애플리케이션 화이트리스트는 승인된 애플리케이션만 시스템에서 실행하도록 허용하는 보안 접근 방식입니다. 본 가이드는 애플리케이션 화이트리스트의 원칙, 장점, 그리고 보안 강화 방식을 살펴봅니다.&
허용 목록 구현을 위한 모범 사례와 정기적인 업데이트 및 모니터링의 중요성에 대해 알아보세요. 애플리케이션 허용 목록을 이해하는 것은 조직이 무단 소프트웨어 및 악성 코드로부터 보호하는 데 매우 중요합니다.
애플리케이션 허용 목록이란 무엇인가?
애플리케이션 허용 목록은 네트워크에서 악성 프로그램이 실행되는 것을 방지하는 엔드포인트 보안의 한 형태입니다. 운영 체제를 실시간으로 모니터링하여 승인되지 않은 파일의 실행을 차단합니다.
NIST SP 800-167에 따르면, 애플리케이션 허용 목록은 다음과 같습니다: “호스트에 존재하거나 활성화될 수 있도록 허용된 애플리케이션 및 애플리케이션 구성 요소(라이브러리, 구성 파일, 등)으로, 명확히 정의된 기준에 따라 호스트에 존재하거나 활성화될 수 있도록 승인된 것들의 목록입니다." 애플리케이션 허용 목록 기술을 사용함으로써 조직은 악성코드 및 기타 무단 소프트웨어의 실행을 차단할 수 있습니다.
애플리케이션 허용 목록 방식은 관리자와 조직이 실행 가능한 프로그램을 통제할 수 있게 합니다. 명시적으로 허용 목록에 포함되지 않은 모든 프로그램은 자동으로 차단 목록에 등록됩니다.
애플리케이션 허용 목록 vs 애플리케이션 화이트리스트
비록 "애플리케이션 허용 목록"과 "애플리케이션 화이트리스트"가 동일한 개념을 지칭하지만, 애플리케이션 허용 목록이 이 보안 기능을 설명하는 데 선호되는 용어입니다.&
영국 국가 사이버 보안 센터(National Cyber Security Centre)에 따르면, "화이트"를 "양호하고 허용되며 안전한" 것으로, "블랙"을 "나쁘고 위험하며 금지된" 것으로 동일시하는 것은 문제가 있으며, 특히 동일한 활동을 설명할 수 있는 덜 모호한 용어가 존재할 경우 더욱 그러합니다.
차단 목록 vs 블랙리스트
"차단 목록"(또는 거부 목록)과 "블랙리스트"의 경우도 마찬가지입니다. 사이버 보안 분야에서 바람직하지 않은 속성을 설명할 때 "블랙리스트"라는 용어를 사용하는 것이 일반적이었지만, 현재는 중립적인 "차단 목록"이 선호되고 있습니다.
애플리케이션 허용 목록은 어떻게 작동하나요?
애플리케이션 허용 목록은 컴퓨터 시스템에서 허용되거나 승인된 소프트웨어 애플리케이션의 목록을 지정하여 잠재적으로 유해한 애플리케이션으로부터 시스템을 보호하는 것을 의미합니다. 승인된 애플리케이션 목록은 제3자 공급업체가 제공하거나 호스트 운영 체제에 내장될 수 있습니다.
애플리케이션 허용 목록 방식을 사용하면 조직은 명시적으로 승인되지 않은 애플리케이션의 설치 및 실행을 차단할 수 있습니다. 허용 목록 소프트웨어는 네트워크에서 실행을 시도하는 모든 애플리케이션을 허용된 애플리케이션 목록과 비교합니다. 해당 애플리케이션이 허용 목록에 있으면 실행이 허용됩니다.&
일반적으로 네트워크 관리자가 허용할 애플리케이션을 선택하므로 시스템 안전성을 엄격히 통제하고 사이버 보안 의사 결정 과정에 접근하는 인원을 최소화할 수 있습니다.
알려진 "악성" 활동을 차단하고 그 외 모든 것을 허용하는 차단 목록(blocklist) 방식을 사용하는 안티바이러스 소프트웨어와 달리, 허용 목록 기술은 알려진 "정상" 활동을 허용하고 그 외 모든 것을 차단합니다. 궁극적으로 이 관행은 악성코드와 무단 또는 잠재적으로 취약한 소프트웨어를 포함한 다양한 위협을 완화하는 데 도움이 될 수 있습니다.
