08Autonomous — 6개 프로파일과 구성Autonomous — 6개 프로파일과 구성
Autonomous Threat Prevention 은 Custom과 정반대 철학입니다. 잣대를 손수 조정하는 대신, 용도별로 미리 만들어진 프로파일 하나를 고르면 정책이 자동으로 만들어집니다. 관리자는 "내 게이트웨이가 어떤 자리에 있는가"만 판단해 그에 맞는 프로파일을 고르면 되고, 어떤 보호 기술을 어떤 강도로 켤지는 Check Point가 미리 정해 둔 조합이 알아서 결정합니다. 이 장은 Autonomous를 켜고, 6개 프로파일 중 하나를 고르고, 정책을 설치하기까지의 전 과정 과, 그 뒤에 손볼 수 있는 예외·배포·파일 보호·모니터링까지 빠짐없이 풀어 둡니다.
전체 흐름 한눈에
본격적인 설명에 앞서, Autonomous를 적용하는 큰 줄기는 다음 네 단계입니다.
- Security Gateway / Cluster 오브젝트에서 Autonomous Threat Prevention을 켭니다.
- 필요한 Autonomous 프로파일을 고릅니다 — 이 선택만으로 정책이 자동 생성됩니다.
- (선택) 고급 Threat Prevention 설정을 손봅니다 — 아래에서 자세히 다룹니다.
- Autonomous Threat Prevention 정책을 설치합니다.
3단계의 "고급 설정"은 한 곳이 아니라 여러 화면에 흩어져 있습니다. 어디서 무엇을 다루는지 미리 알아 두면 길을 잃지 않습니다.
- Security Gateway / Cluster 오브젝트 — Threat Prevention 소프트웨어 블레이드와 기능별 설정
- Security Policies 뷰 > Threat Prevention > Autonomous Policy — File Protections(파일 보호)와 Settings(설정)
- Security Policies 뷰 > Threat Prevention > Exceptions — 예외
- Security Policies 뷰 > Threat Prevention > Autonomous Policy — 화면 안의 Autonomous Policy Tools 영역
- Security Policies 뷰 > HTTPS Inspection — HTTPS 검사
- Manage & Settings 뷰 > Blades > Threat Prevention > Advanced Settings — 고급 설정
- Security Gateway / 각 Cluster Member의 명령줄 — 구성 명령·파일(예: SSH Deep Inspection)
이제 단계별로 짚어 보겠습니다.
6개 프로파일
Autonomous는 상황에 맞춰 고르는 6개 프로파일 을 제공합니다. 각 프로파일은 한 줄 설명만으로도 "어디에 쓰는 것인지"가 분명히 드러나도록 이름이 붙어 있습니다.
| 프로파일 | 성격 | 설명 |
|---|---|---|
| Recommended for Perimeter(기본값) | 경계 게이트웨이 — 최적 보안 | 사이버 공격을 막기 위한 경계 게이트웨이용 최적(Optimized) 보안. 웹을 탐색하는 사용자, 데이터센터, 수신 메일, FTP를 보호합니다. 기본 프로파일 이며, 한 게이트웨이에 여러 보호가 동시에 필요할 때 (예: 경계 보호와 내부망 보호를 함께) 권장됩니다. |
| Strict Security for Perimeter | 경계 게이트웨이 — 최대 보안 | 사이버 공격을 막기 위한 경계 게이트웨이용 최대(Maximum) 보안. 보호 대상은 위와 같지만(웹·데이터센터·수신 메일·FTP) 강도가 더 셉니다. |
| Cloud/Data Center | 데이터센터 — 최적 보안 | 데이터센터를 노린 공격을 막는 최적 보안. 서버와 east–west(동–서) 트래픽 을 폭넓게 보호합니다. |
| Internal Network | 내부망 — 최대 보안 | 내부 사용자와 내부 서버 사이 의 내부 트래픽에 대한 공격을 막는 최대 보안. |
| Recommended for Guest Network | 게스트망 — Detect 모드 | 게스트(Wi-Fi) 망을 통한 공격 시도를 비침습적으로(차단하지 않고) 모니터링 하는 "Detect 모드" 프로파일. |
| Monitor | 모니터링 — Detect 모드 | 로그와 리포트 생성용 "Detect 모드" 프로파일. |
여기서 "Detect 모드"라는 말이 핵심입니다. Recommended for Guest Network 와 Monitor 두 프로파일은 위협을 차단(Prevent/Block)하지 않고 탐지(Detect)해 기록만 합니다. 트래픽을 끊지 않으니 운영에 영향을 주지 않으면서도, 어떤 위협이 오가는지 로그로 관찰할 수 있습니다.
프로파일별로 어떤 기술이 켜지는가
각 프로파일은 업계 최고 수준의 여러 보호 기술 을 용도에 맞게 조합합니다. 원문은 이 기술들이 6개 프로파일에서 각각 켜지는지를 표로 정리해 두었으며, 표의 가로축에 놓이는 기술과 그 역할은 다음과 같습니다.
