[디지털데일리 최민지기자] “어떤 것도 신뢰할 수 없다. 다시 말해, 검증된 것 이외에는 신뢰할 수 있는 것은 없다.”
11일 서울 더 플라자호텔(시청)에서 개최한 <디지털데일리> 주최 [2020년 전망, 금융IT Innovation] 컨퍼런스 ‘2020시대의 개막, 금융 디지털 & IT 혁신 전략은?’ 세미나에서 지니언스 이상협 선임연구원<사진>은 엔드포인트 위협 탐지·대응(EDR)을 통한 제로 트러스트 아키텍처에 대해 발표하며 이같이 밝혔다.
이 연구원은 “검증된 것만 신뢰할 수 있으며, 비즈니스 효용성을 위해서는 모두 동일한 레벨의 검증절차와 시간이 소요되면 안 된다”며 “신뢰성이 확보된 단말은 사용 목적에 맞는 적절한 권한 할당 및 관리가 이뤄져야 한다”고 말했다.
예를 들어, 기업은 방문객을 대상으로 신분을 확인하는 절차를 거쳐야 하지만, 고객 PC에 에이전트 설치까지 요구하기는 어렵다. 이들과 정직원, 개인정보 관리자 및 회계업무 관리자에 동일한 검증 수준을 적용할 수는 없다. 신뢰성이 확보된 단말은 사용 목적에 맞는 적절한 권한 할당과 관리가 이뤄져야 한다.
조직은 대체적으로 단말 실사용자에 대한 검증과 필수 소프트웨어 설치 유무에 대한 검증, 이상행위에 대한 검증을 실시한다. 단말 검증은 주기적 검증 요소와 실시간 검증으로 구분되며, 실시간 검증은 통신기록, 파일, 프로세스 등을 분석하는 부분이다.
이 연구원은 “실시간성 단말 검증이 이뤄져야 하는데, 단말 내부 모든 행위에 대한 기록, 위협행위에 대한 탐지, 위협행위 발생에 대한 대응을 갖춰야 한다”고 설명했다.
이와 관련 EDR은 ▲실시간 단말위협 코드 행위 ▲실시간 네트워크 통신 현황 기록 ▲실시간 파일 ▲실시간 레지스트리 ▲실시간 프로세스 등을 통해 사용자 단말 정보를 식별한다. 또한, 관리자를 위한 리포트, 대응을 위한 자동화 기능도 제공한다.
이 연구원은 “내부에 있는 PC 단말 데이터를 정보화해 관리자 입장에서 가려운 부분을 해소할 수 있는 리포트를 제공한다”며 “이 기종 간 연동체계를 통해 대응을 위한 자동화도 지원한다”고 덧붙였다.
이어 “검증을 통해 내부 단말의 신뢰를 회복하고 보안 아키텍처를 확립해야 한다”며 “자산 조사‧분류, 자산 접근‧사용 유형 분석, 자산에 따른 보안 세그먼트 설정, 보안 세그먼트 점검 규칙, 지속적 관찰‧업데이트 등을 진행해야 한다”고 말을 보탰다.