OWASP Seoul Chapter 2월 밋업 후기 - 엔드포인트 보안 특집
1월에 이어 2월 밋업에도 다녀왔다.
1월 밋업이 AI 보안이라는 다소 먼 세계의 이야기였다면, 이번에는 회사에서 실제로 적용할 수 있는 단말기 보안 이야기라서 훨씬 실무에 가깝게 느껴졌다. 두 세션 모두 "우리 회사에도 이거 적용해 볼 수 있지 않을까?"라는 생각이 계속 드는 내용이었다.
어디에 적용할 것인지 먼저 고민하기
발표를 들으면서 MDM, NAC, DEP 같은 엔드포인트 보안 도구들이 각각 다른 레이어에서 동작한다는 걸 느꼈다. 이번 엔드포인트 보안 특집을 통해 막연하게 "보안을 강화해야 한다"가 아니라, 네트워크 계층에서 잡을 건지, 엔드포인트 단에서 잡을 건지, 애플리케이션 레벨에서 잡을 건지를 구분하는 것이 먼저라는 나름의 정리를 할 수 있었던 시간이었다.
이번 밋업에서는 그중에서도 엔드포인트 단의 보안을 다뤘다.
엔드포인트(Endpoint)란?
네트워크에 연결되는 최종 사용자 기기를 말한다. 쉽게 말하면 직원들이 업무에 사용하는 노트북, 데스크톱, 스마트폰 같은 단말기다. 서버나 네트워크 장비가 아니라, 사람이 직접 손으로 만지는 기기 쪽의 보안을 다루는 것이 엔드포인트 보안이다.
이 엔드포인트 보안에는 MDM(Mobile Device Management)과 NAC(Network Access Control)이라는 두 가지를 알게 되었다. MDM은 단말기 자체를 관리하고 보안 정책을 강제하는 방식이고, NAC는 네트워크 접근을 제어해서 인가되지 않은 기기가 사내 네트워크에 접속하지 못하게 막는 방식이다.
그리고 발표 전반에 깔려 있던 제로 트러스트(Zero Trust) 관점이 특히 와닿았다.
제로 트러스트는 말 그대로 "아무것도 신뢰하지 않는다"는 보안 모델이다.
전통적인 보안은 사내 네트워크 안에 있으면 신뢰하고, 외부에서 접속하면 의심하는 경계 기반 방식이었다. 제로 트러스트는 이와 달리 내부든 외부든 모든 접근에 대해 "누가, 어떤 기기로, 어디서 접속하든" 매번 검증한다는 원칙이다.
이게 지금 조직의 문화와 잘 맞는다는 생각이 들었다. 우리 조직은 코어타임만 지키면 어디서든 일해도 되는 자유로운 분위기이고, 재택도 자유로운 편이다. "사무실 네트워크 안에 있으면 안전하다"는 전통적인 모델이 애초에 성립하지 않는 환경인 셈이다. 오히려 기기 단위로 보안을 검증하고, 접속 위치와 관계없이 신뢰를 확인하는 제로 트러스트 방식이 우리 같은 조직에 더 자연스럽게 어울린다.
주제 1. Mac & Chrome OS DEP로 배포 지옥 탈출하기
첫 번째 발표자 분은 DEP(Device Enrollment Program)를 활용해서 Mac과 Chrome OS 단말의 보안을 관리한 경험을 공유해 주셨다.
NAC 같은 네트워크 접근 제어를 적용하기 어려운 환경에서, DEP 플로우를 통해 단말이 처음 켜지는 순간부터 보안 정책이 자동으로 적용되도록 구성한 사례가 인상적이었다. 특히 IT 자산 담당자나 전문 헬프데스크가 없는 소규모 회사에서 이 방식을 적용하면 단말 세팅 시간을 획기적으로 줄이면서 보안도 챙길 수 있다는 점이 와닿았다.
우리 회사도 10명 남짓한 규모다 보니 별도 IT 자산 담당이 없는데, 이런 방식이 있다는 것을 알게되고 지금의 조직에 적용해보고 싶다는 생각이 들었다. 지금 당장은 아니더라도, 어느 정도 인프라딴에 보안 체계가 잡힌다면 물리적 자산에도 보안을 적용해보고 싶다는 생각이 들었다.
주제 2. AI와 오픈소스로 완성하는 엔드포인트 하드닝
두 번째 세션은 에잇퍼센트 정대영 팀장님의 발표로, 오픈소스 MDM 플랫폼과 AI를 활용해서 엔드포인트 하드닝을 단기간에 구축한 사례를 다뤄 주셨다.
여기서 하드닝(Hardening)이라는 개념을 처음 알게 되었는데, 하드닝이란 비밀번호 정책, 계정 잠금, 화면보호기 잠금 같은 보안 설정을 기기에 강제 적용하는 것을 말한다.
기존에 백신이나 DLP 솔루션에도 일부 하드닝 기능이 있지만 부가 서비스 느낌이 강했는데, 이를 CIS 벤치마크라는 글로벌 표준을 기준으로 잡고 클라우드 인프라와 MDM을 연결해서 체계적으로 구축한 점이 인상 깊었다.
