‘엔드포인트' 보안이 답이다

Stopping Bad Behavior at Endpoints

'엔드포인트' 보안이 답이다

시스코 보안 에이전트, 실시간 침입 방지 기능 제공

"슬래머"로 알려진 사파이어 웜(Sapphire Worm)이 2003년 12월 출현했을 당시, 마치 천재지변을 당한 듯 웹사이트들은 일제히 다운됐고 ATM 기계는 불통됐다. 웜이 네트워크로 밀려들면서 엄청난 생산성과 금전적 손실뿐만 아니라 수많은 IT 관련 직원들의 간담까지 서늘하게 만들었다. 그러나 UC 버클리 대학을 포함한 몇 몇 기업들의 네트워크는 감염되지 않았다. 아무리 그 곳 서버와 PC에 슬래머 방지용 패치가 깔려있고, 마이크로소프트사의 SQL 서버나 마이크로소프트 SQL 서버 데스크탑 엔진 2000이 컴퓨터 버퍼 범람 취약점을 일정부분 예방한다 하더라도 이는 놀라운 결과였다. 당시 그 회사들의 네트워크에는 보안 소프트웨어 회사 오케나(Okena)의 엔드포인트 보안 제품이 깔려있었다. 이 제품은 같은 해 시스코가 인수한 후 시스코 보안 에이전트라는 새로운 브랜드로 탄생하게 됐다.




행위 기반 엔드포인트 보안
시스코 보안 에이전트 소프트웨어는 침입 예방 툴로 분류된다. 데스크탑이나 서버 같은 네트워크 엔드포인트에서 나온 보안 패치나 "시그니처"는 네트워크 안티바이러스 및 다른 보안 소프트웨어를 업데이트하기도 전에 의심스러운 행위(behavior)를 서로 연관시켜 새로운 공격을 예방하도록 디자인돼 있다. 요컨대, 시스코 보안 에이전트는 애플리케이션과 관리 시스템 사이에서 시스템 요청을 차단하고, 상호 연관시켜, 일련의 행위 법칙을 가진 상호 연관 시스템 요청을 비교하고, 비교 결과에 따라 "허용"할 것인지 "거부"할 것인지 결정한다. 이 과정을 인코어(INCORE)라고 하며, 이는 "차단, 상호 연관, 엔진 관리"를 의미한다(그림 1).

그림1. 시스코 보안 에이전트는 "차단, 상호 연관, 엔진 관리" 과정인 인코어를 적용하고 있으며, 이는 상호 관련 시스템과 일련의 행위 규칙 요청을 비교한다.


시스코 보안 에이전트 제품 매니저인 테드 도티(Ted Doty)에 따르면, 바이러스와 웜을 체크하는 기본 방식은 그간 별 변화가 없었다. "도난당하기 전에 은행 강도를 잡는 것과 같은 원리다. 파일, 네트워크 레지스트리 정보나 동적인 런 타임(run-time) 자원 쪽에 시스템 요청을 하는 방식으로 악의적인 행위를 찾고 있다"고 도티는 말한다.

시스코 보안 에이전트에는 관리 콘솔이 포함돼 있으며, 이는 데스크탑과 서버에 구축된 마이크로소프트 윈도우 2000 서버와 호스트 기반 에이전트 상에 있다. 에이전트는 관리 인터페이스와 상호 커뮤니케이션용 HTTP와 128비트 SSL(Secure Sockets Layer)을 이용한다. 시스코 보안 에이전트는 네트워크 애플리케이션과 운영시스템 커널 사이를 운영하면서, 보안 정책에 따르지 않는 애플리케이션을 검사하고, 이를 관리할 것인지 거부할 것인지 정한다. 이러한 실시간 보안은 분포된 방화벽, 관리 시스템, 안티바이러스 소프트웨어, 감사 이벤트 수집으로부터 결합된 보안 정책의 강화를 도모한다.

