엔드포인트 보안이란? | 엔드포인트 보호

엔드포인트 보안은 데스크톱 컴퓨터, 랩톱, 스마트폰과 같은 엔드포인트 장치를 공격과 데이터 유출로부터 보호하는 프로세스입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 엔드포인트 보안이 조직에 중요한 이유 설명
  • 엔드포인트 보호 솔루션의 주요 기능 설명
  • 엔드포인트 보안과 네트워크 보안 간의 관계 이해

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

엔드포인트 보안이란?

엔드포인트 보안(또는 엔드포인트 보호)은 랩톱, 스마트폰처럼 네트워크에 연결되는 장치인 엔드포인트를 공격에서 보호하는 프로세스입니다. 엔드포인트 장치를 손상시키거나 맬웨어에 감염시킬 수 있는 위험한 사용자 행동을 차단하는 것도 엔드포인트 보안에 포함될 수 있습니다.

조직은 엔드포인트 보호 소프트웨어를 사용하여 보안 정책을 적용하고, 공격을 감지하고, 진행 중인 공격을 차단하고, 데이터 손실을 방지할 수 있습니다.엔드포인트는 기업 내부 네트워크에 연결되므로 엔드포인트 보호도 네트워크 보안의 중요한 구성 요소입니다.

위협은 다양한 위치에서 발생할 수 있으므로 엔드포인트 보호에는 여러 측면이 있습니다. 다음과 같은 엔드포인트 위협 벡터*가 일반적입니다.

  • 웹 브라우저를 통한 취약점 익스플로잇
  • 사용자가 악성 파일이나 링크를 열게 하는 이메일을 통한 소셜 엔지니어링 공격
  • 손상된 USB 장치
  • 공유 파일 드라이브의 위협
  • 보안되지 않은 애플리케이션 사용

엔드포인트 보호는 맬웨어 방지 소프트웨어나 바이러스 백신 소프트웨어를 사용하여 맬웨어를 감지하고 예방하는 데 중점을 두었지만 현재는 다른 위협 벡터도 해결하도록 범위가 넓어졌습니다.

*보안 업계에서 "위협 벡터"란 공격이 발생할 수 있는 소스나 채널을 의미합니다.

엔드포인트 보안의 작동 방식은?

엔드포인트 보안 소프트웨어는 다음 두 가지 모델 중에서 하나를 사용합니다.

클라이언트-서버 모델에서 소프트웨어는 중앙 서버에서 실행되며, 클라이언트 소프트웨어는 네트워크에 연결된 모든 엔드포인트에 설치됩니다.클라이언트 엔드포인트 소프트웨어는 엔드포인트 장치의 활동과 잠재적인 위협을 추적해 중앙 서버에 다시 보고합니다.일반적으로, 필요한 경우에 클라이언트 소프트웨어는 엔드포인트에서 맬웨어를 삭제 또는 격리하거나, 네트워크에 액세스하지 못하도록 엔드포인트를 차단하는 방식 등으로 진행되는 위협을 격리하거나 없앨 수 있습니다.

서비스형 소프트웨어(SaaS) 모델에서 클라우드 공급자는 엔드포인트 소프트웨어를 호스팅하고 관리합니다.일반적인 클라우드 컴퓨팅 서비스처럼, SaaS 엔드포인트 소프트웨어는 클라이언트-서버 모델보다 더 쉽게 확장할 수 있다는 점이 장점입니다.SaaS 기반 엔드포인트 소프트웨어는 회사 네트워크에 엔드포인트가 연결되어 있지 않더라도 엔드포인트로 업데이트를 보내고 알림을 받을 수 있습니다.

