엔드포인트 위협탐지 및 대응(EDR) 기능 탑재한, 소포스 서버용 인터셉트 X
상태바
엔드포인트 위협탐지 및 대응(EDR) 기능 탑재한, 소포스 서버용 인터셉트 X
  • 석주원 기자
  • 승인 2019.08.27 18:52
  • 댓글 0
이 기사를 공유합니다

Sophos Intercept X for Server with EDR

[CCTV뉴스=석주원 기자] 지난 3월 소포스는 전세계 IT 관리자 3100명을 대상으로 한 설문조사 결과보고서를 발표했다. 설문조사에 따르면 IT 관리자들이 사이버 공격을 잡아낼 가능성이 가장 높은 곳은 소속 기관의 서버와 네트워크였다. 특히 지난해 가장 심각한 사이버공격을 자사 서버에서 발견했다는 응답이 37%로 가장 높게 나타났다. 회사의 서버는 재무부터 인사, 기획 자료에 이르기까지 매우 중요한 데이터들이 저장되는 경우가 많으며, 그만큼 외부로부터의 공격도 빈번하게 발생한다. 그래서 예나 지금이나 보안 담당자들은 서버를 보호하고 공격자의 네트워크 침입을 방지하는 데 집중해야 한다.


엔드포인트 위협 탐지 및 대응 필요성

심각한 문제는 사이버 위협이 시스템에 언제, 어떻게 침투했는지 확인하지 못하는 관리자들이 생각보다 많다는 데 있다. IT 관리자 중 20%가 공격자의 침입 경로를 정확히 파악하지 못했고, 17%가 공격을 감지하기 전까지 이들이 얼마나 오랫동안 시스템에 침투해 있었는지 모르고 있었던 것이다. 이런 가시성 부재의 문제를 개선하기 위해서 위협의 시작점과 네트워크를 따라 내부망을 이동하는 공격자의 공격 경로를 감지할 수 있는 기술, 즉 엔드포인트 위협 탐지ㆍ대응 솔루션(EDR)이 필요하다.
EDR은 IT 관리자들이 보안 성숙도모델(Security maturity model)에 기반해 위험을 찾아내고 처리절차를 만드는데 도움을 준다. IT 부서가 EDR을 포함한 보안 기반 시스템을 구축했다면 EDR은 중요한 위협 정보를 알려주는 핵심 역량을 제공한다. 소포스는 서버용 인터셉트 X에 EDR 기능을 추가함으로써, IT 관리자들이 저장된 데이터의 가치로 인해 최고의 표적이 되고 있는 서버 공격을 좀 더 쉽게 분석할 수 있게 지원한다.

소포스 위협분석센터 화면


혼합 사이버 공격에 대한 분석

사이버 공격자들이 일단 봇을 이용해 타깃을 골라내면 해당 타깃의 민감한 데이터와 지적 재산권의 규모, 몸값 지불 능력, 그리고 다른 서버와 네트워크의 접근성 등을 토대로 목표물을 결정한다.
최종 단계는 지능적이고 수동으로 이뤄진다. 즉 침투, 탐지 회피, 그리고 이동공격을 통해 임무를 완수하는 것이다. 서버에 몰래 잠 입해서 정보를 훔친 뒤 알아채지 못하게 빠져 나오거나, 백업을 무력화시키고, 서버에 암호를 걸어서 거액의 몸값을 요구하거나, 또는 침투한 서버를 이용해 다른 기업을 공격한다.
혼합 사이버공격은 한때 국가 차원의 해킹에 주로 사용되던 방식이었지만 수익성이 높기 때문에 지금은 일반적인 사이버 범죄자들도 자주 사용하고 있다. 최근 대부분의 멀웨어는 자동화돼 있어, 타깃의 보안 취약점을 찾아내 잠재수익성을 평가하고, 수동적인 해킹 기술을 사용해 최대한 큰 피해를 남긴다. EDR 기능을 갖춘 소포스 서버용 인터셉트 X는 이렇게 중요한 서버 보안에 필요한 통찰력과 보안 정보를 제공해준다.

소포스 위협분석센터 대시보드 화면


EDR 기능을 탑재한 소포스 서버용 인터셉트 X

EDR 기능을 갖춘 소포스 서버용 제품을 사용하면 기업의 IT 관리자들은 사업 규모가 아무리 크더라도 전체 조직을 감시하는 것이 가능해진다. 이를 통해 잠입 공격을 사전에 탐지하고, 보안 사고 영향 범위가 보다 명확해지며, 전체적인 공격 상황을 신속하게 시각화 할 수 있다.
소포스 서버용 인터셉트 X는 2018년 10월에 출시된 엔드포인트용 소포스 EDR 기능을 확장시킨 솔루션이다. 더 광범위한 멀웨어 탐지를 위해 딥러닝 기술을 도입했다. 소포스의 딥러닝 신경망은 수억 개의 샘플을 통해 수상한 악성 코드 특징을 찾아내는 훈련을 받고, 이전에 보지 못했던 신종 위협까지 탐지해낸다. 수상한 파일의 DNA를 소포스 데이터베이스에 있는 멀웨어 샘플과 비교하여 폭넓고 전문적인 분석을 제공한다.
소포스의 EDR 기능을 사용하면, IT 관리자들은 소포스랩이 관리하는 인텔리전스 정보와 의심스러운 사건에 대한 조사 가이드, 그리고 대응 조치 추천 등에 대한 접근 권한을 가지게 된다. 위협 환경에 대한 전반적인 감시능력을 유지하기 위해서 소포스는 하루 평균 40만 건의 특이하고 새로운 멀웨어 공격을 추적, 분석한다.
 

소포스 위협분석센터 감지된 위협사례 ROP 화면


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.