"활동을 허용하거나 못하게 만드는 정책을 이벤트와 상호 연관시키는 것이 시장에서 시스코 보안 에이전트를 돋보이게 만드는 이유다. 바이러스, 웜, 스파이웨어, 애드웨어 감지 솔루션들은 최신 보안 패치를 적용시키는데 의지하고 있다. 1990년대 중반 연간 수백 가지 패치가 출시되었다면, 현재는 4천 가지가 넘는다. 모든 서버와 데스크탑에 패치를 점검하고 구축하는 작업은 사용자 주머니를 갈취하는 주범"이라고 도티는 말한다.

사례 : 지멘스와 IFF용 심층 방어
조지아 주 알파레타(Alpharetta)에 있는 지멘스사의 에너지, 자동화 담당 정보 보안 직원인 캐시 테일러(Kathy Taylor)에 따르면, 시스코 보안 에이전트를 구축함으로써, 미국과 멕시코 전역에서 사용자에게 제공되는 회사 네트워크 상에서 250개 서버와 6천 개의 데스크탑을 지켜보는 새로운 보안 관리 직원을 얻는 것과 같은 효과를 냈다는 것이다.


"2003년 여름 W32/블래스터 웜의 습격을 받은 이후로 시스코 보안 에이전트를 설치하라는 승인을 얻어냈다. 이듬해 봄, 또 한 차례 대대적인 바이러스 공격이 있었지만 그때는 아무 문제가 없었다"고 테일러는 말한다. 컴퓨터를 공격하려는 바이러스를 목격하긴 했으나, 네트워크 관리 시스템이 바이러스의 진행을 막았다는 게 테일러의 설명.

"시스코 보안 에이전트는 안티 바이러스를 업데이트하고, 설치 전에 새로운 OS 보안 패치를 검사할 시간을 준다"고 테일러는 말한다.

세계 32개국에 생산 시설을 갖추고, 다양한 제품에 사용되는 향미향료를 만드는 회사인 IFF(International Flavors & Fragrances)의 경우, 엔드포인트 보안에 투자하기 전까지만 해도 바이러스 공격의 피해자였다. 2003년 초 웰치아(Welchia) 바이러스가 세계 각국의 회사 네트워크에 공격을 개시했다.

뉴저지 주 유니온 비치(Union Beach)에 있는 IFF 네트워크 시스템 담당 수석 매니저인 마이클 워시레브스키(Michael Wasielewski)에 따르면 "웰치아의 피해를 제일 먼저 입은 곳은 중국 지점이었다. 그때만 해도 바이러스를 처리할 수 있으리라고 생각했지만, 2시간 후 사태는 유럽과 아시아 전역으로 확대되었다. 아직 유럽은 잠들어있을 때였고, 안티바이러스 시그니처는 그 8시간 동안 무용지물이었다"고 회고한다.

그림1. 시스코 보안 에이전트 4.5버전은 키 입력 로그를 감지해 작동 과정을 사용자에게 알려준다. 그림2. 네트워크 상태 "이벤트"는 CSA MC 웹 기반 인터페이스를 사용해 요약 보고서를 보여준다.


IFF 측은 웰치아 바이러스를 심각한 사고 없이 진압하기는 했지만, 당시 타 회사들이 겪는 고통을 보고 엔드포인트 보안 시스템을 구입하기로 했다. 처음에 워시레브스키는 시스코 보안 에이전트가 아닌 다른 제품들을 알아봤다. 거기에는 패치가 안된 시스템에 네트워크의 접근을 막는 장비와 적절한 바이러스 패치 단계에 있는지를 결정하는 시스템 점검 장비 등이 있었다.

"패치를 반드시 깔아야하는 이유를 여전히 납득할 수 없었다. 바이러스 속도에 비해 프로그램을 가져와 점검하고 처리하는 과정 자체가 너무 느렸다. 그런 다음 마이크로소프트는 패치를 실행한다. 이에 우리는 막 발견된 새로운 침입 이벤트에 끌려 다니지 않는 솔루션인 '데이 제로(Day Zero)' 보안이 필요하다고 결정했다"고 워시레브스키는 전한다.

IFF 사의 워시레브스키와 동료들은 예전의 어느 제품 보다 예방 보안 기능이 탁월했던 시스코 보안 에이전트를 찾아냈다. 그때부터 시스코 보안 에이전트 4500을 IFF 전체 데스크탑 컴퓨터에 깔고 있다.