일반적인 엔드포인트 보안 기능:

  • 맬웨어 방지: 엔드포인트 보안에서 가장 중요한 요소 중 하나로서, 맬웨어 방지 소프트웨어나 바이러스 백신 소프트웨어는 장치에 악성 소프트웨어가 있는지 감지합니다.악성 소프트웨어를 감지했을 때 맬웨어 방지 프로그램은 중앙 서버나 IT 팀에 감염 상황을 경고하거나, 감염된 엔드포인트에서 위협을 격리하거나, 악성 파일을 삭제 또는 제거하거나, 엔드포인트를 네트워크에서 격리하여 내부망 이동을 방지하는 등 다양하게 조치할 수 있습니다.
  • 암호화: 암호화 는 올바른 암호 해독 키 없이는 읽을 수 없도록 데이터를 스크램블링하는 프로세스입니다.엔드포인트 장치의 콘텐츠를 암호화하면 장치가 손상되거나 물리적으로 도난당했을 때 엔드포인트의 데이터를 보호할 수 있습니다.엔드포인트 보안은 엔드포인트나 전체 하드 디스크의 파일을 암호화할 수 있습니다.
  • 애플리케이션 제어: 애플리케이션 제어를 통해 IT 관리자는 직원이 엔드포인트에 어떤 애플리케이션을 설치할 수 있는지 결정할 수 있습니다.

맬웨어 방지 소프트웨어, 바이러스 백신 소프트웨어란?

맬웨어 방지(또는 바이러스 백신) 소프트웨어는 오랫동안 엔드포인트 보호에서 중요한 부분이었습니다. 맬웨어 방지 프로그램은 주요한 네 가지 방법을 사용하여 맬웨어를 감지합니다.

  • 서명 감지: 서명 감지 방법에서는 파일을 검사하고 알려진 맬웨어 데이터베이스와 비교합니다.
  • 휴리스틱 감지: 휴리스틱 감지에서는 의심스러운 특성이 있는지 소프트웨어를 분석합니다.서명 감지와 달리 이 방법은 이전에 발견되어 분류되지 않았던 맬웨어를 찾아낼 수 있습니다.그러나 휴리스틱 감지는 긍정 오류(일반 소프트웨어가 맬웨어로 잘못 식별되는 경우)를 초래할 수도 있습니다.
  • 샌드박싱: 디지털 보안에서 "샌드박스"란 컴퓨터 또는 네트워크의 나머지 부분과 격리된 가상 환경을 말합니다.맬웨어 방지 소프트웨어는 샌드박스 내에서 잠재적인 악성 파일을 안전하게 열고 실행하여 어떤 작업을 수행하는지 확인할 수 있습니다.중요한 파일을 삭제하거나 승인되지 않은 서버에 연결하는 등, 파일이 악의적인 작업을 수행하면 맬웨어로 식별될 수 있습니다.
  • 메모리 분석: 파일리스 맬웨어는 장치에 사전 설치된 소프트웨어에서 실행되지만 파일을 저장하지는 않습니다.파일리스 맬웨어는 엔드포인트 메모리를 분석하여 감지할 수 있습니다.

엔드포인트 감지 및 대응(EDR)이란?

엔드포인트 감지 및 대응(EDR)은 엔드포인트와 네트워크에서 이벤트를 모니터링하는 엔드포인트 보안 제품에서 중요한 카테고리입니다. 기능은 다양하지만, 모든 EDR 제품은 보안 관리자가 위협을 구분하는 데 유용하도록 엔드포인트 활동 데이터를 수집할 수 있습니다. 대부분은 위협을 감지했을 때 차단할 수도 있습니다.

기업과 대규모 조직에 엔드포인트 보호가 중요한 이유는?

개별 소비자에게도 엔드포인트 보호는 중요하지만, 보통 전용 엔드포인트 보안 소프트웨어가 필요하지는 않습니다. 소비자가 사용하는 운영 체제에는 대부분 기본 보안 보호(예: 맬웨어 방지)가 이미 설치되어 있고, 사용자는 특정 모범 사례를 따라서 컴퓨터, 스마트폰, 인터넷상의 활동을 보호할 수 있습니다.

