A. 엔드포인트 강화
1. 개요
사물 인터넷(IoT) 기기가 확산되면서 보안이 필요한 엔드포인트의 수가 기하급수적으로 늘어났습니다. 다행스럽게도 기존 클라이언트 및 서버 엔드포인트뿐만 아니라 삶의 모든 측면에 걸쳐 확산된 최신 네트워크 연결 장치를 보호하는 데 사용하는 전략과 정책이 많이 있습니다.
이러한 기술 중 다수는 회사 및 기업 네트워크에 맞춰져 있지만 개인 및 가정 환경에서도 사용할 수 있습니다. 엔드포인트 확산으로 인해 발생하는 가장 큰 위협 중 하나는 정보를 수집하거나 다른 장치를 손상시키는 데 악용될 수 있는 네트워크에 대한 무단 액세스를 허용하는 보안되지 않은 장치의 위협이라는 점을 기억하십시오.
2. 엔드포인트 강화의 범주
첫 번째 범주는 관리 제어를 사용하여 보안 암호를 적용하고 최소 권한 원칙(PoLP)을 사용하여 사용자 및 네트워크 액세스를 제한하는 것입니다.
두 번째는 운영 체제 보안, 부팅 관리, 로컬 디스크 암호화 및 데이터 손실 방지(DLP) 기술을 결합하여 로컬 엔드포인트 보호를 강화하는 것입니다.
세 번째는 모든 장치가 정기적으로 패치 및 업데이트되고, 정기적인 정책 점검을 받으며, 쉬운 복구를 위해 정확하고 유지관리된 백업을 갖도록 적절한 엔드포인트 유지 관리입니다.
네 번째는 엔드포인트 장치 모니터링으로, 가능한 경우 EPP(엔드포인트 보호 플랫폼) 클라이언트를 통해 로컬로 수행하거나 특수 네트워크 침입 탐지 시스템(IDS)을 사용하여 장치가 연결된 네트워크를 통해 수행할 수 있습니다. 발견되지 않은 새로운 공격을 선제적으로 차단하고 의심스러운 파일 및 프로그램에 대해 즉각적인 조치를 취할 수 있는 엔드포인트 탐지 및 대응(EDR) 플랫폼을 구현하는 것도 가능합니다.
B. 엔드포인트 강화 방법
1. 비밀번호
엔드포인트와 IoT 장치를 강화하고 보호하는 가장 간단한 방법은 장치에 안전한 비밀번호가 있는지 확인하는 것입니다. 이는 사용자가 설치 시 변경할 필요가 없는 기본 비밀번호와 함께 정기적으로 배송되는 가정용 IoT 장치에서 특히 중요합니다. 연결된 모든 장치에서 안전한 비밀번호를 추적하고 적용하는 것은 전반적인 위험을 줄이는 데 도움이 되는 간단한 첫 번째 단계입니다. 일반적인 첫 번째 공격 전략은 네트워크에서 장치를 검색하고 기본 비밀번호를 사용하여 로그인을 시도하고 로컬 장치에 액세스하는 것입니다.
2. 필요 권한만 부여
엔드포인트 보안의 또 다른 중요한 단계는 사용자, 특히 관리자가 업무를 수행하는 데 필요한 권한에만 액세스할 수 있도록 하는 것입니다. 기본 IoT 장치를 포함한 많은 엔드포인트는 사용자에게 관리 역할 및 권한 집합을 생성할 수 있는 기능을 부여합니다. 이를 통해 사용자와 관리자가 장치에서 필요한 기능에만 액세스할 수 있도록 하는 인증된 역할을 생성할 수 있습니다. 이렇게 하면 취약한 비밀번호나 사회 공학 공격으로 인해 공격자에게 실수로 더 많은 권한에 대한 액세스 권한이 부여되는 일이 방지됩니다.