"스파이웨어·애드웨어를 차단하라"
시스코 보안 에이전트 4.5 버전이 겨냥하는 네트워크 침입 행위 중에서, 가장 최근인 2월에 나온 것이 스파이웨어(사용자 동의 없이 컴퓨터에 자신을 설치하거나 패스워드와 신용카드 번호 같은 개인 정보를 읽어내는 프로그램)와 애드웨어(팝업 광고, 링크를 띄우는 프리웨어와 번들된 마케팅 프로그램)이다. 시스코 보안 에이전트 4.5는 이러한 프로그램의 설치를 미연에 예방함으로써 스파이웨어와 애드웨어 감염 사태를 방지한다.

엔드포인트 보안과 네트워크 어드미션 컨트롤

시스코 보안 에이전트는 바이러스와 웜 전파를 막는 최초의 완충장치라고 할 수 있다. OS 패치와 안티바이러스 소프트웨어 업데이트로 엔드포인트를 확실하게 단속하는 것은 바이러스 전파를 막는데 효과적인 두 번째 완충장치이다. 시스코의 NAC(Network Admission Control) 프로그램을 방문하라. 바이러스와 웜 피해를 줄여주는 액세스가 부여되기 전부터, 모든 엔드포인트가 네트워크 보안 정책에 잘 따르도록 하기 위한 NAC 전략이 만들어졌다.

NAC 기술의 경우, 네트워크 보안 정책에 따를 것인지 결정하기 위해 네트워크에 연결된 장비 측에 신호를 보냄으로써 액세스를 컨트롤한다. 예를 들면, NAC는 시스코 보안 에이전트나 안티바이러스 소프트웨어가 현재 OS와 패치 단계에 따라 설치될지 결정할 수 있다는 것이다. NAC는 이 정보로 모든 엔드포인트를 위해 적절한 네트워크 어드미션 정책을 강화시킬 것인지 결정한다. 단순히 액세스를 필요로 하는 사람보다 OS 보안 상태나 통합 애플리케이션에 근거해서 판단한다. 액세스를 컨트롤하는 것 외에 NAC는 IT 관리자 지시에 순응하지 않는 엔드포인트를 자동적으로 검역하고 치료하는 방법을 제시한다. 2004년 6월에 출시된 NAC는 시스코 IOS 소프트웨어 릴리즈 12.3(8)T와 상위 버전을 운영하는 라우터 상에서 지원되고 있다.

시스코 NAC 프로그램은 NAC 인프라와 호환 가능한 특성을 통합시킨 제 3의 고객과 서버 애플리케이션을 디자인해서 파는 벤더 측에 공개되고 있다. 지금까지 서른 개가 넘는 벤더들이 네트워크에 기술을 활발히 통합하고 있다. 이 프로그램에 대한 보다 자세한 정보는 cisco.com/packet/172.6d1에 나타나있다.


시스코 보안 에이전트는 스파이웨어와 애드웨어 차단에 매우 효과적이다. 악성 프로그램은 안티바이러스 스크리닝 기능이 갖춰진 이메일을 통해서는 거의 전달되지 않기 때문이다. 이러한 소프트웨어는 스파이웨어 감지 툴을 거치면서 향상되기도 한다. 안티바이러스나 다른 보안 소프트웨어처럼 이러한 툴은 새롭고 변화 많은 스파이웨어 공격을 감당하지 못하는 패치와 함께 수동적이고 반응적이다. 반면, 시스코 보안 에이전트 4.5의 경우 스파이웨어의 실행을 미연에 방지하면서, 상호 행위 관련 엔진으로 윈도우 관리 시스템을 강화시킨다.

예를 들면, <그림 2>에서 시스코 보안 에이전트는 몰래 키보드 상의 키 입력을 기록하는 키 입력 로그 프로그램인 SilentLog.exe 문제를 감지한다. 스파이웨어는 사용자가 입력한 패스워드를 저장해 키 입력 로그를 설치하곤 한다.

