실시간 랜섬웨어 차단 솔루션 Sophos Central Intercept X

실시간 랜섬웨어 차단 솔루션 Sophos Central Intercept X

글로벌 사이버 보안기업 ExtraHop에서 발표한 Cyber Confidence Index 2022에 따르면, 조사에 참여한 기업 중 무려 85%가 지난 5년간 랜섬웨어 사고를 경험했으며, 그 중 72%의 기업은 해커에게 몸값을 지불했고, 42%는 해커가 요구한 몸값을 모두 지불했다고 합니다. 국내에도 과거 랜섬웨어 공격 때문에 자사 서버는 물론 백업 서버까지 암호화됐고, 복구를 거액의 몸값을 지불했으나 암호화된 데이터가 완전히 복구되지 못한 안타까운 사례도 있었죠.(시사IN, ‘인터넷 나야나’ 사태가 남긴 것



사내 데이터를 암호화해서 시스템을 마비시키고, 이를 빌미로 거액을 요구하는 랜섬웨어는 복구를 위한 몸값도 부담이지만, 해커에게 비용을 지불하고 복호화 키를 받는다 할 지라도 암호화된 데이터가 100% 복구된다는 보장이 없습니다. 그렇기 때문에 랜섬웨어에 대해 이렇게나 걱정을 하고 있는 것이 아닐까 싶은데요. 그럼, 국내 현황은 어떨까요?




<이미지 출처 : IT Daily, 올해 1월 랜섬웨어 피해 신고 3.8배 급증…과기정통부 주의보 발령>



한국인터넷진흥원(KISA)에서 올해 2월에 발표한 자료에 따르면, 위와 같이 랜섬웨어 해킹 피해 신고 건수가 매년 급증하고 있으며, 특히 올해 1월에는 한달 동안에만 19건이 신고되어 최근 3년 간 같은 기간 평균 수치인 5건이 비해 4배 가까이 증가했습니다. KISA에 공식적으로 신고된 건 수가 이정도이니, 신고되지 않은 건들까지 합하면 국내 기업들의 랜섬웨어 피해는 더욱 많을 것으로 예상해도 크게 무리는 없을 것입니다.


글로벌 뿐만 아니라 국내에도 이러한 랜섬웨어와 같은 멀웨어 공격이 급증하고 있는 가장 큰 요인은 코로나19에 따른 원격근무 증가로 인한 보안 취약점 증가입니다. 회사 사무실보다 상대적으로 보안 환경이 취약할 수밖에 없는 집에서 업무를 하는 직장인들이 폭발적으로 증가하면서, 기업은 늘어난 보안 구멍을 메우기 위한 방안 마련에 어려움을 겪고 있고 이 현상은 여전히 현재 진행 중입니다. 원격 근무자를 대상으로 해커들이 가장 즐겨 쓰는 공격 방법은 피싱 이메일(70%), 이메일 첨부파일(54%), 악성코드가 담긴 웹사이트 방문 유도(41%)라는 연구 결과도 있고요.



그렇다면, 이러한 랜섬웨어와 같은 사이버 공격은 어떻게 대비해야 할까요? 이번 콘텐츠에서는 랜섬웨어와 같은 악성 멀웨어를 통한 사이버 공격으로부터 사용자 PC의 데이터, 나아가 기업의 시스템과 데이터를 보호할 수 있는 사전 예방 격인 보안 솔루션을 소개해 드리고자 합니다.


지난 2주일동안 AV TEST에서 만점을 획득한 글로벌 보안기업 Sophos의 차세대 백신인 Sophos Intercept X를 사용해 봤고, Sophos Intercept X를 활용한 컴퓨터의 랜섬웨어 차단 테스트도 진행해봤습니다. 직접 실험해본 결과를 토대로 오늘은 Sophos Intercept X가 어떻게 랜섬웨어/멀웨어를 차단하는지 보여드리고, Sophos가 가지고 있는 다양한 보안 솔루션들을 소개한 뒤 IT 관리자가 어떻게 Sophos의 보안 솔루션들을 활용해 사내 임직원들의 PC를 보호할 수 있는지를 자세히 다뤄보겠습니다. 아젠다는 아래와 같습니다.




 아젠다

 1. Sophos Intercept X로 멀웨어 차단하기

 2. 글로벌 보안 기업, Sophos 및 제품 소개

 3. 리뷰 : Sophos 보안 솔루션을 활용해 사내 보안을 안전하게 관리하는 방법

 4. 결론

  • 아젠다 별 링크를 클릭하면 해당 내용의 첫 부분으로 이동합니다.

  • 마우스의 뒤로가기 버튼을 클릭하면 다시 아젠다로 돌아옵니다



더불어 이번 콘텐츠의 내용을 아래의 영상으로도 확인하실 수 있습니다.






이 콘텐츠는 Sophos의 국내 총판인 다우데이타의 지원으로 제작되었습니다.








1. Sophos Intercept X로 멀웨어 차단하기


먼저, Sophos Intercept X가 제대로 잘 작동하는지 테스트를 해볼까요? 악성코드 파일을 PC에 다운로드했을 때 Sophos Intercept X가 잘 검출하고 조치하는지 알아보겠습니다.






