특정 인물을 지목해 지원 대상에서 배제한다는 `블랙리스트`가 문화계를 뒤흔든 가운데 정보보안 기술 분야에서는 `화이트리스트` 기반 솔루션이 주목받는다.

악성코드 등 차단할 대상이 아닌 허용할 프로그램을 목록화한 후 나머지는 모두 막는 방식이다. 산업 시스템 등 한정된 분야에 주로 쓰였으나 최근 신·변종 악성코드 증가로 기업의 업무용PC 환경에서도 관심이 커졌다.

Photo Image
<특정 인물 등을 지목해 지원 대상 등에서 배제한다는 `블랙리스트`가 문화계를 뒤흔든 가운데 정보보안 기술 분야에서는 `화이트리스트` 기반 솔루션이 주목받는다.ⓒ게티이미지뱅크>

13일 업계에 따르면 국내 기업 정보보안 조직이 엔드포인트 보안에 화이트리스트 기반 솔루션 도입을 검토한다. 높은 보안성에도 사용 제약과 업무 불편으로 꺼려졌던 과거와는 사뭇 달라진 분위기다.

새로운 수요를 겨냥한 제품 출시가 이어진다. 인섹시큐리티는 화이트리스트 기반 악성코드 탐지 솔루션 카본블랙 엔터프라이즈 제품군을 국내에 들여왔다. 트렌드마이크로는 최근 출시한 차세대 엔드포인트 보안 제품 `엑스젠(XGen)`에 화이트리스트 방식을 활용해 오탐율을 줄인다. 마이크로소프트(MS)는 윈도7 엔터프라이즈에 허가된 애플리케이션 외에는 실행되지 않도록 막는 `디바이스 가드`를 탑재했다.

김종광 인섹시큐리티 대표는 “1년여 동안 카본블랙 제품군을 국내에 공급하며 금융권과 제조사, 포털, 게임사 등 고객사 50여곳을 확보했다”면서 “고객사 내에서도 업무 환경 변화로 임직원 반발이 적지 않았으나 보안 강화 수요가 더 컸다”고 말했다.

안티바이러스 백신으로 대표되는 기존 엔드포인트 보안 제품은 주로 시그니처 정보 데이터베이스(DB)에 기반을 둔 차단 기술이 적용됐다. 앞서 발견된 악성코드나 바이러스 등을 수집·분석해 DB에 저장하고 사용자 제품에 업데이트해 들어오지 못하도록 탐지·차단하는 방식이다. 악성코드 블랙리스트를 만들어 보호 대상 PC 침입을 막는 구조다.

한 번 파악된 악성코드는 효과적으로 방어하지만 최근 신·변종 악성코드 등장 속도가 빨라지면서 점차 한계를 드러냈다. 악성코드 제작자는 미리 글로벌 백신 제품 등에 탐지 여부를 확인하고 유포한다. 알려지지 않은 공격과 백신을 우회하는 지능형지속위협(APT) 공격도 막기 어렵다.

Photo Image
<김종광 인섹시큐리티 대표는 기존 안티바이러스 제품에 쓰이는 블랙리스트 방식에 비해 카본블랙 엔터프라이즈 제품군의 화이트리스트 방식이 보안 기능적으로 우위에 있다고 소개했다.(사진:인섹시큐리티)>

화이트리스트 기반 솔루션은 블랙리스트 방식과 반대로 미리 승인한 프로그램과 프로세스 외에는 모두 막는다. 잦은 DB 업데이트가 필요 없고 저성능 환경에서도 구현에 무리가 없다.

보안성이 높지만 일반 업무 환경에서는 사용이 어려워 시장이 커지지 않았다. 외부 협업이나 자료 공유, 새로운 프로그램 설치 때마다 보안관리자 승인 과정을 거쳐야 한다. 사용자 단에서는 업무 생산성이 저하되고 보안담당자 업무는 증가한다. 기술적 문제를 떠나 기존 업무 체계와 조직 구조 자체에 변화가 필요하다는 점에서 기업 시장 수용도가 낮았다. 제한된 기능만을 수행하는 산업제어시스템과 관련 기기에 주로 적용됐다.

보안 시스템 강화에도 지속 발생한 보안사고는 기업 시장에서 화이트리스트 기반 제품 관심 증가에 한몫했다. 사용자PC 등 엔드포인트 단으로 주요 데이터 유출이나 랜섬웨어 같은 침해가 집중되는 상황이 반영됐다. 기존 블랙리스트 방식 탐지와 더불어 업무에 집중 가능한 화이트리스트 방식으로 보완하는 구조가 제시됐다.

조용대 한국MS 상무는 “화이트리스트 기반 보안 기능을 도입하려면 업무 편의성 측면에서 일부 불편을 감수해야 한다”면서 “고객 보안 수준 진단과 새로운 프로세스를 체계화하는데 필요한 컨설팅 등을 제공 중”이라고 말했다.

박정은기자 jepark@etnews.com