기업용 백신 선택에 있어 중요한 체크 항목은 아래 3가지 이다.

1. 정책 배포가 가능한 중앙 관리툴 존재 여부.
2. PMS 와 NAC를 지원하거나 연동가능한지.
3. 업데이트 주기가 얼마나 빠른지.

아무리 잘난 백신이라고 해도 각 클리어언트 사용자가 임의적으로 삭제 또는 실시간감시를 꺼버린다던지, 설정을 임의로 바꿔버리면 보안에 구멍이 생길수 밖에 없다.

또한 클라이언트가 1천대에서 1만대정도 되면 백신 설치하는 것도 일이 된다. 그래서 중앙에서 정책배포가 가능한 소프트웨어가 있는지 부터 찾아봐야 한다. 국산인 v3가 안좋네 뭐네 이래저래 개판이라고 욕을 먹지만 통합솔루션을 가진 업체이다. 카스퍼스키는 프로그램자체 또는 엔진 자체는 좋을지 모르겠으나 통합솔루션이 개판이다.

그리고 중앙 관리툴이 PMS 와 NAC 기능을 가지고 있거나 또는 이런 솔루션과 연동이 가능한지가 중요하며, 감염된 클라이언트가 네트워크 상태 존재해도 이를 격리시킬수 있다면 큰 위협이 되지 않는다.

회사 네트웍 및 클라이언트에 웜이나 바이러스가 전파되는 주 원인은 백신이 없어서가 아니라 보안패치가 안되어 있거나 허가 받지 않은 개인 노트북이나, USB메모리, 기타 통신기능을 가진 기기를 불법적으로 회사 네트워크에 물리기 때문이다.

즉. 외부회선을 통해 회사 IPS,UTM 장비를 무력화시키고, 보안정책을 뚫고 들어와 클라이언트를 감염시키는게 아니라, 작은 USB메모리 + 개념없는 직원과 융합해 외부에서 웜이 유입되고, 클라이언트 부터 거꾸로 퍼져 인트라넷 전체를 마비 시키는것이 대부분이다.  

그래서 중앙에서 OS 를 포함한 오피스웨어의 패치 및 백신 설치를 강제할수 있는 PMS솔루션과 허가받지 않은 기기 및 보안기준을 만족시키지 못하는 클라이언트를 회사 네트워크에 원천적으로 접근되지 않도록 통제하는 NAC기능이 중요하다.

또한 아무리 잘난 백신이라고 해도 미래를 예측하고 모든것을 방어할수는 없다. 정해진 '시그니처' 또는 '패턴'에 맞춰서 예방과 치료를 하는것인데, 그러기 때문에 중요한것은 백신 자체가 아니라 '샘플확보'와 발견이후 치료가능한 엔진이 나오기까지의 '대응시간'이 얼마나 빠른지 여부이다.

샘플확보 측면에서는 국산에 비해 해외백신이 유리할수 밖에 없다. 그래서 v3도 해외백신업체와 손잡고 샘플공유를 하고 있는 실정이고, '대응시간'을 위해서는 업체의 규모 및 하루 업데이트 횟수가 얼마나 되는지를 봐야 한다.

요즘은 제로 데이 어텍이 기본이다. 허점 공개된 이후 하루만 지나도 이미 회사네트워크는 웜에 점령되어 있다고 봐도 된다. 이제는 1일이나 1시간 단위가 아닌 1초 단위 전쟁이다. 그래서 업체들도 펄스 업데이트니, Smart Defense니 하는 이름으로 클라우드 개념을 통한 엔진자체를 서버와 실시간 동기화 하고 있는 추세이다.

백신은 적발통제나 교정통제가 아니라 "예방통제" 라는 점을 잊지 마시기 바라며, 백신 자체의 성능이 중요한게 아니라 보안정책 수립이 얼마나 잘되어 있는지와 개념 충만한 직원이 얼마나 있는지가 보안의 핵심이다.

결론적으로 필자에게 추천을 바란다면 국산중에서는 v3 를, 해외 업체중에서는 시만텍의 노턴계열을 추천한다. 통합솔루션이 가장 잘 되어 있다.

마지막으로 v3. 고객이 샘플 확보해서 보내주면 토달지 말고 시그니처 좀 만들어라. 몇번을 전화해야 하는건지.

'Security' 카테고리의 다른 글

기업용 백신 선택에 있어 중요한것은 무엇일까?  (0) 2009.12.13

+ Recent posts