 

Sophos Intercept X가 설치된 PC에 멀웨어가 담긴 각종 파일을 다운로드해봤습니다만, 위와 같이 다운로드가 되지 않습니다. 바이러스가 감지되었다며 Sophos에서 다운로드 자체를 차단했는데요. 실제 Sophos Intercept X 에이전트에서는 어떻게 탐지했는지 볼까요?





위와 같이 에이전트를 실행하고 이벤트 탭으로 이동해보면 실제 Sophos Intercept X에서 어떤 활동을 했는지 확인할 수 있습니다. 멀웨어가 담긴 eicar_com.zip을 다운로드할때마다 위험을 감지하고 정리한 것을 알 수 있습니다.






에이전트의 이벤트 우측에 있는 감지 탭으로 이동해보면 이 PC에서 멀웨어(악성코드)가 감지되었다는 메시지를 확인할 수 있습니다. 총 6번의 PUA(Potentially Unwanted Application, 잠재적 위협을 가지고 있는 애플리케이션)를 감지했고, 이 위협을 제거했음을 확인할 수 있고요. 실제 Sophos Intercept X에서 멀웨어를 감지하고 처리하는 과정, Sophos Intercept X가 동작하는 과정을 캡쳐한 영상은 아래 Youtube 화면에서 확인하실 수 있습니다.





아무튼 이 PC는 위협이 감지되었으나 현재는 해결된 상태입니다만, 한번 멀웨어가 침투했던 PC이기 때문에 다시 위협을 받을 가능성이 있습니다. 일단 PC의 상태가 지금은 괜찮다 할지라도 말이죠. 그래서 Sophos Intercept X를 관리할 수 있는 플랫폼인 Sophos Central Portal Portal에서 이 위협을 좀 더 면밀히 분석해 볼 필요가 있습니다. Sophos Central Portal로 가봅시다.






Sophos Central Portal 대시보드 첫 화면입니다. 높음 수준의 경고가 1개 발생한 것을 확인할 수 있는데요. 어떤 위협이 있었는지 분석하기 위해 대시보드 아래에 있는 '위협 분석 센터'를 클릭합시다.






'위협 분석 센터'의 대시보드 우측에 있는 '가장 최근의 위협 그래프' 부분에 방금 에이전트에서 확인했던 위협을 확인할 수 있습니다. 이름과 사용자, 장치 항목이 파란색으로 표시되는데 링크가 걸려있다는 의미이고요. 상세 정보 확인을 위해 클릭해 봅시다.







그럼 위와 같이 해당 악성코드에 대한 상세한 정보를 확인할 수 있습니다. 위협을 내포한, 멀웨어를 가진 파일이 어느 장치(PC)에 있고, 문제를 일으킬 가능성이 있는 파일은 무엇인지 파악해서 알려줍니다. 앞의 스크린샷을 유심히 보신 분들은 눈치채셨겠지만, 애초에 테스트를 위해 다운로드받은 파일명의 확장자는 .zip이었습니다. 압축파일이었죠. 그런데 실제 위협을 일키려는 파일은 explorer.exe인 실행파일입니다. 사용자가 압축을 풀고 이 파일을 실행하면 악성코드가 PC를 공격하겠죠. Sophos Intercept X가 압축파일 안에 있는 내용물에서 위협을 감지했다는 것을 알 수 있습니다.



그리고 이 파일이 만약 실행됐다면 PC에 설치된 총 28개의 프로세스에 영향을 줄 수 있었음을 이 화면에서 확인할 수 있습니다. 만약 보안 전문가라면 이 화면에서 보여주는 정보를 바탕으로 악성코드의 위협을 보다 면밀히 분석할 수 있을 것입니다.






그리고 위협 그래프에서 악성코드가 담긴 파일을 클릭할 경우, 유입경로 뿐만 아니라 다양한 정보를 확인할 수 있는데요. 위 이미지의 오른쪽과 같이 해당 파일의 프로세스 세부 정보와 함께 Sophos의 AI 엔진이 분석한, 기존에 알려진 정보와 비교해 위험도가 어느정도 되는지에 대한 분석 결과도 확인할 수 있고요. 이러한 정보들을 활용해 내부 보안 현황 점검 및 감사 보고에 사용하면 좋습니다. 경영진에게 보고할 때 활용할 수 있겠죠?


물론 일반 IT 관리자라면 이러한 정보까지 유심히 들여다보지는 않겠지만, Sophos Intercept X가 멀웨어를 그냥 감지하는게 아니라는 것을 알려주기 때문에 보안 솔루션의 신뢰도를 높여주는 효과는 확실히 있는 것 같습니다.





IT 관리자의 주요 업무 중 보안 업무가 꽤 중요한 비중을 차지하고 있다면, 아마 정기 보안 리포트가 필요할 것입니다. 만약 사내에 심각한 피해를 입힌 멀웨어 공격이 발생했다면 앞서 보여드린 '위협 분석 센터'에서 제공하는 자료가 필요하겠지만, 정기적인 보안 현황 리포트 혹은 사내 보안 사고에 대한 감사 자료를 만들어야 한다면 위와 같은 상세 보안 현황 리포트가 필요합니다.