공격자가 제한된 액세스 권한이 있는 계정에 대한 액세스 권한을 얻는 경우 장치가 기본 관리 역할을 사용하고 있기 때문에 공격자가 전체 관리 액세스 권한을 얻는 경우보다 피해가 훨씬 적습니다. 필요에 따라 권한을 적용하는 것을 최소 권한 원칙(PoLP)이라고 하며 엔드포인트, 인증, 파일 액세스 등 보안 정책을 정의할 때 따라야 할 좋은 규칙입니다.
사용자 또는 관리 액세스를 제한할 수 없는 단순한 엔드포인트의 경우 매우 안전한 비밀번호나 2단계 인증을 사용하여 액세스를 잠그거나 라우터나 방화벽과 같은 다른 장치를 사용하여 장치에 액세스할 수 있는 IP 주소를 제한하는 것이 좋습니다.
엔드포인트를 강화할 때는 철저한 방어가 매우 중요합니다. 여러 계층의 보안이 있는 경우 엔드포인트를 손상시키고 이를 사용하여 네트워크를 추가 공격하는 것이 더 어렵습니다. 네트워크는 가장 취약한 엔드포인트만큼만 안전하므로 보안을 설계하고 시행할 때 더 넓은 하향식 관점을 갖는 것은 모든 장치에 동일하게 적용할 수 없더라도 네트워크 정책을 결정하는 데 큰 도움이 될 수 있습니다.
3. 펌웨어 및 부팅프로세스 강화
엔드포인트 보안에서 자주 간과되는 부분은 엔드포인트 펌웨어 및 부팅 프로세스의 강화입니다. 대부분의 보안 관행은 장치가 실행 중이고 네트워크에 연결되어 있을 때 장치를 보호하는 데 중점을 둡니다. 그러나 엔드포인트 장치의 펌웨어 및 부팅 프로세스를 공격하는 위협이 등장하고 있습니다. 펌웨어 및 부팅 프로세스를 강화하는 것은 IoT 장치의 경우 특히 중요합니다. IoT 장치에는 악의적인 펌웨어 손상으로부터 보호하기 위해 전통적인 데스크탑, 노트북 및 서버가 수년 동안 통합해 온 내장된 보호 기능이 많이 부족합니다.
공격자가 물리적으로 접근할 수 없도록 장치를 물리적으로 보호하는 것은 매우 중요합니다. 많은 장치에는 장치에 대한 물리적 액세스만 필요한 관리자 계정 재설정 절차가 있으므로 물리적 액세스 권한이 있는 경우 기존 컴퓨터 시스템을 손상시키는 것이 훨씬 쉽습니다. 기본 입/출력 시스템(BIOS) 및 기타 부팅시 시스템을 잠그면 이러한 유형의 공격이 성공하는 것을 방지할 수 있습니다.
펌웨어는 일반적으로 엔드포인트의 칩에서 실행되는 소프트웨어입니다. 이 소프트웨어는 장치에 연결된 하드웨어를 감지하고 보고하는 역할을 담당합니다. 펌웨어는 모든 하드웨어 검사를 수행한 후 운영 체제 로딩을 지원합니다.
최신 컴퓨터는 일반적으로 레거시 기본 입출력 시스템(BIOS) 또는 최신 통합 확장 가능 펌웨어 인터페이스(UEFI)를 사용합니다. 둘 다 유사한 기능을 수행하지만 UEFI는 훨씬 최신 버전이며 일반적으로 그래픽 인터페이스와 보다 강력한 보안 기능을 통합합니다.
네트워크 엔드포인트가 운영 체제를 로드하는 방법과 잠재적인 손상을 보호하는 방법을 이해하는 것은 펌웨어 맬웨어 공격을 방지하는 데 중요합니다. 펌웨어에 코드가 삽입되어 엔드포인트가 악성 소프트웨어 또는 완전히 새로운 운영 체제를 로드하게 할 수 있습니다. 다른 장치를 손상시킵니다. 승인된 소프트웨어만 로드하도록 펌웨어를 제한하는 것은 BIOS를 통한 UEFI의 가장 중요한 새로운 기능 중 하나입니다.