오늘날의 많은 악성코드 기반 위협은 맞춤화되고 표적화되어 있기 때문에, 애플리케이션 허용 목록 방식은 악성코드가 설치되거나 실행되는 것을 막는 데 도움이 될 수 있습니다. 때로는 애플리케이션 허용 목록 기술이 알려지지 않은 악성 코드를 방지하는 데 바이러스 백신 소프트웨어보다 더 효과적일 수 있습니다.
무단 애플리케이션을 차단하는 것 외에도, 애플리케이션 허용 목록 소프트웨어는 운영 체제를 실시간으로 모니터링하여 무단 파일의 실행을 방지합니다. 원치 않는 애플리케이션 실행을 단순히 차단하는 것을 넘어, 애플리케이션 허용 목록은 애플리케이션 설치 패키지에 대한 세밀한 검사를 수행하여 파일 무결성을 검증합니다.
애플리케이션 허용 목록은 조직의 엔드포인트를 보호하기 위한 간단하면서도 효과적인 조치입니다. 관리자는 최종 사용자가 승인된 애플리케이션만 설치할 수 있도록 함으로써 악성 프로그램이 돌이킬 수 없는 피해를 입히기 전에 차단할 수 있습니다.&
애플리케이션 허용 목록을 구현할 때는 신뢰할 수 있는 애플리케이션만 시스템에서 실행되도록 보장하는 것이 필수적입니다. Singularity XDR와 같은 솔루션은 실시간 모니터링 및 확장된 탐지 기능을 제공하여 허용 목록 정책이 모든 엔드포인트에서 효과적으로 적용되도록 보장합니다.
애플리케이션 허용 목록 대 차단 목록
사전 정의된 "나쁜" 애플리케이션 목록을 사용하는 차단 목록 방식의 소프트웨어는 일반적으로 네트워크에서 실행을 시도하는 모든 애플리케이션을 차단된 애플리케이션 목록과 비교합니다. 해당 애플리케이션이 차단 목록에 없으면 실행이 허용됩니다.
예를 들어, 기존 안티바이러스 소프트웨어는 알려진 악성 코드가 컴퓨터 시스템에서 실행되는 것을 방지하기 위해 차단 목록 방식을 사용합니다. 애플리케이션 허용 목록 방식은 목록에 없는 애플리케이션을 거부하는 반면, 애플리케이션 차단 목록 방식은 목록에 없는 애플리케이션을 허용하므로, 애플리케이션 허용 목록 방식이 애플리케이션 차단 목록 방식보다 더 안전하다고 할 수 있습니다.
애플리케이션 허용 목록 vs 애플리케이션 제어
“애플리케이션 허용 목록”과 “애플리케이션 제어”은 종종 혼용되지만 항상 동일한 의미를 지니지는 않습니다. 두 기술 모두 무단 애플리케이션을 차단할 수 있지만, 애플리케이션 허용 목록 방식이 애플리케이션 제어보다 더 엄격합니다.
그러나 이 기술 자체에는 두 가지 중요한 한계가 있습니다. 첫째, 애플리케이션 제어는 설치 패키지 수준에서 작동하므로, 시스템에 설치된 애플리케이션이나 독립 실행형 실행 파일을 최종 사용자가 실행하는 것을 막을 수 없습니다.
둘째, 애플리케이션 제어 도구는 애플리케이션 설치 패키지를 세밀하게 검사하지 않습니다. 대신 애플리케이션이 허용되었는지만 확인합니다. 위협 행위자 은 합법적인 애플리케이션 패키지에 무단 코드를 설치하여 애플리케이션 제어 도구를 우회할 수 있습니다.
