<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">

EDR 탐구생활 - 부산 광역시편

- 정교한 PC 행위분석으로 지능형 공격 방어

- 랜섬웨어·APT 차단해 안전한 행정 서비스 보장

- 공격 시작되는 엔드포인트 보호해 공공서비스 안정성 강화

 

부산광역시는 ‘그린스마트시티’라는 비전을 완성하기 위해 과감한 디지털 혁신을 추진하고 있다. 부산시를 아시아 제1의 창업도시로 부상시키기 위한 정책을 펼치는 한편, 강서구 일원에 ‘에코델타시티’를 조성하면서 미래도시의 이상을 실현하고 있다. 부산시는 디지털 혁신의 시작은 ‘보안’이라는 점에서 보안 투자에 적극 나서고 있으며, 진화하는 최신 공격 대응을 위한 보안 고도화 사업을 지속적으로 전개하고 있다.

 

첨단 ICT 기술이 집약된 스마트시티의 성공모델을 만들고 있는 부산시는 진화하는 보안 위협에 대응하기 위한 보안 기술 투자에 적극 나서고 있다. 모든 것이 연결되는 미래형 도시는 공격자도 쉽게 연결될 수 있기 때문에 중앙집중 보안관제센터를 통해 도시 전반의 위협을 선제적으로 탐지하고 차단해야 하기 때문이다. 부산시는 선제적이고 지속적인 보안위협 탐지와 대응을 위해 부산광역시 사이버침해대응센터를고도화하는 한편, 선진적인 보안 솔루션을 도입해 알려지지않은 위협이나 기존 보안탐지 기술을 우회하는 공격까지 차단할 수 있도록 하고 있다.

김주환 부산광역시 정보화담당관 사이버보안팀장은 “최근 사이버 위협 환경은 고도로 훈련된 전문조직 뿐 아니라 공격에 대한 전문성이 없는 사람도 쉽게 해킹에 참여할 수 있게됐다. 랜섬웨어 서비스, 피싱 서비스 등을 이용하면 누구나공격자가 될 수 있다”며 “사이버 공격은 한 번 피해를 당하면 복구하는데 많은 시간과 비용이 든다. 특히 공공서비스가타격을 입으면 시민들의 불편이 클 뿐만 아니라 심각한 피해를 야기할 수 있기 때문에 보안에 더욱더 철저한 준비를 해야한다”고 밝혔다.

김주환 팀장은 “부산시 보안정책의 가장 중요한 원칙은 침해가 발생하기 전에 차단하고 공격을 당했다 해도 피해를 최소화하면서 즉시 위해 사이트를 차단하고 서비스를 복구할 수 있도록 하는 것”이라고 강조했다.

 

지능형 위협 대응 솔루션 필수

부산시 정보화담당관은 내부 중요정보 유출을 막는 정보보호팀과 외부 공격을 방어하는 사이버보안팀을 두고 있다.사이버보안팀에서는 고도화되는 사이버 위협에 대응하기 위한 전략을 수립하고 이를 위해 정보보호 시스템을 도입·운영하고 있다. 부산광역시 사이버침해대응센터를 운영하며 실시간 위협을 탐지하고 차단해 행정 서비스를 안전하게 보호한다.

사이버 보안팀은 기존 보안 솔루션이 차단하지 못한 공격시도를 정밀하게 찾아내는 보안 기술을 지속적으로 도입하며 정보보호시스템을 고도화하고 있다. 공격자들은 끊임없이 연구하면서 보안을 우회하는 방법을 찾아내기 때문에 기존 보안을 우회하는 새로운 공격에 대응해야 한다. 특히 최근 공공기관을 집중 공격하고 있는 사회공학 기법의 지능형 해킹메일과 악성코드 감염, 위협의 내부 확산을 막기 위한 고급 보안 탐지 기술을 도입하고 있다.

김주환 팀장은 “부산시는 인터넷으로부터 업무망으로 직접 접속하지 못하도록 정보보호시스템으로 방어하고 있기 때문에 인터넷을 통한 직접적인 해킹 우려는 상대적으로 낮은 편이다. 그러나 업무와 관련된 내용으로 위장한 악성메일로 인한 위협까지 완벽하게 차단하는 것은 어렵다. 직원이 정상 메일로 인지하고 업무망에서 악성메일을 열람해 업무망 PC를 내부 공격자로 바꿀 수 있다”며 “업무망 PC를 보호하기 위해 엔드포인트 침해 탐지 및 대응(EDR) 솔루션을 도입했다”고 설명했다.