특히 "보안 기준을 뭘로 잡을 것인가"라는 고민에 대해 CIS 벤치마크라는 명확한 답을 알게 된 게 좋았다. 보안 체계를 처음부터 만들어가는 입장에서 이런 글로벌 표준을 기준으로 삼으면, 추후에 감사나 점검이 있을때도 뭔가 태클이 걸릴 걱정없는 그런 보안체계를 만들 수 있지않을까?? 클라이언트사 보안 점검 대응 시에도 근거를 가지고 이야기할 수 있겠다는 생각이 들었다.
조직에 적용한다면?
두 세션을 들으면서 계속 "지금 조직에는 어떻게 적용할 수 있을까"를 생각했다. 정리하면 이런 부분들이다.
현재 내가 속한 조직은 소규모이고, 보안 시스템을 본격적으로 도입하는 것 자체가 처음이다.
별도의 MDM이나 NAC를 운영하고 있지는 않지만, 꾸준히 보안 점검을 대응해야 하는 입장에서 엔드포인트 보안은 언젠가 반드시 정리해야 할 영역이다.
장기적으로는 ISMS-P 인증도 목표로 두고 있기 때문에, 지금부터 기반을 잘 잡아두는 게 중요하다고 생각한다.
먼저 적용해 볼 수 있는 건 하드닝 기준 정리다. CIS 벤치마크를 참고해서 최소한의 엔드포인트 보안 정책(비밀번호 복잡도, 화면 잠금, 디스크 암호화 등)을 문서화하고, 이를 팀원들에게 가이드하는 것부터 시작할 수 있지 않을까?! 인원이 늘어나는 시점에는 오픈소스 MDM 도입도 시도해보고 싶었다.
발표 중에 가장 인상이 깊었던 것 중하나는 "보안이 비즈니스를 막으면 안 된다"라는 관점이었는데, 현재 조직은 1인 1프로젝트를 가지고 가는 문화이고, 아이디어가 있으면 언제든 만들어서 실험해 보고 부딪혀 보자는 분위기다.
이런 분위기에 주저하게 만드는 보안시스템을 만들고 싶지않다는 생각이 들었다. 빠르게 실험하고 만들어 보는 문화를 유지하면서도 보안을 챙기는 균형, 이게 보안 정책을 설계할 때 고려해서 지금 조직의 보안 시스템을 만들고 싶어졌다.
후기
1월에 비해 확실히 이해도가 올라간 느낌이었다. 1월 밋업 때는 모르는 용어가 나올 때마다 검색하느라 흐름을 놓치는 경우가 많았는데, 한 달간 보안을 처음 조직에 도입하는 입장에서 이것저것 검색하고, 관련 글이 보이면 읽고 하는 시간을 보내다 보니 용어적인 면에서 조금은 성장한 것 같다.
밋업 전에 엔드포인트 보안이 뭔지 조금 찾아보긴 했는데, 그때는 읽어도 무슨 말인지 잘 와닿지 않았다. 그런데 이번 발표에서 어떤 상황에서 이런 보안을 적용하게 되었는지 흐름과 함께 듣다 보니 조금 더 잘 이해할 수 있게 된 것 같다. 글로만 읽을 때와 실무 사례로 들을 때의 체감이 확실히 다르다는 걸 느꼈다.
이번 주제가 1월의 AI 보안에 비해 좀 더 실무적인 관점에서 적용해 볼 수 있는 내용이었기 때문에 재밌게 경청할 수 있었고, 회사에 실제로 적용해 보고 싶은 인사이트까지 얻어갈 수 있어서 만족스러운 밋업이었다.
그리고 보안이라는 게 꼭 해킹이나 취약점 분석 같은 기술적인 영역만이 아니라, 조직의 기기를 어떻게 관리하고 정책을 어떻게 세울 것인가라는 운영의 영역이기도 하다는 점을 느꼈다.
다음 3월 밋업에는 요즘 핫한 OpenClaw에 보안 취약점을 찾아 기여하고 있는 분이 마침 한국에 계셔서 발표자로 참석한다고 한다.
고수들의 발표라는 느낌이 들었지만 지금 찬물 더운물 가릴 때가 아니라는 생각도 들어서 일단 뭐든 듣고 보자는 마음으로 참여해보려고 한다.
'DailyLog' 카테고리의 다른 글
| 항해플러스 6기 학습메이트 회고라 쓰고 A-Z 기록이라고 부른다 (7) | 2025.10.11 |
|---|---|
| 손가락 까딱 몇번으로 AI한테 내 PR 코드리뷰받기 (1) | 2025.10.06 |
| WIL 1주차 : 바닐라 JS 마스터의 길 (0) | 2025.03.31 |
| 나만 0이구 다들 3~4년차야 (0) | 2025.02.10 |
| 명절 후 폭풍 (0) | 2025.02.07 |