애플리케이션 허용 목록 유형
다양한 애플리케이션 허용 목록 유형은 보안, 사용성, 유지 관리성 사이에서 서로 다른 균형을 제공합니다. 다음 유형이 포함됩니다:
1. 파일 경로
파일 경로는 가장 일반적인 속성으로, 특정 경로(즉, 디렉터리 또는 폴더)를 가진 모든 애플리케이션을 허용합니다. 디렉터리 내의 모든 악성 파일 실행을 허용할 수 있으므로 파일 경로는 취약한 속성이 될 수 있습니다. 그러나 엄격한 접근 제어를 통해 관리자만 파일을 추가하거나 수정할 수 있도록 설정하면 파일 경로는 보다 강력한 속성이 될 수 있습니다.
파일 경로는 경로 내의 각 파일을 별도로 나열할 필요가 없어 새로운 애플리케이션이나 패치마다 허용 목록을 업데이트해야 하는 부담을 줄여주는 이점도 있습니다.
2. 파일명
파일명 자체만으로는 너무 일반적인 속성인 경우가 많습니다. 예를 들어, 파일이 감염되거나 교체되더라도 이름이 변경될 가능성은 낮으며, 해당 파일은 여전히 허용 목록 하에서 실행될 수 있습니다.
또한 위협 행위자는 정상 파일과 동일한 이름을 사용해 악성 파일을 호스트에 배치할 수 있습니다. 이러한 취약점 때문에 파일명 속성은 파일 경로나 디지털 서명 속성과 같은 다른 속성과 함께 사용할 때 가장 효과적입니다.
3. 파일 크기
관리자는 애플리케이션의 파일 크기를 모니터링함으로써 악성 버전의 파일 크기가 원본 버전과 다를 것이라고 가정합니다.
그러나 위협 행위자는 종종 악성 파일을 정상 파일과 동일한 크기로 의도적으로 제작합니다. 디지털 서명 및 암호화 해시를 포함한 다른 속성이 파일을 더 잘 식별할 수 있으므로 가능한 경우 파일 크기 대신 사용해야 합니다.
4. 암호화 해시
암호 해시는 사용된 암호화가 강력하고 해시가 이미 "양호한" 파일과 연관되어 있는 한, 애플리케이션 파일에 대해 신뢰할 수 있고 고유한 값을 제공할 수 있습니다. 암호 해시는 일반적으로 파일이 어디에 있든, 이름이 무엇이든, 어떻게 서명되었든 상관없이 정확합니다.
그러나 파일이 업데이트될 때는 암호 해시의 유용성이 떨어집니다. 예를 들어, 응용 프로그램에 패치를 적용하면 패치된 버전의 해시 값이 달라집니다. 이러한 경우 패치는 디지털 서명과 허용 목록에 추가된 암호 해시를 통해 합법적으로 보일 수 있습니다.
5. 디지털 서명과 게시자
오늘날 많은 게시자가 애플리케이션 파일에 디지털 서명을 합니다. 디지털 서명은 수신자가 애플리케이션 파일을 검증할 수 있는 신뢰할 수 있고 고유한 값을 제공하며, 팀이 파일이 합법적이고 변경되지 않았음을 확인할 수 있게 합니다.
그러나 일부 게시자는 애플리케이션 파일에 서명을 하지 않으므로 게시자가 제공한 디지털 서명만 사용하는 것은 종종 불가능합니다. 일부 애플리케이션 허용 목록은 개별 디지털 서명을 검증하기보다는 게시자의 신원을 기반으로 할 수 있습니다. 그럼에도 이 방법은 조직이 신뢰할 수 있는 게시자의 모든 애플리케이션을 신뢰할 수 있다고 가정합니다.
애플리케이션 허용 목록의 장점과 한계
애플리케이션 허용 목록에는 여러 장점과 한계가 있습니다.
장점
애플리케이션 허용 목록의 주요 장점은 악성코드와 랜섬웨어가 네트워크에 유입되어 실행되는 것을 차단할 수 있다는 점입니다. 애플리케이션 허용 목록 방식은 차단 목록 방식보다 더 제한적이므로, 최종 사용자는 조직의 허용 목록에 없는 프로그램을 설치하기 전에 관리자의 허가를 받아야 합니다. 승인되지 않은 애플리케이션에 대한 승인을 요구함으로써 악성 프로그램이 엔드포인트에 설치되는 것을 방지할 수 있습니다.
