백신
Endpoint보안의 세 번째는 백신이다. 전자금융감독규정에 따라 악성코드 감염을 방지대책을 세워야 하는데, 금융회사가 아니더라도 기본적으로 백신은 PC에 설치가 되어있어야 안전하다.
전자금융감독규정 제16조(악성코드 감염 방지대책) ① 금융회사 또는 전자금융업자는 악성코드 감염을 방지하기 위하여 다음 각 호를 포함한 대책을 수립·운용하여야 한다.
1. 응용프로그램을 사용할 때에는 악성코드 검색 프로그램 등으로 진단 및 치료 후 사용할 것
2. 악성코드 검색 및 치료프로그램은 최신 상태로 유지할 것
3. 악성코드 감염에 대비하여 복구 절차를 마련할 것
4. 제12조 제3호에 따른 중요 단말기는 악성코드 감염 여부를 매일 점검할 것
② 금융회사 또는 전자금융업자는 악성코드 감염이 발견된 경우 악성코드 확산 및 피해를 최소화하기 위하여 필요한 조치를 신속하게 취하여야 한다.
백신은 기본적으로 악성코드의 hash 값이나 파일 사이즈 등 여러 가지 패턴을 조합하여 DB화 시켜 탐지하는 방식이다. 과거엔 백신회사가 업로드해주는 DB를 업데이트하여 사용했으나, 요즘은 클라우드를 통해 실시간으로 백신 엔진을 업데이트할 수 있다.
금융사의 경우 망분리 이슈로 활용을 못하는 상태로 예상할 수 있으나, 비슷하게 DMZ망의 중계서버를 거치고 망분리 대체 통제를 적용한다면 가능하다는 비조치의견서가 있으니 내부적으로 검토하길 바란다.
하지만 그동안 3.20 전산망 마비 사태 등 많은 사고가 벌어졌기 때문에 보수적으로 접근할 것이다.
3.20 사태는 아래와 같이 요약할 수 있다.
보안회사의 백신 업데이트 관리 서버를 통해 악성코드가 유포되었고, 백신 파일로 위장하여 PC의 MBR을 파괴했다.
앞서 말한 법적 규제나 여러 사건사고 때문에 아직까지도 대부분의 금융회사는 백신 엔진 업데이트는 수동으로 파일을 다운로드하여 진행하고 있다.
일반적으로 PC 내 백신은 실시간 검사를 활성화시켜놓고 있다. 뿐만 아니라 금융회사의 정책에 따라 주 1회, 매일 등 정기적으로 상세 검사를 실시한다. 업무 PC에는 백신뿐만 아니라 여러 보안 프로그램들이 설치되어있기 때문에 상세 검사를 할 때에 PC가 느려질 수도 있다.
상세 검사 주기 등 백신의 기능 설정은 중앙에 있는 정책관리 서버에서 관리할 수 있다. 보통은 백신 설정에 암호기능을 부여하는데, 직원들이 실시간 검사를 끄거나 USB백신 검사 등 편의를 위해서 설정을 끄는 경우도 있기 때문이다.
시장엔 랜섬웨어를 전문으로 대응하는 솔루션도 나와있으나 백신에서도 랜섬웨어 탐지 기능을 지원한다.
백신회사마다 조금씩 차이가 있지만 행위 기반이나 미끼 파일을 만드는 등 여러 가지 방법으로 탐지하고 있다.
PC뿐만 아니라 서버에도 백신을 설치해야 하는데, 서버가 랜섬웨어에 감염이 되면 개인정보유출 등 손해배상은 물론이고 심각할 경우 회사가 망할 수도 있다.
그럼 어떤 백신을 써야 안전할지 고민이 들 텐데, 전 세계의 백신을 순위 매기는 사이트가 있다.
AV-TEST는 세계적으로 공신력 있는 평가기관 중 하나로 1~2달마다 백신의 성능을 테스트하는데 진단율, 성능, 사용성에 대해 평가를 하고 인증을 해준다. 상위권에 속하면 Top Product로도 선정해준다.
회사마다 다르겠지만 이기종 백신을 설치 운영하는 곳도 있다. 예를 들어 외부에서 파일을 반입할 때 외부망 PC에서 A 백신 검사를 하고, 내부망 PC에서 B 백신 검사를 추가로 하는 경우이다. 두 개의 다른 백신을 운영하여 한쪽이 악성코드를 놓쳐도 나머지 백신이 잡을 수 있겠지만, 담당자의 백신 관리 포인트가 2배가 된다.
그럼 라이센스 관리도 두배, PM 작업도 두배, 엔진 업데이트도 두배,, 모든 게 두배가 된다.
백신회사마다 백신의 특징과 기반이 다를 수 있고 지원범위도 다양하기 때문에 정확하게 파악한 후 도입해야 한다.