이러한 형태의 리포트는 Sophos Central Portal 메뉴 중 '로그 및 보고서'에서 추출할 수 있습니다. PDF 뿐만 아니라 다양한 형태로 리포트용 자료를 얻을 수 있고요. 위 이미지는 Sophos 총판 다우데이타에서 제공받은 자료의 일부입니다. 저희가 테스트한 PC는 고작 1대 뿐이라 Sophos Central Portal에서 출력할 수 있는 리포트 내용이 빈약했기 때문에, Sophos Central Portal에서 어떤 형태의 보고서가 제공되는지 보여드리기 위해 샘플 데이터를 요청했습니다. 기본적으로 PC에서 발생한 위협 이벤트에 대한 내용을 일목요연하게 리스트 형태로 정리해서 보여준다고 보시면 되겠습니다.






다시 PC로 돌아와서 Sophos Intercept X 에이전트를 실행하면 '상태' 화면이 위와 같이 나타납니다. 이 PC이 잠재된 위협을 해결하긴 했지만 여전히 PC의 상태는 그렇지 않아보이기 때문에 PC 사용자는 찜찜할 수 있죠. 물론 이는 아직 IT 관리자가 해당 PC의 문제를 아직 완전히 해결하지 않았다는 의미로 받아들여도 됩니다. 아무튼, 에이전트의 상태를 문제 없는 정상적인 상태로 되돌리기 위해, 다시 Sophos Central Portal로 가봅시다.






Sophos Central Portal의 왼쪽 메뉴 중 '대시보드' 바로 아래에 있는 '경고' 메뉴를 클릭하면 Sophos Intercept X에서 감지한 경고를 확인할 수 있고요. 이 경고, 위협은 이미 해결되었기 때문에 '해결됨으로 표시'를 클릭해 상태를 정상으로 되돌립니다. 단, 이 조치는 반드시 해당 위협이 완전히 제거된 이후에 실행해야 함을 잊지말아주세요. 이제 PC로 돌아가 Sophos Intercept X 에이전트를 실행해 봅시다.






그럼 위와 같이 Sophos Intercept X의 에이전트 상태 화면이 정상적으로 보호되고 있다는 것을 확인할 수 있습니다. 이 화면이 나타나야 PC의 사용자는 비로소 안심하고 PC를 사용할 수 있겠죠? 자동으로 PC에서 위협이 제거된 이후 위와 같이 정상 화면으로 돌려주면 좋겠지만, 그럼 IT 관리자가 잠재된 위협이 무엇이었는지 파악하지 않고 그냥 넘어갈 수도 있기 때문에 조금 귀찮더라도 Sophos에서는 이러한 프로세스를 고집하는 것이 아닐까 싶습니다.



이 프로세스가 의미하는 바는, IT관리자 뿐만 아니라 PC의 사용자 모두에게 위협이 있었음을 확실히 인지시키는 것이 아닐까 합니다. 내 PC에서 문제가 있었고 Sophos Intercept X가 해결은 했지만, 관리자와 사용자가 이제는 확실히 문제가 없다는 것을 확실히 인지시킬 수 있고요. 이후에 IT 관리자가 사용자 PC에 설치된 Sophos Intercept X 에이전트의 상태를 정상으로 되돌림으로써, 사내 IT 관리자 및 일반 사용자들에게 보안에 대한 경각심을 일깨워줄 수 있는 조치라고 생각됩니다.


여기까지 Sophos Intercept X로 랜섬웨어를 차단하는 과정을 보여드렸고요. 이제 Sophos 회사에 대해 좀 더 자세히 알아볼까요?







2. 글로벌 보안 기업, Sophos 및 솔루션 소개



 1) Sophos 기업 개요


 



IT 솔루션 벤더를 소개할 때 가장 효과적인 것은 아마도 Gartner Magic Quadrant 보고서가 아닐까 싶습니다. 이 보고서의 우측 상단, 리더 부문에 속한 기업이라면, 해당 분야의 전문기업이라고 전세계적으로 인정받았다고 봐도 되니까요. 2021년 5월에 발표된 가장 최근의 EPP(Endpoint Protection Platforms)분야 리더 부문에서 확인할 수 있는 Sophos는 13년 연속으로 리더에 등재되었다고 합니다. 국내에 많이 알려진 Endpoint Protection 보안 기업인 Trend Micro, McAfee도 리더에 있고요. 그 외에 ESET, Bitdefender, Fortinet, Cisco, 이제는 Broadcom에 인수된 Symantec, Kaspersky보다 더 좋은 평가를 받고 있는 기업이 Sophos입니다.





그리고 Sophos는 Endpoint Protection 분야의 가장 권위있는 기관이라고 할 수 있는 AV TEST에서 실시한 가장 최근의 기업 사용자용 AV 소프트웨어 성능 테스트에서 Windows, Mac OS 양쪽에서 모두 6.0 만점을 받았습니다. Sophos가 성능, 즉 멀웨어 탐지 및 예방 능력에 있어서는 충분히 신뢰할만 하다고 봐도 되겠죠?



Gartner Magic Quadrant EPP 부문 13년 연속 리더, AV TEST 기업 사용자용 성능 테스트 만점을 기록한 Sophos는 1985년 영국 옥스포드에서 설립된 Sophos는 현재 150개국에서 1억명 이상의 사용자, 500,000개 이상의 고객사를 가지고 있습니다. 그리고 여타 다른 보안 기업들과 마찬가지로 다양한 분야의 보안 솔루션을 제공하고 있는데요. 어떠한 솔루션들을 제공하고 있는지 간단히 짚고 넘어가겠습니다.