애플리케이션 허용 목록의 주요 장점은 다음과 같습니다:
- 악성코드 및 알려지지 않은 위협 차단
- 소프트웨어 인벤토리 생성
- 사고 대응 지원
- 파일 모니터링
단점
애플리케이션 허용 목록의 중요한 한계 중 하나는 보안 팀에 추가적인 업무를 발생시킬 수 있다는 점입니다. 예를 들어, 초기 허용 목록을 작성하려면 최종 사용자의 작업과 해당 작업을 수행하는 데 필요한 애플리케이션에 대한 상세한 정보를 확보해야 합니다.
마찬가지로, 애플리케이션과 기업 기술 스택의 복잡성이 증가함에 따라 허용 목록을 유지 관리하는 데 시간이 소요될 수 있습니다.
애플리케이션 허용 목록과 관련된 주요 단점은 다음과 같습니다:
- 구현이 어렵다
- 최종 사용자에게 영향을 미친다
- 범위 제한
- 노동 집약적
탁월한 엔드포인트 보호 기능 알아보기
SentinelOne의 AI 기반 엔드포인트 보안이 사이버 위협을 실시간으로 예방, 탐지 및 대응하는 데 어떻게 도움이 되는지 알아보세요.
데모 신청하기애플리케이션 허용 목록 관리 모범 사례
-
네트워크 감사
깨끗한 시스템은 외부 저장 장치에 대한 철저한 스캔을 통해 최적의 운영에 필수적인 애플리케이션과 절차를 식별하는 데 도움이 될 수 있습니다.
네트워크 구성 요소를 스캔하면 네트워크 관리자가 허용해야 할 프로그램에 대한 견고한 기준을 수립하는 데 도움이 됩니다. 네트워크 감사는 또한 네트워크에서 이미 실행 중인 불필요하거나 악성 애플리케이션을 제거하는 데도 도움이 될 수 있습니다. -
신뢰할 수 있는 애플리케이션 및 특정 관리 도구 허용 목록
허용되거나 승인된 애플리케이션 및 특정 관리 도구의 목록을 작성하고 이를 필수적과 비필수적으로 분류하십시오. 중요도에 따라 애플리케이션의 우선순위를 정하는 것은 비즈니스 기능에 필수적인 애플리케이션과 단순히 있으면 좋은 애플리케이션을 구분하는 데 도움이 됩니다.
-
접근 정책 문서화하기
다음으로, 특정 기준을 충족하는 사용자만 필요한 애플리케이션을 사용할 수 있도록 규칙 세트를 명시한 접근 정책을 수립하십시오. 허용 목록에 팀원들을 위한 다양한 접근 수준을 설정하면 네트워크 접근을 간소화하고 애플리케이션 허용 목록 관리를 지원할 수 있습니다.
-
출판사 확인하기
라이선스가 없거나 안전하지 않은 애플리케이션이 여러 가지 있으며, 그 중 다수는 웹 애플리케이션과 네트워크를 감염시킬 수 있습니다. 컴퓨터에 설치하기 전에 게시자의 진위를 확인하면 위협 행위자가 알려지지 않은 취약점을 악용할 가능성을 줄일 수 있습니다.
-
클라우드 및 온프레미스 애플리케이션 모두 허용 목록에 포함&
온프레미스 및 클라우드 기반 애플리케이션 모두 검토하기
온프레미스 및 클라우드 기반 애플리케이션을 모두 검토하면 허용 목록이 모든 기반을 포괄하도록 보장하는 데 도움이 됩니다. 철저한 소프트웨어 인벤토리는 모든 엔드포인트와 서버의 모든 애플리케이션 및 프로세스에 대한 완전한 가시성을 제공해야 합니다.
이러한 정보를 통해 보안 팀은 무단 애플리케이션이나 오래된 소프트웨어를 식별하는 데 더 나은 위치에 있을 수 있습니다.& -
허용 목록 업데이트하기
워크플로우 중단을 방지하려면 허용 목록을 지속적으로 업데이트하는 것이 중요합니다. 개발자들은 구버전의 취약점으로 인해 애플리케이션 업데이트 버전을 자주 출시하므로, 허용 목록을 업데이트하면 최신 소프트웨어 버전과 일치하도록 보장하는 데 도움이 됩니다.
