EDR 탐구생활- 종합병원편

EDR 어디까지 써봤니?

지니언스(주)에서는 EDR 솔루션을 도입하여 활용 중인 고객의 사례를 소개하고 있습니다. 두번째로 소개해드릴 EDR 도입사례는 대형 종합 병원 입니다. 해당 내용은 인터뷰 또는 서면 질의를 통해서 확인된 내용을 재구성한 것이며 담당자 및 기관명, 스크린샷 등은 고객 및 고객사의 정보보호를 위하여 알려드릴 수 없거나 유사한 내용으로 대체되었음을 양해 부탁드립니다.

 

EDR 도입사례 종합병원

 

Q. 파트장님 안녕하세요. 인터뷰에 응해 주셔서 감사합니다. 먼저 어떤 업무를 담당 하시는지 알려주세요.

저는 정보보안파트장으로 정보보안 업무를 담당하고 있습니다. 보안장비(IPS,UTM, F/W, 웹 F/W), 접근제어 장비(시스템 접근제어, 데이터베이스 접근제어, 네트워크 접근제어), 망 분리 시스템 등 대략 23개(EDR포함)의 보안장비를 운영하고 있습니다.

 

Q. EDR 도입을 검토하시게 된 계기는 무엇이었을까요?

병원 내의 수많은 윈도우 PC 기반의 엔드포인트 뿐 아니라 의료기기에 대한 보안 이슈가 있었습니다. 서비스가 종료된 취약한 운영체제(OS)를 가진 엔드포인트, 서비스가 종료된 취약한 운영체제(OS) 및 레거시 운영체제(OS)를 탑재한 의료기기들이 보안 취약점에 노출될 가능성이 크다고 판단하였습니다.

병원은 서비스의 특성상 365일 24시간 운영되는 의료정보시스템도 중요하지만, 국민의 생명을 다루는 의료기기에 대한 보안도 매우 중요합니다. 사이버 위협에 대한 사후 처리가 아닌 사전 예방 관점, 특히 랜섬웨어 등에 대한 초기 대응을 목표로 EDR을 검토하게 되었습니다.

피싱, 스피어피싱, 제로데이공격, APT, DDoS 공격, 랜섬웨어 등 많은 사이버 위협 이슈들이 있는데 그중 병원내 엔드포인트 단말들이 랜섬웨어로부터의 방어 및 악성코드 감염 시 감염경로, 감염 시간 등 포렌식에 필요한 정보 수집에 대한 보안장비가 필요했었습니다.

의료기관은 환자정보, 진료기록 등 많은 정보를 보유하고 있어 각종 보안 위협으로부터 환자 정보를 안전하게 보호하고 체계적으로 관리하는 것이 중요합니다. 개인의 중요한 정보를 다루는 만큼 그 어느 산업보다 보안이 강조되었고 선도적으로 보안 위협에 대응하는 서비스 체계를 확보하는 것이 목표였습니다.

 

Q. EDR 도입 과정에서 몇 개의 솔루션을 검토하셨는지요?

국산 제품 2대, 외산 제품 3대 총 5대의 장비를 검토하였습니다. 보안 관련 세미나를 많이 참석하여 최신 보안이슈 및 트렌트에 대한 정보를 기반으로 POC, Demo를 진행하였습니다. 보안이슈에 대한 EDR 기능을 대부분 지원하였으나, 병원 PC 단말 정책과 맞지 않는 컴퓨터 명을 기반으로 엔드포인트를 찾아야 하는 불편함, 정책 서버 다운 등으로 미 동작 시 엔드포인트 단말의 Agent에 의한 이상 행위 등을 경험하게 되었습니다. 외산 장비 검토 부분에서는 커스터마이징, 버그 발견 후 문의 및 대응, 소프트웨어 패치 등 추후 유지보수의 문제도 생각을 안 할 수가 없었습니다.