 




 2) Sophos 솔루션 소개



Sophos가 제공하는 보안 솔루션은 크게 Endpoint, Network, Cloud, Email 4개 분야로 나뉩니다. 각 분야에 속한 제품 라인업은 위와 같고요. 저희가 체험해 본 솔루션은 Endpoint(XDR)과 중앙 관제 플랫폼, Sophos Central Portal이며, 이 솔루션의 정식 명칭은 Sophos Central Intercept X입니다.



<이미지 출처 : Gartner Peer Insights, Endpoint Protection Platforms Reviews and Ratings>


<이미지 출처 : G2.com, Best Endpoint Protection Suites>


기업의 IT 담당자들은 Sophos Intercept X를 어떻게 평가하고 있을까요? 실제 사용자 평가지표를 제공하는 Gartner Peer Insights에서 Sophos Intercept X는 5점 만점에 4.8점의 높은 점수를 얻었습니다. 그리고 글로벌 소프트웨어 리뷰 사이트 중 가장 규모가 크고 유명한 곳인 G2.com에서도 Sophos Intercept X를 가장 훌륭한 상위 10개 Endpoint Protection으로 선정했으며, 사용자 평점은 5점 만점에 4.4점을 기록하고 있습니다. 이정도면 Sophos Intercept X가 유명 기관 뿐만 아니라 실제 사용자들에게도 좋은 평가를 받고 있다고 봐도 되겠죠?


그렇다면 Sophos Intercept X의 어떤 부분이 뛰어나서 이렇게 높은 평가를 받은 것인지 궁금해 하실 것 같습니다. 여러 요인이 있겠지만 간단히 정리하면 아래와 같습니다.

  • 다계층 방어 : 기존의 알려진 위협 + Deep Learning을 활용한 알려지지 않은 악성파일 탐지, 별도의 안티 랜섬웨어 엔진 탑재 + 파일리스 및 스크립트 기반 취약점 공격 차단

  • XDR : eXtended Detection and Response, 기존의 Endpoint와 Server로 한정된 EDR의 한계를 뛰어넘어 Network, Email, Mobile, Cloud까지 방어

  • MDR : Managed Detection and Response, 기존 EDR이 사용하기 어렵고 전문인력이 필요해 관련 비용이 많이 드는데에 반해, Sophos는 MTR(Managed Threat Response라는, Sophos의 24시간 위협 대응 전문가 팀이 기업의 보안을 관제하고 조치해 주는 서비스 제공


위 3가지 내용에 대해서는 더 할 이야기가 많긴 하지만, 이번 콘텐츠의 핵심 주제는 Sophos 소개라기 보다는 Sophos 솔루션 리뷰입니다. 콘텐츠 초반에 실제 랜섬웨어와 같은 멀웨어를 Sophos가 어떻게 차단하는지 보여드렸는데요. 지금부터는 IT 관리자가 기업 내 사용자들의 보안을 어떤식으로 관리할 수 있는지를 보여드리겠습니다.






3. 리뷰 : Sophos 보안 솔루션을 활용해 사내 보안을 안전하게 관리하는 방법



 1) Sophos Intercept X 보안 솔루션 설치





앞서 소개한 Sophos의 Endpoint Protection 솔루션 Intercept X를 테스트하기 위해서는 먼저 Sophos의 솔루션들을 한 곳에서 관리할 수 있도록 도와주는 포털인 Sophos Central Portal에 접속해야 합니다. SaaS 형태로 제공되는 Sophos Central Portal은 모든 Sophos의 보안 솔루션들을 하나의 화면에서 통합 관리할 수 있도록 도와주는 플랫폼이라고 말씀드렸죠? 그럼, Sophos 솔루션을 설치하기 위해 Sophos Central Portal에 접속해 봅시다.






https://central.sophos.com으로 접속하면 위와 같은 로그인 화면이 반깁니다. 접속하기 위해서는 먼저 계정을 만들어야겠죠? 로그인 창 아래에 있는 'Sophos ID 만들기'를 클릭합니다.





Sophos Central Portal 계정 생성 과정에서 2차 인증 코드를 추가합니다. 2차 인증 수단은 Google Authenticator와 SMS를 지원하고요. Sophos의 모든 솔루션을 관리할 수 있는 관리자 계정이니만큼 보안을 철저히 해야겠죠? 보안 코드를 생성하고 계정을 생성한 뒤 로그인합니다.






Sophos Central Portal에 로그인하면 가장 먼저 보게되는 대시보드 화면입니다. Sophos 보안 솔루션들의 활동 내역, 현재 우리 회사 인프라의 보안 현황을 요약해서 보여주는 화면이라고 보시면 되고요. 아직은 아무런 보안 솔루션을 설치하지 않았기 때문에 대시보드에도 데이터가 없습니다. 그럼, Sophos Intercept X를 설치해 볼까요?






Sophos Central Portal 왼쪽의 메뉴 중 아래쪽에 '장치 보호'라는 하위 메뉴가 있습니다. 클릭하면 위와 같이 어떤 장치를 보호할 것인지에 따라 다른 에이전트가 나타나는데요. 왼쪽이 PC(Windows, MacOS) 보안, 오른쪽이 모바일기기 보안을 위한 에이전트입니다. Windows Installer를 다운받아봅시다.







