보안의 분야에 대해서 - (1) 엔드포인트 분야

보안은 여러 분야가 있지만 그 중 단연 꽃이라고 할 수 있는 것은 

엔드포인트, 즉 단말이다.

 

엔드포인트라는 것은 사용자의 단말을 의미함으로서, 

모든 침해는 결국 단말을 침해함으로서 이루어지고,

그 중간 단계의 네트워크와 데이터베이스, 여러 ark(저장소) 등이 있다. 

 

중간 단계에서 침투된 모든 사항은 결국 엔드포인트로 모여지고,

엔드포인트의 인증 정보나, 관련 정보가 침탈되고 주변으로 퍼지게 된다.

 

그렇기 때문에 보안의 꽃은 엔드포인트이다. 

 

엔드포인트는 종류가 여러 가지인데,

1) 일반 컴퓨터

2) 서버형 컴퓨터

3) 모바일 기기 

 

위의 3가지로 나뉘게 된다.

 

일반 컴퓨터는 또한 운영체제로 크게 윈도우/리눅스/맥으로 이루어지고,

리눅스는 거의 없다고 보면 되고, 윈도우가 87% 정도의 침해와 나머지 맥이 13%로 신생 위협으로

다가오고 있다. 

 

위의 엔드 포인트 분야의 학습을 위해서는 여러가지가 필요한데, 

일단 모바일의 경우에는 지금은 거의 다른 어플과 마찬가지로 한계점에 다다라 있고, 

일반 컴퓨터만이 생존해있다는 걸 볼 때, 

일반 컴퓨터의 분야에 대해서 설명하도록 하겠다. 

 

1) 차단

2) 진단

3) 치료

4) 추적

 

단말의 엔드 포인트 단계는 거의 이 4단계를 유지한다.

1)~3)을 커버하는 게 백신(vaccine)으로서, 국내에는 v3와 알약 정도가 있다. 

 

차단이라는 것은 악성코드가 실행되기 전에 막아버림으로서 더 이상 진입하지 못하게 하는 것이고,

이것이 가장 강력하고 중요한 기능이다. 물론 당연히 이것이 강력할수록 시스템에 부하가 생길 수 있으므로, 

1)을 최대화 하는 것이 과연 좋은 것이냐는 딜레마의 문제다. 

 

2)진단의 경우에는 차단 이외에도 동시 다발적으로 분포되는 침해와 침투가 있는데, 이에 대해서

모두 찾아내어 꼬릿표를 달아주는 것이다. 

 

이를 통해 3) 치료를 할 수 있고, 치료도 여러 가지 종류가 있으나 일단은 실시간 치료가 가장 단계가 높다. 

위의 1) 차단을 통해 실시간으로 차단된 내용을 즉각적으로 삭제하거나 시스템에 진입하지 못하게 함으로서

이후의 침해를 방지한다.

 

마지막으로 4)의 추적의 경우엔 현재는 세계에서 많은 제품들이 존재하는데, 

EDR/XDR/SOAR 등을 볼 수 있다.

 

시스템에 진입된 악성코드나 침해 내용을 bird view(넓은 시야)로서 전체적으로 개괄하고,

그 흐름을 봄으로써 그 이후에 조치를 취할 수 있다.

 

네트워크를 차단한다든가, 그 파일들을 블럭킹한다든가, 단말 자체를 격리한다든가, 되돌린다든가.

여러 가지 행위를 할 수 있다.

 

최근에는 인공지능이나 여러 기법들을 추가해서 시스템을 방어해내고 있다.

 

이만,