4. OS
OS를 선택하는 것은 관리자가 일반적으로 하는 사치스러운 보안은 아니지만, 가능하다면 항상 관리하기 쉽고 보안이 유지되는 OS를 선택하여 사용하는 것이 좋습니다. 이제 많은 OS에는 보안 정책을 보다 쉽게 관리하고 시행할 수 있는 보안 기능이 내장되어 있습니다. 또한 이제 많은 네트워크 보안 장치에서 OS 유형에 따라 액세스를 허용할 수 있습니다.
신뢰할 수 있는 OS의 고정 목록을 보유하면 알려진 OS 유형 및 버전만 네트워크에 액세스하도록 허용하여 전반적인 네트워크 보안을 강화하는 데 도움이 될 수 있습니다. 이렇게 하면 펌웨어 공격으로 장치가 손상되어 알 수 없는 OS를 사용하여 네트워크에 연결을 시도하는 경우 다른 보안 장치가 이를 거부할 수 있습니다.
BIOS와 UEFI는 기존 컴퓨터와 노트북에만 적용되지만 대부분의 엔드포인트는 일종의 부트로더와 펌웨어를 사용하여 OS를 보호하고 로드합니다. 이러한 시스템이 잠겨 있는지 이해하고 확인하는 것은 엔드포인트 보안의 기본 단계입니다.
5. 전체 디스크 암호화(FDE)
업무용으로 노트북과 휴대폰을 사용하는 가장 큰 장점 중 하나는 휴대성이 있다는 것입니다. 이러한 장치에 대한 일반적인 우려 사항 중 하나는 데이터 보안입니다. 노트북을 도난당했는데 데이터가 암호화되지 않은 경우 도둑이 유용한 정보를 빼내기가 매우 쉽습니다. 암호화되지 않은 기업 노트북에는 개인에게 해로울 뿐만 아니라 기업 보안 상태에 대한 유용한 정보가 풍부하게 포함될 수 있습니다. 컴퓨터에서 검색 기록과 캐시된 DNS 쿼리를 보는 것만으로도 민감한 네트워크 정보와 보안 절차가 드러날 수 있습니다.
엔드포인트를 완벽하게 보호하고 암호화하는 것은 사이버 보안의 중요한 측면입니다. 특히 민감한 정보가 많이 포함될 수 있는 고위험 장치의 경우 더욱 그렇습니다. 이러한 장치를 보호하는 가장 일반적인 방법은 전체 디스크 암호화(FDE)를 사용하는 것입니다. FDE는 디스크가 OS에 의해 암호화되는 소프트웨어 기반 솔루션입니다.
부팅 시 UEFI는 OS에서 암호 해독 정보를 로드합니다. 암호화 키는 일반적으로 TPM(신뢰할 수 있는 플랫폼 모듈)에 저장되며 비밀번호나 기타 인증 방법으로 보호됩니다. 키에 액세스한 후 디스크의 암호를 해독하고 OS를 정상적으로 로드할 수 있습니다. 전체 디스크가 암호화되어 있기 때문에 디스크를 도난당한 경우 드라이브 암호화를 무차별 대입하여 시도하는 것 외에는 유용한 정보를 검색할 수 없으며 이는 매우 비용이 많이 듭니다.
전체 디스크 암호화를 구현하는 또 다른 방법은 자체 암호화 드라이브(SED)를 사용하는 것입니다. SED는 펌웨어 및 OS의 지침을 사용하여 하드 드라이브 콘텐츠의 암호화 및 암호 해독을 자동으로 처리하는 모듈이 내장된 하드 드라이브입니다. SED를 사용하면 장치 CPU와 소프트웨어가 아닌 하드 드라이브에 내장된 모듈에 암호화 작업이 적용됩니다.
6. DLP
엔드포인트의 데이터를 보호하는 마지막 방법은 DLP 소프트웨어를 사용하는 것입니다. 이를 통해 누군가가 장치에서 민감한 정보를 복사하려고 하거나 네트워크를 통해 전송하려고 하는지 감지할 수 있습니다. DLP는 보안을 위해 거래를 차단하거나 기록할 수 있습니다. DLP의 또 다른 일반적인 용도는 USB 플래시 드라이브나 외장 하드 드라이브와 같은 연결 가능한 드라이브의 사용을 방지하거나 제한하여 대량의 데이터가 복사되는 것을 방지하는 것입니다. DLP는 네트워크 기반일 수도 있습니다. 여기서 장치는 네트워크 트래픽을 검사하여 네트워크를 통해 전송되는 키워드나 기타 민감한 정보를 관리자에게 알립니다.