Windows Installer를 클릭하면 위와 같이 설치 옵션이 나옵니다. Endpoint Protection 솔루션인 Sophos Intercept X Advanced with XDR(eXpanded Detect and Response)를 선택하고 우측 하단의 '다운로드 설치 관리자'를 클릭합니다.






Sophos Intercept X의 Windows OS용 에이전트가 생성되었습니다. 파일 용량은 겨우 1.9MB 정도라 사내 임직원들에게 이메일 첨부파일로 배포하거나 게시판에 공지글을 올려 첨부파일로 올려두기 좋습니다. 하지만 실제 설치 용량이 1.9MB는 아니고요. 인터넷 연결 후 필요한 패키지들을 다운로드해서 설치하는 형태입니다. 에이전트 파일을 더블클릭 해 봅시다.





Endpoint Protection 설치 프로그램이 실행되었습니다. 그런데 설치가 바로 시작되지는 않고 뜬금 없이 '설치 전 검사'라는 프로세스가 실행됩니다. 다행히 그렇게 오래 걸리지는 않았고요.





검사가 끝나자 경고 메시지가 나타납니다. 컴퓨터를 다시 시작할 것을 권장한다는군요. 어차피 상단에 있는 '이 경고에 대한 자세한 내용'을 확인한다고 해서 설치가 계속 진행되는 것도 아닙니다. 그러므로 굳이 메시지 확인은 하지 말고 바로 우측 하단의 '계속' 버튼을 클릭합시다. 행여나 설치 과정에서 오류가 발생할 지도 모르니, 안정적으로 패키지를 설치하기 위해 Windows 재시작을 권장하는 것으로 이해하시면 됩니다. 물론, 이러한 메시지 없이 바로 설치가 진행될 수도 있습니다.






설치 전 검사에서 이상이 없거나, 아니면 재부팅 후 다시 에이전트 설치 파일을 실행한 뒤 설치 전 검사를 통과하면 위와 같은 화면을 볼 수 있습니다. 설치하는 데 10분 정도 걸리며 취소할 수 없다고 하는군요. PC 전원을 꺼버리면 종료가 되겠지만 굳이 그렇게 할 이유는 없겠죠? 우측 하단의 '설치'버튼을 클릭합시다.





앞서 말씀드렸듯이 1.9MB의 에이전트 파일을 실행해 설치를 진행하면 위와 같이 설치 패키지를 다운로드합니다. 즉, Sophos Endpoint Protection Intercept X Advanced with XDR을 설치하기 위해서는 반드시 인터넷에 연결되어 있어야 한다는 것입니다.





설치가 완료되면 위와 같은 화면을 볼 수 있습니다. '귀하는 보호받고 있습니다.'라는 메시지가 다소 투박한데, 영어를 그대로 직역한 것이 아닐까 싶습니다. 우측 하단의 '마침' 아이콘을 클릭해서 설치 프로그램을 종료하고, Sophos Intercept X 에이전트를 실행해 봅시다.





설치된 에이전트를 실행하면 위와 같이 '컴퓨터가 보호되고 있습니다.'라는 메시지를 볼 수 있습니다. Windows에 기본적으로 설치되어 있는 Windows Defender나 다른 여타 AV 소프트웨어와 마찬가지로, Sophos Intercept X 역시 OS 프로세스 상에 항시 상주하며 PC의 위협을 실시간으로 감지합니다. 만약 수동 정밀 검사가 필요하다면 우측의 '스캔'버튼을 클릭해 직접 PC를 검사할 수도 있습니다만, 저는 실행하지 않았습니다. Sophos Intercept X을 설치한 PC가 Windows 10을 설치한 후 다른 소프트웨어는 전혀 설치하지 않은 순정 상태였거든요.



만약 Sophos Intercept X을 PC에 설치하기 전에 악성코드 파일이 PC에 있는 상태라면 Sophos Intercept X 에이전트가 실행됐을 때 이 악성코드 파일을 잡아내지 못할 것입니다. 사용자가 악성코드가 담긴 파일을 실행하면 그 때서야 잡아내겠죠? 따라서, 이미 오랫동안 사용한 PC에 Sophos Intercept X 에이전트를 설치했다면 수동 검사인 '스캔'버튼을 클릭해서 PC에 저장된 파일들을 전수검사 해 볼 것을 권장합니다. 이렇게 하면 악성코드가 담긴 파일이 실행되지 않더라도 Sophos에서 잡아낼 것이니까요.



지금까지 Sophos Intercept X의 설치 과정을 보여드렸고요. 이제 IT 관리자가 어떤식으로 Sophos Intercept X 에이전트가 설치된 PC를 관리할 수 있는지를 보여드리겠습니다.








 2) Sophos Central Portal에서 Endpoint Protection 정책 관리하기






다시 Sophos Central Portal로 돌아왔습니다. 화면이 조금 바뀐 것을 눈치 채셨나요? 어디가 달라졌는지 처음 Sophos Central Portal에 접속했을때와 비교해서 보여드리겠습니다.





