중인 데이터 또는 원격 컴퓨팅에 대한 암호화를 설정하는 데 매일 사용된다. 예를 들어, 이메일 클라이언트와 이메일 서버 또는 엔드포인트와 전자 상거래 사이트 간의 초기 SSL 핸드셰이크에서 PKI는 보안 연결을 설정하고 세션 키 등을 배포하는 데 사용된다.