‘고전(古典)이란 누구나 알지만 아무도 끝까지 읽지 않은
책이다’라는 말이 있다. 기업 보안에서 있어서 기본 보안 수칙이 그런 것이 아닐까. 안티바이러스 제품을 설치하고 최신 엔진으로 업데이트하고 운영
체제의 최신 패치를 적용하는 것이 보안의 시작이자 기본이다. 하지만 사용자들은 이를 간과하기 일쑤여서 보안 관리자들을 힘들게 만든다. 이러한
기본 수칙만 제대로 지켜도 보안 관리자들은 좀 더 나은 보안 관리를 위해 업무 시간을 투자할 수 있고 야근의 굴레로부터 벗어날 수 있을 것이다.
이 글에서는 격무에 시달리는 보안 관리자들의 워라밸을 위한 AhnLab EPP 활용 방안을 소개하고자 한다. 일명 소확행(소소하지만 확실한
행동)에 어떤 것들이 있을지 시작해보자.
AhnLab EPP(Endpoint Protection Platform)는 다양한 보안 기능의 유기적인 연동 및 통합 관리를 위한 엔드포인트
보안 플랫폼이다. 하나의 에이전트를 통해 V3 제품 관리뿐만 아니라 보안 패치를 적용하는 안랩 패치 매니지먼트(AhnLab Patch
Management,이하 APM), 개인 정보가 담긴 파일 현황을 파악하고 처리하는 안랩 프라이버시 매니지먼트(AhnLab Privacy
Management, 이하 APrM), 임직원이 주도적으로 PC 보안을 점검하도록 유도하는 AhnLab ESA(Endpoint Security
Assessment) 기능까지 제공하고 있다.
따라서 EPP 에이전트 설치만으로 엔드포인트 보안의 상당 부분을 커버할 수 있는 기반이 마련되었다고 볼 수 있다.
[그림 1] 단일 에이전트(One Agent)로 효율적인 관리가 가능한 엔드포인트 보안 플랫폼
AhnLab EPP
그렇다면 이 에이전트 설치 하나로 보안 담당자의 워라밸(Work and Life Balance)을
어떻게 지킬 수 있을지 하나씩 확인해보자.
1. V3 설치는 주기별 자동 배포로!
기업의 보안 담당자는 AhnLab EPP의 웹 콘솔에서 PC의 상태나 정보를 확인할 수 있다. 그런데
V3가 설치되지 않은 PC가 있다면 계속 모니터링하면서 직접 배포를 해줘야 할까? 정답은
‘No’이다.
AhnLab EPP를 사용 중인 관리자라면 [그림 2]와 같이 V3 설치 파일을 웹 콘솔을 통해
EPP 서버로 업로드 해두면 설치 주기에 따라 V3 설치 여부를 체크하고 미설치 혹은 하위 버전의
V3가 설치되어 있는 경우 자동으로 배포해준다.
물론 지금 바로 설치를 원한다면 배포 명령을 내려 즉시 설치할 수도 있다.
[그림 2] AhnLab EPP의 V3 제품 자동 배포 기능
[그림 3] AhnLab EPP의 배포 명령을 통한 V3 설치
2. V3 최신 엔진 적용은 주기적인 모니터링과 자동
배포!
V3를 설치했다면 엔진을 최신 버전으로 유지해야 새롭게 추가되는 악성 패턴에 대응할 수 있다.
AhnLab EPP 웹 콘솔의 대시보드는 에이전트에서 서버로 업로드한 정보를 통계 데이터로 갱신하여
보여준다. 여기서 현재 EPP 서버가 보유한 엔진 버전과 에이전트의 실제 엔진 버전을 비교하여 최신
엔진 업데이트율을 보여준다.
이때 V3 최신 버전의 엔진이 적용되지 않은 PC가 있다면 계속 모니터링하면서 직접 적용해야 할까?
정답은 ‘No’이다. EPP 대시보드에서 보여주는 V3 최신 엔진 업데이트율을 바탕으로 최신
업데이트가 적용되지 않은 PC에 대해 업데이트 명령을 전송해 즉각 업데이트할 수 있다.