이제 어디가 달라졌는지 아시겠죠? 왼쪽은 Sophos Central Portal 대시보드에 처음 접속했을 때의 모습이고, 우측은 Sophos Intercept X 에이전트 설치 후 Sophos Central Portal 대시보드에 접속한 모습입니다. 아래쪽의 '장치 및 사용자: 요약' 화면이 바뀐 것을 알 수 있습니다. 방금 PC 1대에 에이전트를 설치했기 때문에 활성화된 장치에 1이라는 표시가 생겼습니다. 에이전트 설치가 제대로 되었음을 Sophos Centreal 대시보드에서 확인할 수 있다는 것입니다.



만약 다수의 사내 PC에 에이전트 파일을 배포했다면, 여기서 실제 설치된, 활성화된 PC 수를 확인할 수 있겠죠? 당연히 설치하고 Endpoint Protection의 보호 기능을 꺼놓거나, 뭔가 문제가 있는 PC의 수도 확인할 수 있습니다. 






이제 설치된 Endpoint Protection의 보호 정책을 관리해 봅시다. 그러기 위해서는 Sophos Central Portal 왼쪽 메뉴의 아래쪽에 있는 '나의 제품' 카테고리 하단에 나열된 'Endpoint Protection'을 클릭해야 합니다. 그 아래에 'Server Protection, 모바일, Encryption, Email Security, 방화벽 관리'가 있는 것을 토대로 생각해보면, Sophos Central Portal에서 Sophos의 모든 보안 솔루션들을 통합 관리할 수 있음을 알 수 있습니다.






Sophos Central Portal에서 'Endpoint Protection'을 선택하면, 위와 같이 Endpoint Protection 대시보드로 진입하게 됩니다. 마찬가지로 여기서도 위와 같이 활성화된 PC의 현황을 확인할 수 있고요. 아직 PC에서 어떠한 위협도 발견하지 못했음을 알 수 있습니다. 대시보드 아래에 있는 '구성' 메뉴의 '정책'을 클릭해 봅시다.





그럼 위와 같이 기본적으로 적용된 정책들을 확인할 수 있습니다. '위협 방지', '주변 기기 제어', '응용 프로그램 제어', '데이터 손실 방지'라는 기본 정책들을 볼 수 있고요. 각각의 기본 정책들은 상위 그룹 개념으로 보시면 되고, 이 그룹을 클릭하면 세부적으로 어떤 정책들이 적용되어 있는지 확인할 수 있습니다. 가장 위에 있는 '기본 정책 - 위협 방지'를 클릭해 봅시다.






'기본 정책 - 위협 방지'에 적용된 세부 정책들이 이렇게나 많습니다. 적용할 수 있는 정책이 많다는 것은 그만큼 촘촘하게 PC의 보안 환경을 구성할 수 있다는 의미이기도 하죠. 여기서 기본적으로 적용된 정책들의 세부 내용을 수정할 수 있습니다.


그런데, 보통은 이 정책들만으로 기본적인 PC의 보안 관리가 가능합니다만 Sophos Intercept X의 보안 정책이 너무 강력해서 이상한 파일 혹은 프로그램이 아님에도 불구하고 문제가 있는 것으로 식별할 수도 있습니다. 만약 회사에서 사용하는 소프트웨어의 보안성이 떨어지거나 업계 표준을 준수하지 않은 상태로 개발됐다면, 이러한 소프트웨어는 Sophos Intercept-X와 같은 보안 솔루션이 자동으로 차단을 할 수도 있습니다. 이렇게 되면 Sophos 때문에 업무적으로 사용하는 자체 프로그램을 실행하지 못하게 되죠. 이것을 해결하기 위해 필요한 것이 예외 정책을 추가로 생성하는 것입니다. 다시 이전 화면으로 돌아가 봅시다.





조금 전에 봤었던 Endpoint Protection - 정책의 초기 화면입니다. 우측 상단의 '정책 추가' 버튼을 클릭해 봅시다.





그럼 위와 같이 팝업으로 '정책 추가' 화면이 나타납니다. 안내에 따라 만들려는 정책의 기능 유형을 선택해 봅시다. '응용 프로그램 제어'부터 '웹 제어'까지 총 7개의 유형을 제공하고요. '위협 방지' 정책을 만들어 보겠습니다. 왼쪽의 드롭다운 메뉴에서 '위협 방지' 선택 후 우측 하단의 '계속' 버튼을 클릭합시다.





새로운 정책 만들기 화면이 나타났습니다. 가장 먼저 상단에 있는 '정책 이름'을 넣고요. 그 다음 이 정책을 적용할 사용자를 선택하고, 그 사용자를 할당하면 됩니다.





저는 정책 이름은 'test 정책'으로 했고요. 에이전트가 설치된 PC를 '할당된 사용자' 영역으로 옮겼습니다. 이제 본격적으로 적용할 정책을 만들어 봅시다. 우측 상단에 있는 '저장' 버튼을 클릭하면 되고요. 만들 정책은 특정 파일을 예외 처리하는 정책입니다.





예외 처리 정책의 경우 위와 같이 '제외 추가' 기능을 통해 설정할 수 있습니다. 드롭다운 메뉴로 제공되는 기능들이 상당히 많죠? 이 기능들에 해당하는 것들은 Sophos Intercept X에서 검출하고 조치하지 않는다고 보시면 됩니다. 이 정책을 통해 사내에서 활용하는 특정 애플리케이션을 예외처리할 수 있고요. DLP나 DRM같은 보안 애플리케이션도 문제 없이 사용할 수 있습니다.