 

신속·정확한 위협 탐지 기술 중요

부산시는 2021년 진화하는 위협으로부터 업무망을 보호하기 위해 EDR 도입을 검토했다. 이때 기존에 설치된 안티바이러스 솔루션이 탐지하지 못한 지능형 위협을 탐지하는지 여부를 중요하게 살펴봤다. 엔드포인트에 여러 보안 솔루션이 탑재돼 있는데, 중복되는 기능이 있는 솔루션을 추가하는 것은 PC 리소스를 낭비하고, 업무 생산성을 떨어뜨리며, 보안 예산을 중복투자하는 결과로 이어질 수 있기 때문이다.

또한 EDR에서 너무 많은 이벤트를 발생시키면 보안관제요원의 업무가 증가해 정말 중요한 위협을 놓칠 수 있기 때문에 오탐 없이 정확하게 실제 위협만을 찾아내는 정확성도 중요했다. 더불어 보안관제 시스템이 연동한 EDR 이벤트를 다른 시스템 이벤트와 연계분석해 전체 보안 가시성을 확보할수 있는지도 중요한 고려사항이었다.

인지도와 시장 점유율도 고려했다. EDR은 엔드포인트에서 일어나는 행위를 기반으로 위협을 탐지하기 때문에 엔드포인트 리소스 사용이 과다하게 늘어나거나 다른 엔드포인트 보안 모듈과 충돌하고 장애를 일으킬 수 있다. 중요한 업무용 PC에서 장애가 일어나면 업무에 지장을 주기 때문에 이러한 문제가 없는 안정적인 솔루션을 선택해야 한다.

특히 새로운 보안 솔루션을 업무 PC에 적용했을 때 잦은장애를 일으킬 수 있기 때문에 실제 업무에서 EDR이 어떻게사용되고 있는지 살펴보는 것이 중요했다.

다양한 상황에서 문제를 해결해 본 경험이 없는 EDR은 원활한 업무 수행에 지장을 주어 직원들을 불편하게 할뿐만 아니라 중요한 위협을 놓치게 만든다. 시장 점유율이 높은 솔루션은 여러 산업군, 여러 규모의 조직에 적용돼 다양한 업무 환경에 최적화시킨 경험이 축적돼 있기 때문에 이러한 우려를 덜 수 있다. 다른 조직의 성공사례를 참고하면 EDR 운영 효율성을 높일 수 있다는 것도 감안했다.

김주환 팀장은 “고도화되는 사이버 위협에 대응하기 위한보안 솔루션은 기존 보안 솔루션이 차단하지 못하는 지능형랜섬웨어와 지속적인 공격을 정확하게 탐지하고 자동으로 대응할 수 있어야 한다. 또 운영 중인 관제시스템과 원활하게 연동돼 위협 전반을 가시화하고 통제할 수 있어야 하고,무엇보다 업무에 지장을 주지 않아야 한다”며 “EDR 도입 시 검토해야 하는 여러 사항을 종합적으로 살펴보고 벤치마크해 지니언스의 ‘지니안 EDR’을 선택했다”고 말했다.

 

시장점유율·레퍼런스 검토

지니언스의 ‘지니안 EDR’은 국내에서 가장 먼저 출시된 EDR 솔루션으로, 많은 고객을 확보하면서 EDR 시장을 주
도적으로 이끌고 있다. 지니안 EDR은 지니언스의 탁월한 엔드포인트 가시성 기능을 탑재하고 하고 있으며, 파일,
레지스트리, DLL, 네트워크, 프로세스의 생성·저장·변경·이동 뿐 아니라 관계에 대한 새로운 차원의 가시성을 제공
한다.

다단계 위협 탐지 엔진을 적용해 랜섬웨어·APT 등 지능형 위협의 유입과 활동, 확산 모든 단계에서 위협을 탐지하고 대응할 수 있으며, 사고대응(IR), 위협헌팅, 컴플라이언스 대응, SIEM 연동 등 차세대 단말기반 보안 플랫폼 구축이 가능하다.

부산시는 2021년 6월 지니안 EDR을 본청과 사업소 등 4500여대 PC에 설치해 운영하고 있다. 지니안 EDR은 보안관제시스템과 쉽게 로그 연동돼 보안 탐지 효과를 높인다. 1년 반 이상 운영하는 과정에서 이전에 발견하지 못했던 새로운 위협을 탐지하고 신속하게 대응하는 효과를 거두고 있다. 또한 실제 업무환경이나 관제시스템 운영 상 장애나 문제를 일으키지 않아 EDR 도입 성과가 매우 높은 것으로 평가하고 있다.

김주환 팀장은 “EDR 도입 후 백신에서 탐지하지 못했던 이상행위를 찾아 실제 위협을 확인하고 차단하는 사례가 있었다. EDR 도입으로 위협을 보다 신속하게 인지하고 빠르게 대응해 피해로 이어지기 전에 조치할 수 있게 돼 만족한다” 고 밝혔다.


