※ 블로그 운영자의 개인적인 의견입니다. 팩트와 글의 내용이 다를 수 있습니다.
서론
악성 코드로부터 단말기를 지키기위해 대부분의 PC에 서로 다른 백신이 설치되어 있다. 기업에서 사용하는 백신은 기업용 백신으로 구성되어 있으며, 독자의 회사에서는 온프레미스로 구축된 백신을 운영하고 있다. 백신은 사용자들의 PC 뿐만 아니라, 서버, MAC, 태블릿 등 다양한 단말기에 설치된다. 독자는 백신을 운영하고 있는 보안담당자이기에 백신을 어떻게 운영하고 백신에 관련된 CS는 무엇이 있는지 공유해보고자 한다.
Part 1. 인프라 구성도
독자의 회사는 온프레미스에 백신 서버를 구축하여 운영하고 있으며 단말기의 망 위치에 따라 서버를 다르게 가져간다. 단말기가 내부망에 위치해 있으면 내부망에 있는 백신서버로 정책을 배포하고, 외부망에 있으면 DMZ에 있는 백신서버로 정책을 배포한다. 또한 단말기 종류 및 OS에 따라서도 백신 서버를 달리 가져간다. 그 이유는 백신의 호환성 및 버전별 악성코드의 내용이 달라지기 때문이다. 인프라 구성도를 보면 이해가 될 것이며, 조직 인프라의 구조 및 백신 솔루션의 차이에 따라 구성도는 달라질 수 있다.
사용자의 PC에 설치되어 있는 백신 프로그램(Agent)은 서버로부터 정책을 부여받고 해당 단말기에 부여받은 정책을 가동한다.
Part 2. 백신 운영
정책 배포
악성코드는 하루 단위 대략 20만개에서 많이는 100만개 정도 생산되는 것 같다고들 한다. 이렇게 많은 악성코드를 백신에서 모두 탐지할 수 없다. 따라서 백신 서버는 CTI(Cyber Threat Intelligence)로부터 새로 생성되거나 새로 발견된 바이러스 패턴을 매일 업데이트 받고 있다. Agent는 일 단위로 서버로부터 패턴을 배포받아야 한다. 백신을 최신 단위로 업데이트 받아야 하는 이유이다.
[개인정보의 안전성확보 조치 기준]
제9조(악성프로그램 등 방지) ① 개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 프로그램의 자동 업데이트 기능을 사용하거나, 정당한 사유가 없는 한 일 1회 이상 업데이트를 실시하는 등 최신의 상태로 유지
2. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
② 개인정보처리자는 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 정당한 사유가 없는 한 즉시 이에 따른 업데이트 등을 실시하여야 한다.
침입 차단
업무를 하다보면 특정 파일이 악성코드가 포함되어 있는지 아닌지 확인해달라는 문의가 종종 온다. 만약 해당 파일이 악성코드가 있다고 판단 될 시, 해당 파일이 확산되지 않도록 신속하게 차단 및 전체 배포해야한다. 차단 시, 악성파일 다운로드 경로를 다중으로(IP, URL, Domain, Hash 등) 차단하는 것이 효과적이다. 랜섬웨어같은 악성행위라면 초동조치 - 망분리 부터 진행시켜야 한다.
프로그램 호환성
백신에서는 정탐만 하는 것이 아닌 오탐도 많이 발생한다. 정상적인 파일인데 백신에서 악성코드가 포함되어 있다고 판단되어 차단조치하는 것이다. 또한 특정 프로그램들이 백신과 충돌되어 실행이 안되곤 한다. 콘솔에서 예외처리 해주자.
차단 팝업의 무서움
사용자들은 백신에서 특정 프로그램을 차단했다는 팝업창이 뜨면 무서워 한다. 최근 보안 이슈들이 사용자들에게 많은 경각심을 주어서 그런지 차단 팝업창 발생 시, 본인이 바이러스에 감염되었다고 착각한다. 그래서 백신에서 무엇인가 차단했다는 팝업창이 발생했는데 어떻게 해야하는지 문의가 빈번하게 온다. 백신에서 차단했다는 것은... 악성행위를 탐지하고 차단했다는 뜻이기에 콘솔에서 로그를 확인하고 걱정하지 말라고 안내해주자
Part 3. 마무리
백신을 운영하며 모든 단말기와 호환되는 백신은 없으며, 백신에서 100%의 차단기능을 제공하고 있지는 않는다. 오탐 문의도 많이 오고 백신 관련 문의는 때로는 버겁다. 또한 Fileless에 대한 두려움으로 인해 EDR을 구축해야 하지만, 이를 운영할 여력이 있는가? 투머치가 아닌가? 고민하게 된다. 백신을 다른 보안 솔루션들과 연동하여 실시간 탐지가 가능하도록 과제를 수행해 보겠다.
(아마 SOAR 플레이북....이라고 감히 예상해본다.)
요약
1. 백신은 한번 정책 설정하면 운영상 크게 바뀌는 부분이 없다.
2. 다만, 백신 관련 문의가 들어오면 차단 및 파일에 대한 분석부터 시작하여... 굉장히 번거롭다.
3. 그래도 백신을 사랑하자... 이거 없으면 악성코드 대응만 하루종일 하고 있을 것이다.
'SecOps > 1. 보안시스템 운영' 카테고리의 다른 글
| [EOS] 보안시스템 EOS에 따른 대응방법 (1) | 2024.10.01 |
|---|---|
| [네트워크] LPB(Network Packet Broker)를 활용한 보안시스템 가용성 확보 (0) | 2024.09.20 |
| [EndPoint] DLP로부터 정보 유출 방지 (0) | 2024.09.09 |
| [EndPoint] 시스템접근제어로부터 서버와 클라이언트 보안 (0) | 2024.09.05 |