여기까지 Sophos Central Portal에서 간단히 보안 정책을 적용할 사용자를 할당하고 새로운 정책을 만드는 과정을 보여드렸습니다. 기업마다 각기 다른 내부 보안 규정, 그리고 자체 개발해서 사용하는 프로그램도 있을 것이기 때문에 기본적으로 Sophos Intercept X에서 제공하는 정책에서 몇 가지 예외 처리 정책만 추가한다면 손쉽게 사내 임직원들의 PC를 안전하게 보호할 수 있습니다.








 4) Sophos Intercept X 제거하기


 

일반적으로 PC에 설치된 보안 솔루션, 보안 에이전트를 사용자가 임의로 삭제할 수 없습니다. 저 역시 과거 10여년전에 PC에 설치된 Symantec Endpoint 에이전트가 모든 Office 파일을 저장할 때 마다 검사하는 바람에 PC 사용성이 너무 떨어져서 지우려고 했었던 경험이 있는데요. 그 때도 지우지 못해서 Windows를 포맷하고 재설치하지 않았던 기억이 납니다. 지금은 이렇게 하면 바로 악성코드에 감염될 가능성이 매우 높기 때문에 절대 하면 안됩니다. 그리고 보안 에이전트 역시 매우 가벼워져서 예전 처럼 업무에 방해되지도 않고요.






그럼에도 불구하고 PC 사용자의 특수한 상황때문에 Sophos Intercept X을 삭제해야 한다면 어떻게 해야 할까요? Windows의 제어판에 있는 '앱 및 기능' 메뉴에서 위와 같이 Sophos Endpoint Agent를 찾을 수 있고요. '제거'버튼을 클릭해 봅시다.






그럼 위와 같이 메시지가 나타나면서 제거되지 않습니다. 하지만 팝업창에 어떻게 제거할 수 있는지 안내 메시지가 나타나는데요. '변조 방지를 사용 안 함으로 설정'해야 한다고 합니다. 당연히 이 조치는 사용자는 할 수 없고 IT 관리자만 할 수 있습니다. Sophos Central Portal로 이동해 봅시다.






Sophos Central Portal 왼쪽 메뉴 중간에 보면 '전역설정'이라는 메뉴가 있습니다. 이 메뉴를 클릭하면 위와 같은 화면이 나타나고요. 여기서 아래쪽에 있는 '일반'의 하위 메뉴 중 '변조 방지'를 클릭합니다.





그럼 위와 같이 변조 방지가 활성화되어 있는 것을 확인할 수 있고요. 토글 스위치를 클릭해 변조 방지 기능을 꺼봅시다.



위와 같이 '변조 방지' 기능이 꺼지면 노란색 경고 메시지가 나타납니다. 당연히 Sophos와 같은 보안 솔루션 벤더 입장에서는 이 기능을 끄지 않을 것을 권장하겠죠. 사용자 PC를 보호할 수 없을 테니까요. 하지만 특수한 상황으로 인해 제거할 수 있는 기능 자체는 관리자만의 고유 권한으로 제공하는 것이 마땅하고, Sophos Intercept X 에이전트 역시 이와 같은 방법으로 사용자 PC에서 제거할 수 있습니다.


관리자가 이렇게 조치한 뒤에 사용자에게 알려주면, 사용자는 다시 앞에서 보셨던 제어판 -> 앱 및 기능 메뉴로 이동해 Sophos Endpoint Agent를 찾아 제거하면 됩니다.







4. 결론 : 안전한 사내 업무 환경 구축의 첫걸음, 보안 에이전트 설치부터 시작해 보세요.



지금까지 지난 2주간 Sophos Intercept X를 사용자 PC에 설치하고, 멀웨어가 담긴 파일을 내려받아 Sophos Intercept X가 제대로 검출하고 조치하는지 테스트한 결과를 소개해 드렸습니다. 국내외 많은 보안 솔루션 벤더들이 있고 그들의 솔루션들과 직접적인 비교를 해본 것은 아니기 때문에 주관적인 시각으로 내용을 정리했지만 아예 객관성이 결여된 것은 아니라고 생각하는데요.





 

그 이유는, Sophos Intercept X의 성능에 대한 객관성을 위와 같은 유수의 기관에서 검증했기 때문입니다. 많은 전문 기관에서 검증한 지표가 있기 때문에 Sophos Intercept X이 국내외 유명 보안 벤더들의 솔루션과 비교해서 충분히 괜찮은 솔루션이라는 것은 더 강조하지 않아도 될 것 같고요.


그리고, PC 보안 솔루션의 경우 방화벽과 더불어 기업의 필수 보안 솔루션으로 생각해도 지나치지 않을 것입니다. 하지만 그럼에도 불구하고 여전히 별도의 PC 보안 솔루션을 사용하지 않는 기업들도 있을텐데요. 저는 두 가지 이유라고 생각합니다. 하나는 Windows에 기본 탑재된 Windows Defender라는 매우 강력한 Endpoint Protection이 있다라는 것, 그리고 두 번째는 아직까지 한번도 보안 사고를 경험해 보지 않았다는 것입니다.