은밀하게 다운로드된 스파이웨어나 애드웨어가 작동을 개시하면, 시스코 보안 에이전트는 사용자에게 메시지 상으로 경고해준다. 이에 사용자가 (Yes를 클릭하면서) 중단하기를 바랄 경우, 애플리케이션을 종료시킬 것이다. 사용자의 명령 없이 자동적으로 애플리케이션 실행을 멈추려면, 시스코 보안 에이전트 환경을 설정할 수도 있다. 스파이웨어가 반복적으로 사용자에게 다운로드 요청을 할 경우 - "Yes"를 선택하도록 사용자에게 트릭을 쓰는 사회 공학(social engineering)의 한 형태 - 그 요청을 중단시키기 위해서 "다시는 질문하지 말 것 (Don't ask me again)" 버튼을 누르기만 하면 된다.

시스코 보안 에이전트에는 파일 시스템 컨텐츠의 암호 분석이 필요 없기 때문에 실행된다 해도 충격은 거의 없는 편이다.

 

다양한 보안 정책 구사
네트워크 행위를 감지하고 분석하고 실행하는 것 외에 시스코 보안 에이전트는 다음과 같은 상태를 찾아낼 수 있다. 즉, 단일 컴퓨터나 워크 그룹 컴퓨터에 설치된 애플리케이션의 종류, 네트워크에서 사용되는 애플리케이션 종류, 서버나 데스크탑 컴퓨터와 소통하는 모든 IP 주소 확인, 원격 시스템 상의 애플리케이션 상태, 특정 사용자 설치 정보, 원치 않은 애플리케이션이 실행되고 있는지에 따른 여부 등을 탐지할 수 있다.

관리자는 모든 컴퓨터 애플리케이션에 관한 세부 사항을 실행시키고, 애플리케이션 행위에 관한 정보를 수집하며, 애플리케이션의 "정상적인" 작동을 토대로 컨트롤 정책을 만들어낼 수 있다. 모든 시스코 보안 에이전트 정책은 시스코 보안 에이전트 관리 센터(CSA MC, Cisco Security Agent Management Center) 웹 기반 사용자 인터페이스를 경유해 환경이 설정되고 구축된다. CSA MC는 네트워크 상태의 다양한 견해에 따른 보고서를 관리자에게 전달하는 리포팅 툴도 제공하고 있다(그림 3).

뿐만 아니라 시스코 보안 에이전트 버전 4.5는 국제적인 관리 시스템과 호환 가능하며, 리눅스 서버, 데스크탑, 윈도우 클러스터를 포함할 수 있도록 플랫폼의 지원을 확장한다. 시스코 콜매니저(CallManager)와 시스코 유니티(Unity)를 포함한 모든 시스코 IP 전화 제품은 부가 요금 없이 사용할 수 있다.

"우리는 현재 보안 문제에 관한 한 가장 안전한 IP 전화 솔루션이란 평가를 받고 있다"고 도티는 말한다. 그는 이어 2001년 이후, 200만대 이상의 데스크탑 PC와 서버에 시스코 보안 에이전트가 설치되었다고 덧붙인다.

자가 방어 네트워크의 최전선
"시스코 보안 에이전트는 시스코 자가 방어 네트워크 전략의 일환이다. 최초로 실시간 침입 방지 기능을 제공한다는 사실 외에도 엔드포인트 상에 존재함으로써 네트워크 에지에서는 이용할 수 없는 상태 정보를 얻을 수 있다"고 시스코 보안 에이전트 마케팅을 전문적으로 다루는 시스코 VPN & 보안 사업부 담당 기술 마케팅 엔지니어인 조슈아 휴스턴(Joshua Huston)은 말한다. 그에 따르면 "이 기능으로 엔드포인트와 네트워크 사이에 피드백 루프가 나타나므로, 네트워크는 새로운 위협에 쉽게 적응할 수 있다"는 것이다.

시스코 보안 에이전트는 자가 방어 네트워크의 또 다른 특성을 구현하고 있으며, 사용자가 직장에 있든, 가정에 있든 그 위치에 상관없이 유연하고, 확실하며, 효율적인 기능을 자랑한다.

추가자료


■ '시스코 보안 에이전트 - 스파이웨어와 애드웨어 방지용 기업 솔루션' 백서
    cisco.com/packet/172_6d2
■ 시스코 보안 에이전트 홈페이지
    cisco.com/go/csa



 


Packet 지난 호 보기