자연어 검색으로 빠르게 엔드포인트 위협 체크하는 ‘태니엄 XEM’

보안업체 태니엄은 통합 엔드포인트 관리(Converged Endpoint Management, 이하 XEM)’ 플랫폼을 통해 기존 ‘엔드포인트 위협 탐지·대응(EDR)’ 솔루션의 한계를 보완한다. 태니엄은 실시간 가시성이라는 장점을 토대로 시장에서 외연을 넓히고 있다.

남인우 태니엄코리아 전무는 최근 바이라인네트워크와 만나 “언제 어디서 나올지 모르는 위협을 빠르게 확인해 엔드포인트의 운영과 관리, 보안 측면을 모두 아우르는 통합 플랫폼이 바로 XEM”이라고 말했다.

XEM의 맨 앞글자 X는 모든 것을 통합해 관리한다는 뜻을 담았다. 자산 탐지와 취약점 관리, 모니터링 등 엔드포인트 보안에 필요한 요소를 두루 담았다. 세부적으로 ▲자산 및 인벤토리 탐지▲클라이언트 관리 ▲리스크 및 컴플라이언스 관리▲민감 데이터 모니터링▲위협 헌팅 기능 등의 기능을 통합 제공한다.

남인우 태니엄코리아 전무는 리니어 체인 아키텍처 기반의 XEM이 빠른 위협 대응에 특화한 솔루션이라고 설명했다. (사진=태니엄코리아)

XEM은 특히 ‘리니어 체인(Linear Chain)’ 아키텍처를 기반으로 빠른 위협 대응에 특화한 것이 특징이다. 통상 EDR 솔루션은 엔드포인트에 설치한 에이전트를 통해 위협 행위나 시스템 운영 상황을 파악한다. 단말이 몇 개 되지 않는 환경이면 문제가 없지만, 대형 회사의 수만대에 달하는 PC나 제조 현장 곳곳에 늘어나고 있는 사물인터넷(IoT) 기기 등 현재의 IT 환경은 에이전트에서 정보를 가져오기까지 오랜 시간이 걸리거나 과부하가 걸릴 수 있다는 게 남인우 전무의 설명이다.

태니엄에 따르면 XEM은 리니어체인 기술을 통해 일부 단말만 찍어 정보를 받아오기 때문에 15초 정도면 모든 엔드포인트 정보를 탐지할 수 있다. 남 전무는 “만약 수천대의 단말이 있다면 이 중 5~7%의 대표 단말에서 정보를 가져오는 형태”라며 “일부 단말이 나머지 모든 단말의 캐시를 저장하고 있는 형태로 보면 된다. 태니엄 고유의 알고리즘으로 구현한 기술”이라고 말했다. 이를 통해 랜섬웨어나 악성코드가 잠복할 새 없이 실시간에 가까운 위협 확인과 대응이 가능하다는 게 남 전무의 말이다.

EDR은 보안 담당자의 최종 조치까지 이뤄져야 역할을 십분 다한 것으로 볼 수 있다. 확인만 해서는 실제 위협 여부를 판단하기 어려울뿐더러 너무 많은 위협 정보가 산재해 판단을 흐리는 것도 EDR의 맹점으로 꼽힌다. 그는 “시스템 취약점이나 이상행위 등 1700여가지 정보를 제공해 보안 담당자의 판단을 돕는다”며 “숨어있는 파일까지 검색으로 찾아내 조치할 수 있다”고 말했다.

태니엄 XEM의 대시보드 예시. 검색창을 통해 위협이나 엔드포인트의 정보를 직접 검색할 수 있다. (자료=태니엄코리아)

그의 설명처럼 XEM은 플랫폼에서 자연어 검색을 통해 엔드포인트 데이터를 가져오거나 위협 의심 지점을 들여다볼 수 있다. 태니엄은 단순히 위협을 보는 것 뿐 아니라 사냥(Hunting)할 수 있다는 뜻에서 위협 헌팅으로 부른다. 예를 들어 플랫폼 내의 검색창을 통해 ‘From (IP 주소) get (접속 URL)’식으로 검색하면 해당 IP를 가진 PC가 접속한 URL을 대시보드에서 확인할 수 있다. 궁금한 엔드포인트 상황을 직관적으로 확인하고, 빠르게 조치에 나설 수 있다는 설명이다.

남 전무는 이러한 장점을 바탕으로 XEM이 ‘사이버 하이진(Cyber Hygiene)’에 최적화됐다고 강조했다. 사이버 하이진은 미국표준기술연구소(NIST)가 권고하는 사이버 침해 대응 체계다. 전염병이 돌기 전 예방을 위해 손을 씻는 것처럼, IT 환경 또한 보안 사고가 발생하기 전 관리하는 개념이다.

“궁극적으로 위협은 엔드포인트에서 발생합니다. EDR의 필요성은 아무도 부인하지 못할 겁니다. 하지만 제대로 하려면 자동화까지 이뤄져야겠죠. 빠르게 엔드포인트 가시성을 확보하고 위협 대응까지 돕는 자동화 도구가 바로 XEM입니다.”

남 전무는 EDR 솔루션에 대한 인식도 나아질 것으로 기대했다. 전세계를 흔들었던 로그4j(log4j) 사태나 늘어나는 랜섬웨어 등 엔드포인트를 둘러싼 위협의 위험성을 시장이 점차 깨닫고 있다는 것이다. 안티바이러스 기능 정도를 제외한 통합 플랫폼 성격이라 엔드포인트 전반의 보안을 지킬 수 있어 XEM을 선택한 기업도 늘어나고 있다는 게 그의 말이다.

태니엄의 XEM은 이미 글로벌 시장에서는 가치를 인정받고 있다. 연방수사국(FBI), 미국중앙정보국(CIA), 국가안보국(NSA) 등 미국 3대 정보기관은 물론 포춘 100대 기업 중 절반 이상이 태니엄의 고객사다. 국내에서도 15곳 이상의 엔터프라이즈급 고객사를 확보했다.

남 전무는 “고객사가 원하는 보안 수준과 필요한 기능 설명을 충분히 듣고 솔루션을 제안한다”며 “서두르지 않고 길게 기술실증(Poc) 기간을 갖고 고객이 EDR을 통해 높은 보안성을 가질 수 있도록 최선을 다하고 있다”고 말했다.

글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network