 

Q. 지니언스의 EDR 제품(인사이츠 E)을 선택한 이유는 무엇이었습니까?

지니언스 EDR 솔루션도 POC를 진행하였고, 외산 EDR 솔루션의 검토과정에서 나온 이슈들에 대해 지니언스 EDR 솔루션에 동일하게 테스트한 결과 컴퓨터 명 뿐만 아닌 IP 기반 검색 기능 제공, 정책 서버와의 미연결 시 Agent 동작 상태 등에서 문제가 없었습니다. 장비 납품 시에는 검수 전에 네트워크 사설망을 구축하여 납품 장비와 PC를 사설 네트워크로 연결하여 실제 위협이 되는 최신 랜섬웨어 3종에 대하여 EDR Agent를 PC에 설치 후 악성코드 탐지 및 대응에 대한 테스트를 통과하였습니다.

3년 전 하드웨어 시스템을 고도화하면서 도입 운영 중인 지니언스 NAC제품의 Agent에 Plug-in 되어 하나의 에이전트로도 엔드포인트를 관리하는 것도 큰 매력이었습니다.

 

Q. EDR 도입 후 이상행위 탐지와 분석의 어려움은 없으셨는지요?

도입 후 랜섬웨어에 대한 보안 위협은 현재까지 병원 내 엔드포인트 단말에서의 이슈는 없었습니다. 이상 행위 탐지 후 분석영역에서는 병원 내에 보안 및 현업에 대한 이해도가 높은 우수 인력을 보유하고 있어서 상대적으로 어려움은 크게 없습니다. 의료정보시스템뿐만 아니라 내시경, 초음파, X-ray 장비 등 EDR Agnet가 설치되는 의료기기에서 발생하는 이상행위에 대하여 어느 장비에서 어느 행위였는지 지니언스 EDR 솔루션에서 수집된 로그를 바로 분석할 수 있습니다.

 

Q. 도입하신 EDR을 어떻게 사용하고 계시는지 구체적으로 설명해 주실 수 있을까요?

2021년 9월 30일 납품 완료하고 현재까지 머신러닝을 통한 정보 수집하여 병원 내 엔드포인트 단말에 대한 보안정책을 12월 31일까지 적용 및 예외 처리에 대한 정책 적용할 계획입니다.

 

Q. 지니언스 EDR 제품(인사이츠 E)에서 가장 만족스러운 기능과 개선점은 무엇인가요?

도입 후 현재까지 머신러닝을 통하여 정보 수집 및 정책을 수립하는중이지만 일부 탐지되어 추가한 정책이 설정된 악성코드에 대한 자동 대응 기능, 과부하가 없는 Agent, 정책 서버와 연결이 해제되어도 에이전트를 통한 자동 대응이 만족스러우며, 개선 필요사항은 관리자로서 다양한 검색 기능이 제공되지만 검색 시의 많은 검색 조건에 따른 어려움이 조금 있습니다.

 

Q. EDR 도입 후 어떤 성과를 기대하고 있으신지요?

엔드포인트에 대한 대응 및 악성코드 유입경로 등 많은 정보를 기준으로 병원 내 엔드포인트의 현재보다 조금 더 악성코드로부터 안전하게 되어 신경을 쓰지 않아도 되면 좋겠습니다. 머신러닝 후에는 엔드포인트의 더 넓은 위협 탐지 및 조기 대응이 가능할 것으로 예상되며 위협 가시성이 대폭 향상될 것으로 기대하고 있습니다.

 

Q. 끝으로 EDR 도입을 고려하거나 사용 중이신 분들께 해 주실 말씀이 있을까요?

국산 제품, 외산 제품 등 많은 EDR 제품이 있습니다. 설명만 듣고 제품을 선택하지 마시고 보안세미나 참석, 박람회, 신문 잡지 등의 매체를 통하여 정보수집을 하시고 POC 및 데모를 통하여 실제 악성코드를 실행하여 탐지 하고 대응해 주는지 내가 원하는 기능이 있는지 등을 자세히 검토 후에 도입을 고려하는 게 좋을 것 같습니다.

 

지니언스 EDR 리포트 기능

리포트 기능

 

지니언스 EDR 네트워크 사용 프로세스 분석

네트워크 사용프로세스 분석

 


 

함께보면 좋은 컨텐츠

지니언스의 제품

EDR 도입 사례 공공기관

이 글 공유하기