Sophos 기업 소개 부분에서 보여드렸던 Gartner Magic Quadrant 보고서를 다시 가져왔습니다. 리더 부분의 가장 높은곳에 Microsoft가 있는데요. 그만큼 Windows Defender의 성능이 뛰어나다는 것으로 받아들여도 큰 무리는 없을 것입니다. 그런데 이렇게 강력한 Windows Defender이지만 사용자가 Windows 보안 메뉴에서 임의로 기능을 끌 수 있다는 것은 IT 관리자 입장에서는 반드시 짚고 넘어가야 할 문제입니다.




<Google에서 'Windows Defender 끄기'로 검색한 결과, Windows Defender를 끄려는 수요가 많다는 것을 알 수 있음>



사용자가 인터넷에서 특정 파일을 내려받고 싶은데(특히 Microsoft Office나 Adobe Creative Cloud 등 다양한 업무용 애플리케이션 크랙 파일), Windows Defender의 실시간 보호 기능이 활성화된 상태라면 이 파일을들 다운받고 압축을 푸는 순간 Windows Defender가 잡아내어 삭제해 버립니다. 그래서 사용자는 일부러 Windows Defender의 실시간 보호 기능을 꺼버린 다음 파일을 다운받고 실행하게 되는데요. 이렇게 되면 해커가 심어둔 멀웨어에 공격을 받게 됩니다.



물론 Windows Server와 AD로 에이전트 PC를 관리하는 기업이라면 그룹 정책을 사용해 Windows Defender의 기능을 비활성화할 수 없도록 조치할 수도 있습니다만, 그렇지 않은 기업이라면 위와 같이 상황이 발생할 가능성이 있음을 염두에 두어야 합니다. 따라서 Sophos Intercept X와 같은 별도의 보안 벤더의 솔루션이 필요하다고 볼 수 있고요.



앞서 보셨듯이 Sophos Endpoint Agent는 사용자가 임의로 삭제할 수 없습니다. 물론 Sophos와 같은 다른 벤더의 보안 솔루션이 PC에 설치되면 Windows Defender가 자동으로 비활성화되긴 합니다. 어쨌든 Windows Defender 대신 사용자가 임의로 기능을 해제할 수 없는 Sophos Intercept X가 상시 사용자 PC를 안전하게 보호하고 있기 때문에, IT 관리자는 사용자 PC에 대한 보안은 한시름 덜어놓을 수 있을 것입니다.




게다가 Sophos는 사내에 보안 전문가로 구성된 보안 전담팀을 꾸리기 어려운 기업들을 위해 MTR(Managed Threat Response)라는 서비스를 제공합니다. Sophos의 위협 대응 전문가 팀이 대신 서비스 이용 기업에 보안 서비스를 제공함으로써, 보안 전문 인력을 직접 운영하기 어려운 기업의 부담을 덜어주고 있습니다.




따라서 기업 입장에서는 두 가지 사항을 두고 선택하면 됩니다. 아직 별도의 보안 솔루션을 사용하지 않는 기업이라면, 이 참에 Sophos Intercept X를 사용해 사용자 PC를 안전하게 보호하고 Sophos Central Portal로 중앙에서 효율적으로 보안 위협을 관리할 수 있습니다.  만약 이미 보안 사고를 경험했으나 사내에 전문 보안팀을 두고 운영하기 어려운 기업이라면, MTR 서비스를 사용해 대기업 못지 않은 안전한 보안 환경을 갖출 수 있습니다.




<이미지 출처 : Sophos News, The Ransomware Threat Intelligence Center>


서두에서 보여드렸듯이 멀웨어 중에서도 가장 악명높은 랜섬웨어가 여전히 기승을 부리고 있습니다. 기업 규모가 크든 작든 랜섬웨어는 가리지 않고 기업의 담당자들을 노리고 있습니다. 보다 안전한 업무 환경을 구현하기 위해서라도 별도의 보안 솔루션은 이제 필수로 갖춰야 하는 시대에 접어들었다고 해도 과언이 아닐 텐데요. 제가 보여드린 시연 영상에도 불구하고 Sophos Intercept X의 랜섬웨어 차단 성능이 의심되신다면? 아래의 영상을 통해 Sophos Intercept X가 어떻게 랜섬웨어를 차단하는지 확인해 보시기 바랍니다.





현재 아무런 보안 솔루션을 사용하지 않는 기업이라면, 혹은 사용 중인 보안 솔루션의 성능이 만족스럽지 못하다면, 사내 보안 전문 인력을 두기 부담스러운 상황이라면, Sophos Central Intercept X와 MTR 서비스를 검토해 보시면 좋을 것 같고요.


여기까지 Sophos기업과 Sophos 보안 솔루션 간단 소개 및 Sophos Intercept X를 사용해 본 경험을 소개해 드렸습니다. Sophos 제품 도입을 위한 구체적인 상담이 필요하신 분들은 아래의 링크를 통해 신청하실 수 있습니다. 현재 사용자 수에 따라 Sophos Intercept X는 최대 86%, Sophos MTR은 최대 58% 할인을 제공해 드리며, 두 제품 모두 2년 이상 구매 시 1년을 추가로 제공하는 프로모션이 진행 중이니 관심있으신 분들의 많은 참여 부탁드립니다.



이 콘텐츠가 보다 안전한 보안 환경 마련을 위해 고심이 깊은 IT 담당자 분들께 조금이나마 도움이 되었기를 바랍니다. 끝!



1개의 댓글이 있습니다.

3달 전

정보 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입