스마트시티 보호에도 EDR 사용 검토

부산시는 부산시민 삶의 질을 높이고, 기업 경쟁력을 강화해 도시의 지속 가능성을 높일 수 있는 스마트시티 건설을 진행하고 있다. 디지털 기술을 이용해 교통, 물 공급, 쓰레기처리 등 공공서비스를 효율적으로 운영할 수 있도록 하는데,이를 위해서는 다종다양한 IoT 기기가 연결된다. 이 기기는 시민 생활에 직접적인 영향을 미칠 뿐 아니라 스마트시티를 중단시킬 수 있기 때문에 침해와 장애를 예방할 수 있는 사이버 면역력이 중요하다.

김주환 팀장은 “모든 IoT 기기에 EDR의 행위기반 탐지·차단 기술을 적용하면 스마트시티의 사이버 면역력을 강화할 수 있을 것으로 기대한다. 경량화된 EDR을 이용해 스마트시티의 다양한 엔드포인트를 보호하며 제로데이 공격을막을 수 있을 것으로 기대하고 관련 사업 진행을 검토하고 있다”고 밝혔다.

 


 

인터뷰 - 김주환 부산광역시 정보화담당관 사이버보안팀장

"다양한 고객 환경에서 성공사례 축적한 EDR로 엔드포인트 보호"

이미지 753

Q. EDR 도입 사업을 진행하게 된 배경과 솔루션 도입 시 중요하게 검토한 것은 무엇인지 설명해달라.

A. 사이버 위협이 고도화되면서 기존 보안 기술을 우회하는 공격이 늘어나 이에 대한 대비책이 필요했다. 특히 엔드
포인트 백신에서 탐지하지 못하는 진보된 공격에 대응할수 있는 보안 기술이 필요했다.

EDR은 백신에서 차단하지 못한 지능형 위협을 탐지하기 위해 도입하는 것이기 때문에 기존 백신과 중복되지 않은 기능을 가진 지능형 탐지·대응 기술을 가진 솔루션을 찾았다. 또 EDR만으로 모든 위협을 탐지할 수 없으며, 여러 보안 솔루션 이벤트와 연계분석해 위협 대응 효과를 높일 수 있기 때문에 보안관제 시스템과 원활하게 연동되는지 여부를 중요하게 검토했다.

엔드포인트 행위를 분석하는 솔루션은 PC 리소스를 너무 많이 사용하거나 장애·충돌을 일으키는 일이 잦으므
로, 어떤 상황이나 환경에서도 안정적으로 작동하는지,실제 EDR 사용 고객들이 겪는 문제는 무엇인지도 검토
했다.


Q. 지니언스 ‘지니안 EDR’을 선택한 이유는 무엇인가?

A. ‘지니안 EDR’은 국내에서 가장 먼저 출시되어 가장 많은 고객에 공급된 EDR 시장의 대표 솔루션으로, 다양한 분
야의 성공사례를 갖고 있다는 점에서 신뢰할 수 있었다.

다른 솔루션과 벤치마크 한 결과 ‘지니안 EDR’의 안정성과 탐지 능력이 뛰어나다는 사실을 확인할 수 있었으며, 관제 시스템과도 원활하게 연동할 수 있었다. 향후 클라우드와 스마트시티 확장 사업을 검토할 때에도 ‘지니안 EDR’이 유용할 것이라고 판단했다.


Q. 솔루션 도입 효과는.

A. 무엇보다 지능형 위협 탐지 효과가 뛰어나다. 백신에서 차단하지 못한 의심스러운 행위를 신속하게 찾아내 대응할 수 있었다. 보안관제 시스템과 원활한 연동으로 이전에 보지 못했던 위협에 대한 가시성을 훨씬 폭 넓게 확보할 수 있었으며, 업무에 전혀 영향을 미치지 않고 보안 수준을 한층 높일 수 있었다.


Q. 부산시의 향후 보안 사업 계획을 설명해달라.

A. 부산시는 그린스마트도시를 추구하고 있으며, 에코델타시티 조성 사업에도 박차를 가하면서 미래형 도시를 현실에 구현하고 있다. 이 사업에서 가장 중요한 것이 보안이며, 사이버 면역력을 강화해 위협이 실제 피해로 이어지지 않도록 해야 한다고 생각하고 있다.

이에 스마트시티에 사용되는 모든 IoT에서 EDR의 행위분석 기술을 적용하면 안전한 스마트시티를 완성할 수 있을 것이라고 판단하고 있다. 경량 EDR을 스마트시티 IoT 보호를 위해 적용할 수 있도록 적극적으로 검토할 계획
이다.

출처 : 데이터넷 1월호 (http://www.datanet.co.kr)

 


New call-to-action New call-to-action