허용 목록을 정기적으로 업데이트하지 않으면 애플리케이션이 효과적으로 작동하지 못해 손상이나 중단이 발생할 수 있습니다. -
추가적인 사이버 보안 조치 활용
오늘날, 역동적인 위협 행위자로부터 시스템과 네트워크를 방어하기 위해서는 하나의 사이버 보안 방법 이상을 배포해야 합니다. 다양한 보안 기술을 구현하는 것이 강력한 방어를 보장하는 최선의 방법입니다.
애플리케이션 허용 목록에만 의존하기보다는 DNS 필터링, 이메일 보안, 패치 관리, 안티바이러스, 및 확장 탐지 및 대응 플랫폼을 추가하여 잠재적 취약점을 보완하십시오.
다행히 애플리케이션 허용 목록 방식은 일반적으로 다른 사이버 보안 조치와 잘 통합되므로, 조직은 고유한 네트워크와 시스템에 맞춰 다양한 도구를 결합할 수 있습니다.
애플리케이션 허용 목록 방식의 예시 및 사용 사례
애플리케이션 허용 목록은 네트워크 보안을 유지하기 위한 사전 예방적인 방법이며, 주요 목적은 애플리케이션 액세스 제어를 제공하는 것입니다. 그러나 조직은 다음과 같은 다른 목적으로도 애플리케이션 허용 목록 도구를 사용할 수 있습니다.
- 소프트웨어 인벤토리 생성: 대부분의 애플리케이션 허용 목록 기술은 조직이 엔드포인트 및 서버에 설치된 애플리케이션과 애플리케이션 버전의 목록을 유지하는 데 도움이 됩니다. 소프트웨어 인벤토리는 조직이 무단 애플리케이션(예: 라이선스 미취득, 금지, 구형, 알 수 없음 또는 수정된 애플리케이션)을 신속하게 식별하는 데 도움이 될 수 있습니다. 클라우드 기반 및 온프레미스 애플리케이션에 대한 가시성은 포렌식 조사도 지원할 수 있습니다.
- 파일 무결성 모니터링: 많은 애플리케이션 허용 목록 도구는 애플리케이션 파일 변경 시도를 지속적으로 모니터링할 수 있습니다. 일부 애플리케이션 허용 목록 기술은 파일 변경을 방지할 수 있으며, 다른 도구는 변경 발생 시 즉시 보고할 수 있습니다.
- 사고 대응: 애플리케이션 허용 목록은 조직이 보안 사고에 대응하는 데에도 도움이 될 수 있습니다. 예를 들어, 조직이 악성 파일의 특성을 포착할 수 있다면, 애플리케이션 허용 목록 도구를 사용하여 다른 호스트에서 동일한 파일 이름이 있는지 비교함으로써 해당 호스트가 침해되었는지 여부를 확인할 수 있습니다.
애플리케이션 허용 목록 도구 및 소프트웨어
애플리케이션 허용 목록 도구 도입을 고려하는 조직은 먼저 호스트가 실행될 환경을 분석해야 합니다.
애플리케이션 허용 목록 솔루션은 일반적으로 공격 또는 데이터 노출 위험이 높아 매우 제한적이고 안전한 특수 보안 제한 기능(SSLF) 환경의 호스트에 가장 적합합니다. 또한 애플리케이션 허용 목록 솔루션의 관리 및 유지보수를 위해 전담 인력이 필요하다는 점을 기억하는 것이 중요합니다.
다음으로 조직은 자사 환경에 가장 적합한 애플리케이션 허용 목록 도구를 고려할 수 있습니다. 중앙 관리형 호스트(예: 데스크톱, 노트북, 서버)의 경우 운영 체제에 내장된 애플리케이션 허용 목록 기술이 관리의 상대적 용이성과 최소 비용으로 인해 가장 실용적일 수 있습니다.
내장된 허용 목록 기능이 부적합하거나 사용할 수 없는 경우, 강력한 중앙 집중식 관리 기능을 갖춘 타사 솔루션이 차선책입니다.