스마트폰과 같은 많은 최신 장치는 자동으로 전체 디스크 암호화를 사용하지만 일부 장치에서는 이 옵션이 기본적으로 비활성화되어 있을 수 있습니다. 엔드포인트, 특히 이러한 기능이 기본적으로 활성화되지 않은 IoT 장치에서 디스크 암호화 및 DLP를 사용할 수 있는지 항상 확인하십시오.
C. 패치&백업
어떤 환경에서든 관리자가 연결된 모든 엔드포인트를 업데이트, 패치 및 백업할 수 있는 능력은 매우 중요합니다. 안정적인 패치 및 백업 일정을 유지하는 것의 어려움은 일반적으로 업데이트 및 백업을 수행하는 데 필요한 다양한 장치 및 절차의 수와 관련이 있습니다. 회사의 데스크톱, 노트북, 서버, 스마트폰 모델과 제조업체를 표준화하면 패치 및 업데이트 유지 관리 작업이 크게 단순화될 수 있습니다. 그러나 중요한 레거시 장비를 지원해야 하는 필요성 과 업무 환경에서 BYOD(Bring Your Own Device)가 증가하고 있기 때문에 이것이 항상 실행 가능한 것은 아닙니다.
잠재적인 취약점을 식별하고 해결하는 것이 대규모 사이버 보안 공격을 예방하는 핵심 단계이기 때문에 패치를 최신 상태로 유지하는 것이 중요합니다. OS, 펌웨어, 취약한 소프트웨어 프로그램 및 애플리케이션을 업데이트하는 것은 전반적인 위험을 줄이는 간단하고 효과적인 방법입니다. 제로데이 공격을 예방하는 데 반드시 효과적이기는 하지만 완전히 패치되고 업데이트된 시스템을 갖추면 일반적이고 잘 확립된 맬웨어 및 공격 벡터를 사용하여 시스템이 손상되는 속도를 늦추고 제한하는 데 도움이 될 수 있습니다. 엔드포인트와 네트워크 인프라가 최신 상태이고 건전한 경우 알려지지 않은 새로운 공격 방법이 시스템을 손상시킬 수 있지만 공격자의 툴킷에 있는 다른 도구가 다른 도구로 전환하는 데 효과적이지 않기 때문에 추가 침투가 방해받을 수 있습니다.
소프트웨어를 유지 관리, 패치 및 업데이트하는 것 외에도 중요한 엔드포인트에 대한 포괄적인 백업 솔루션을 보유하면 사이버 공격이나 사고로부터 복구하는 데 큰 도움이 될 수 있습니다. 스마트폰, 노트북, 서버, 데이터베이스 등 중요한 엔드포인트 장치를 자주 백업해야 합니다. 장치가 손상된 경우 포렌식 정보를 수집하고 가능한 중단을 최소화하면서 장치를 최신 "깨끗한" 복사본으로 쉽게 복원할 수 있습니다.
보안 카메라나 스마트 잠금 장치와 같은 IoT 장치의 백업은 제조업체에 따라 크게 다르며 이러한 장치에는 백업 기능이 없는 경우가 많습니다. 이 경우 손상, 도난 또는 손상된 장치를 교체하기 위해 쉽게 구성할 수 있는 백업 장비를 보유하는 것이 포괄적인 재해 복구 계획의 일부여야 합니다.
컴퓨터부터 카메라까지 모든 장치에 대한 정기적인 백업 일정을 갖는 것은 랜섬웨어 공격을 완화하는 가장 효과적인 방법 중 하나입니다. 중요한 데이터의 최신 백업이 있으면 랜섬웨어의 영향을 받은 엔드포인트를 복원하고 복구하는 것이 훨씬 쉽습니다.