[그림 4] AhnLab EPP의 V3 엔진 버전 및 업그레이드율 대시보드
[그림 5] AhnLab EPP의 에이전트 수동 업데이트 명령 전송 대시보드
또한 고객사의 관리 정책에 따라 구버전 엔진의 에이전트를 구분하고자 할 경우에는 ‘사용자 정의 가상
그룹’을 별도로 생성할 수 있다. 최근 엔진 업데이트 일자를 기준으로 조건을 두어 원할 때마다 해당
조건에 부합하는 에이전트 리스트를 출력할 수 있다. 이렇게 출력된 에이전트에 일괄 명령을 전달하여
관리할 수 있다.
[그림 6] AhnLab EPP의 사용자 정의 가상 그룹을 이용한 에이전트 관리
3. 악성코드 감염 현황 확인하고 즉시 조치하기!
보안 담당자는 AhnLab EPP 대시보드에서 관리 중인 PC에 악성코드가 유입되어 V3에서 진단한
내역을 확인할 수 있다. 실제 악성코드가 기업 내부로 유입되어 V3가 진단한 내역이 있다면 보안
담당자는 어떻게 해야 할까? 로그가 생성된 에이전트의 감염 정보를 보면 진단된 파일명, 경로, 해시값
등의 내용을 확인할 수 있다. 또 안리포트 수집 명령을 전송하여 분석에 필요한 로그 파일을 자동으로
수집한다. 이 파일과 함께 분석 요청을 하고 추가로 수동 검사 명령을 내려 전체 드라이브에 대한
검사를 실시하는 등 일련의 조치를 수행한다. 에이전트를 통해 전달받은 로그로 빠르고 정확한 후속
조치를 할 수 있다.
[그림 7] 악성코드 감염 현황 대시보드
[그림 8] AhnLab EPP의 탐지된 악성코드에 대한 상세 정보 확인
[그림 9] AhnLab EPP 웹 콘솔을 통한 안리포트 수집 및 악성코드 검사 명령 전송
4. 보안 패치 적용도 정기적인 모니터링과 자동
조치!
최근 SMB 취약점을 이용한 악성코드와 그 변종이 크게 늘어남에 따라 운영체제의 보안 패치 또한 화두로 떠올랐다. EPP 에이전트에 안랩 패치
매니지먼트(AhnLab Patch Management, APM) 라이선스를 애드온(Addon)하면 패치 관리도 동시에 가능해 악성코드에 대해
보다 촘촘한 대응을 할 수 있다.
[그림 10] AhnLab EPP 서버에 탑재된 패치 파일 목록
[그림 11] AhnLab EPP 에이전트에 적용된 패치별 적용 상태 상세 정보
안랩의 자체 패치랩에서 검증한 패치를 EPP 서버에 탑재하면, 해당 패치별로 패치 대상
에이전트의 적용 여부를 확인할 수 있다. 또한 각 에이전트 별로 적용 상태에 대한 상세 정보와 함께 오류 코드를 확인할 수 있어 이를 바탕으로
조치 가이드까지 전달할 수 있다. 또한 패치가 잘 적용되고 있는지는 사용자도 알 수 있도록 별도의 UI를 제공하고 있다.
[그림 12] AhnLab EPP 사용자에게 제공되는 패치 목록 확인 대시보드
5. PC 보안점수 모니터링으로 자기 주도 보안 점검 실현!
엔드포인트 보안을 위해 여러 솔루션을 도입하고 운영, 관리하지만 공용 폴더 사용, 취약한 비밀번호 설정 등 PC 사용자들의 부주의나 보안 지식이
부족한 경우가 있다. AhnLab ESA는 이런 PC 의 취약점을 점검하고 조치까지 한 번에 할 수 있으며, 점검 결과는 점수로 관리자가 확인할
수 있다. 사용자가 점검을 하지 않거나, 점검 후 적절한 조치를 안 했다면 일일이 연락할 필요 없이 중앙에서 검사, 조치 명령까지 일괄 전송할
수 있어 보안 수준 향상에 도움을 준다.
[그림 13] AhnLab EPP의 PC 보안 점검 정보 대시보드
[그림 14] AhnLab EPP의 PC 보안 점검 결과 현황 대시보드
[그림 15] AhnLab ESA의 직관적인 사용자 화면(에이전트)
EPP 에이전트 설치 하나로 엔드포인트 보안을 강화하고 보다 쉽게 관리하는 방법을 보았다.
저녁이 있는 삶을 원한다면 주저하지 말고 지금부터 에이전트를 설치해보자. 보안은 결국 기본으로 시작해서 기본으로 마무리된다.
[출처 : 안랩(((www.ahnlab.com)]