애플리케이션 허용 목록 FAQ
애플리케이션 허용 목록은 시스템에서 실행이 허용된 승인된 소프트웨어 프로그램 목록을 생성하는 보안 관행입니다. 이 사전 승인된 목록에 포함된 애플리케이션만 실행될 수 있으며, 그 외 모든 것은 기본적으로 차단됩니다. 이 접근 방식은 모든 악성 프로그램을 차단하려는 기존 보안 방법과 달리, 알려진 정상 프로그램만 허용함으로써 기존 방식을 뒤집습니다. 허용 목록은 운영체제 내장 기능이나 타사 보안 도구를 통해 구현할 수 있습니다.
"허용 목록(Allowlisting)과 화이트리스트(Whitelisting)는 동일한 보안 개념을 가리킵니다. 둘 다 접근이 허용된 승인된 주체 목록을 생성한다는 점에서 동일합니다. 주요 차이점은 용어입니다. "허용 목록(Allowlisting)"은 잠재적으로 문제가 될 수 있는 언어적 연상을 피하기 위해 현재 선호되는 용어입니다. 두 용어 모두 신뢰할 수 있는 애플리케이션, IP 주소 또는 사용자를 명시적으로 허용하면서 그 외 모든 것을 차단하는 관행을 설명합니다.
"애플리케이션 화이트리스트는 실행을 시도하는 모든 프로그램을 승인된 목록과 비교하여 작동합니다. 애플리케이션이 화이트리스트에 등재되어 있으면 정상적으로 실행됩니다. 목록에 없으면 시스템이 자동으로 차단합니다. 이 과정은 디지털 서명, 파일 경로, 암호화 해시 같은 파일 속성을 활용해 프로그램의 신원을 확인합니다. 새 소프트웨어를 설치할 때, 사용자가 실행하기 전에 관리자의 승인이 필요합니다.
"애플리케이션 화이트리스트는 기존 안티바이러스가 탐지하지 못할 수 있는 알려지지 않은 위협으로부터 보호합니다. 이전에 발견된 적이 없는 악성코드라도 실행을 차단합니다. 소프트웨어 사용을 더 효과적으로 통제할 수 있으며, 직원이 승인되지 않은 프로그램을 설치하는 것을 막을 수 있습니다. 또한 규정 준수 요구 사항을 충족하는 데 도움이 되며 시스템의 공격 표면을 줄여줍니다. 민감한 데이터를 보유한 조직은 특히 이 사전 예방적 보안 접근 방식의 혜택을 받습니다.
"아니요, 애플리케이션 화이트리스트와 안티바이러스는 작동 방식이 다릅니다. 바이러스 백신 소프트웨어는 시그니처 데이터베이스를 사용하여 알려진 악성 프로그램을 식별하고 차단합니다. 악성으로 특별히 표시되지 않은 모든 것은 실행을 허용합니다. 화이트리스트는 그 반대입니다. 특별히 승인되지 않은 모든 것을 차단합니다. 바이러스 백신은 사후 대응적인 반면, 화이트리스트는 사전 예방적입니다. 계층적 보안 보호를 위해 두 가지를 함께 사용할 수 있습니다.
"화이트리스트는 승인된 프로그램만 허용하는 반면, 블랙리스트는 알려진 악성 프로그램만 차단합니다. 블랙리스트는 차단 목록에 포함된 항목을 제외하고 기본적으로 모든 것을 허용합니다. 화이트리스트는 승인된 항목을 제외하고 기본적으로 모든 것을 차단합니다. 블랙리스트 방식은 새로운 위협이 등장할 때마다 지속적인 업데이트가 필요합니다. 화이트리스트 방식은 더 강력한 보안을 제공하지만 초기 설정 작업이 더 많이 필요합니다. 선택은 보안 요구사항과 운영 조건에 따라 달라집니다.
"보안 요구 사항이 높은 조직은 애플리케이션 화이트리스트를 사용해야 합니다. 정부 기관, 금융 기관, 의료 서비스 제공자가 일반적으로 이를 구현합니다. 민감한 데이터를 처리하거나 엄격한 규정 준수 요구 사항에 직면한 기업이 가장 큰 혜택을 받습니다. 산업 제어 시스템 및 중요 인프라 운영자도 화이트리스트를 사용합니다.
"