사업체, 특히 직원 엔드포인트 장치를 수백 개나 수천 개 관리해야 하는 기업에서 엔드포인트 보안은 더 큰 문제입니다. 엔드포인트를 보호하지 않으면 보안이 적용된 회사 네트워크에 침입하려는 공격자에게 기회가 될 수 있습니다. 네트워크에 연결되는 엔드포인트가 많을수록 네트워크상의 잠재적 취약점도 더 많아집니다. 도로에 자동차가 많을수록 운전자가 실수해 사고로 이어질 가능성이 높은 것과 같습니다.

또한 성공적인 공격이 비즈니스에 미치는 잠재적 영향은 엄청날 수 있는데, 비즈니스 프로세스가 중단되거나 기밀 데이터가 손실될 수도 있고, 평판에 해가 될 수도 있습니다.

또한 엔드포인트에서는 보안을 유지하기가 더 어려울 수 있기 때문에, 엔드포인트는 매력적인 공격 대상입니다. IT 팀은 직원이 사용하는 컴퓨터에도, 랩톱 및 스마트폰 등 직원의 개인 장치에도 정기적으로 직접 액세스할 수 없습니다. IT 부서는 네트워크에 연결된 장치에 엔드포인트 보호 소프트웨어를 설치하게 하여 장치 보안을 원격으로 관리하고 모니터링할 수 있습니다.

지난 10년 동안 BYOD(Bring Your Own Device) 환경이 늘어나면서 엔드포인트 장치 보안은 훨씬 더 어려워졌습니다. 각 네트워크에 연결되는 장치는 수가 늘어났고 다양해졌습니다. 네트워크의 엔드포인트에는 개인용 스마트폰 및 태블릿뿐만 아니라 다양한 소프트웨어 및 하드웨어를 실행하는 사물 인터넷(IoT) 장치도 포함될 수 있습니다(IoT 보안 자세히 알아보기).

엔드포인트 보안과 네트워크 보안의 관련성은?

보안되지 않은 엔드포인트는 공격자가 악용할 수 있는 네트워크의 약점이 되므로, 엔드포인트 보안은 네트워크 보안을 유지하는 과정에 속합니다. 하지만 네트워크 보안에는 네트워크 인프라 보호 및 보안, 네트워크 관리, 클라우드 관리, 인터넷 액세스 관리와 더불어 대부분의 엔드포인트 보안 제품에서 다루지 않는 기타 측면까지 포함됩니다.

오늘날 엔드포인트 보안과 네트워크 보안의 경계는 모호해지고 있습니다. 많은 조직이 네트워크 보안에 Zero Trust 모델을 적용하고 있습니다. Zero Trust 모델은 엔드포인트 장치가 위협이 될 수 있고 내부 리소스, 심지어는 SaaS 애플리케이션에 연결하기 전에 확인해야 한다고 가정합니다. 이 모델을 사용하면 엔드포인트 보안 상태가 네트워크 액세스와 클라우드 액세스를 허용하는 데 중요해집니다.

엔드포인트 보안 및 Zero Trust

Zero Trust 모델에서는 엔드포인트를 자동으로 신뢰하지 않습니다. Zero Trust는 모든 장치에서 보안 위험을 정기적으로, 종종 요청에 따라 확인해야 합니다. 엔드포인트에서 맬웨어나 기타 위험을 모니터링하는 엔드포인트 보안 솔루션과의 통합도 여기에 포함될 수 있습니다. 일부 Zero Trust 공급업체에서는 기본적으로 제공할 수도 있습니다.

이러한 접근 방식에 따르면, 잠재적으로 손상된 엔드포인트 장치는 네트워크의 나머지 부분과 신속하게 격리되어 내부망 이동을 방지할 수 있습니다. 이 마이크로세그멘테이션 원칙은 Zero Trust 보안의 핵심 측면입니다.

Zero Trust에 대한 자세한 내용은 Zero Trust 네트워크란?을 참조하거나 네트워킹 및 보안 서비스를 하나의 Zero Trust 플랫폼 플랫폼에 결합한 Cloudflare One에 대해 알아보세요.