| 기술 | 하는 일 |
|---|---|
| IPS Protections | 선도적 성능과 무제한 확장을 갖춘 통합 침입 방지 시스템(IPS). 네트워크 기반 공격에 대한 고급 보호를 구현하며, 서버·엔드포인트·산업용 시스템·IoT까지 모든 IT 시스템을 보호합니다. |
| File & URL Reputation | 파일과 URL의 평판을 ThreatCloud 저장소 를 통해 확인합니다. |
| ThreatCloud | Check Point의 전 세계 위협 센서 네트워크를 활용한 클라우드 기반 실시간 글로벌 위협 인텔리전스. |
| Sandbox | 의심스러운 파일을 회피에 강한 샌드박스에서 실행 하고 고급 AI 기법을 적용해, 알려지지 않은 제로데이·고급 다형성(polymorphic) 공격을 막습니다. |
| Sanitization (CDR) | 들어오는 파일을 사용자에게 전달하기 전에 정화(sanitize) 해, 제로데이 미지 공격을 사전에 능동적으로 차단합니다. |
| C&C protection | 네트워크에서 감염·침해된 장치를 탐지하고, 멀웨어의 명령·제어(Command & Control, C&C) 통신을 차단 해 피해를 막습니다. |
| Zero Phishing | 업계 선도 머신러닝 알고리즘과 특허 검사 기술을 활용해, 웹사이트의 알려지지 않은 제로데이 피싱과 알려진 피싱 공격을 실시간으로 막습니다. 원문 표에는 URL 기반 Zero Phishing과 In-browser Zero Phishing이 별도 항목으로도 나뉘어 있습니다. |
1단계 — Security Gateway에서 Autonomous 켜기
먼저 대상 게이트웨이에서 Autonomous Threat Prevention 기능을 활성화합니다.
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole에서 Gateways & Servers 뷰로 가서 대상 Security Gateway를 오른쪽 클릭합니다. |
| 2 | General Properties 페이지에서 Threat Prevention 탭으로 이동해 Autonomous Threat Prevention 을 선택합니다. |
2단계 — Autonomous 정책(프로파일) 만들기
프로파일을 고르는 것이 곧 정책을 만드는 것입니다.
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole에서 Security Policies > Autonomous Threat Prevention > Policy 로 이동합니다. |
| 2 | 기본 프로파일 이름을 클릭하면 프로파일 목록이 보입니다. 거기서 원하는 프로파일을 고릅니다. 무엇을 골라야 할지 모르겠다면, 프로파일 이름 옆 드롭다운 화살표를 누르고 드롭다운 목록에서 Help me decide 를 선택합니다. |
| 3 | Help me decide 를 누르면 프로파일 사이의 차이를 정리한 표 가 열립니다. 이 표를 보고 환경에 가장 잘 맞는 프로파일을 고릅니다. |
| 4 | OK 를 누릅니다. |
3단계 — Autonomous 정책 설치하기
프로파일을 골랐으면 정책을 게이트웨이에 설치합니다.
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole 툴바에서 Install Policy 를 선택합니다. Install Policy 창이 열립니다. |
| 2 | Threat Prevention 을 선택합니다. |
| 3 | 정책을 설치할 게이트웨이 대상을 고릅니다. |
| 4 | Install 을 누릅니다. |
게이트웨이마다 다른 프로파일 쓰기
게이트웨이마다 서로 다른 Autonomous 프로파일을 적용할 수 있습니다. 다만 한 정책 패키지에는 하나의 Autonomous 프로파일만 담기므로, 게이트웨이별로 새 정책 패키지를 만들어야 합니다. 절차는 다음과 같습니다.
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole에서 새 정책 패키지를 만듭니다. 메인 메뉴의 드롭다운 화살표를 눌러 Manage policies and layers 를 선택하면 창이 열립니다. New 를 눌러 새 정책 패키지를 구성합니다. (정책 패키지에 대한 자세한 내용은 R82 Security Management Administration Guide 참고) |
| 2 | 그 패키지에서 원하는 Autonomous 프로파일을 고릅니다(위 "2단계 — Autonomous 정책 만들기"와 동일). |
| 3 | 해당 Security Gateway에 Threat Prevention 정책을 설치합니다(위 "3단계 — Autonomous 정책 설치하기"와 동일). |
예외(Exceptions)
특정 보호를 차단·탐지에서 빼거나 추적(tracking) 설정을 다르게 주고 싶을 때 예외를 씁니다. Global exceptions(전역 예외) 는 Autonomous로 구성된 게이트웨이와 Custom 정책 게이트웨이 모두 가 쓸 수 있습니다. 게다가 Autonomous로 마이그레이션하기 전에 이미 존재하던 전역 예외는 별도 작업 없이 Autonomous에서도 그대로 적용 됩니다.
Autonomous 정책에 전역 예외를 추가하는 방법은 이렇습니다.
- Security Policies 뷰 > Threat Prevention > Exceptions > Global Exceptions 로 이동합니다.
- 필요한 예외를 추가합니다.
- Install On 열에서 각 예외를 적용할 게이트웨이를 선택합니다.
배포(Deployment) — 점진적으로 적용하기
Deployment Dashboard 뷰는 정책을 한꺼번에 거는 대신 점진적으로 배포 하도록 도와줍니다. 먼저 이 대시보드는 다음 상태를 보여 줍니다.
- HTTPS Inspection이 비활성화된 게이트웨이
- Zero Phishing을 지원하지 않는 게이트웨이(R81.10 이하 버전)
- FQDN이 구성되지 않은 게이트웨이(FQDN 구성은 Zero Phishing에만 필요)
그리고 네트워크에 정책을 단계적으로 적용할 수 있도록 다음 세 가지 보호 모드 를 제공합니다.
| 모드 | 동작 |
|---|---|
| According to profile | Threat Prevention 프로파일의 설정이 오브젝트에 적용됩니다. 기본적으로 모든 트래픽이 이 모드로 보호되며, 이것이 권장값 입니다. |
| No Protection | 오브젝트가 선택한 프로파일의 보호를 받지 않습니다. 트래픽이 허용되고 로그도 남지 않습니다. |
| Detect only | 트래픽은 허용되지만, 프로파일 설정에 따라 로그는 남습니다. |
점진 배포가 필요하면 특정 네트워크 오브젝트를 Detect only 에 넣어 영향을 관찰하다가, 짧은 시범 기간이 지난 뒤 According to profile 로 옮기는 것이 권장 됩니다.
기본 상태에서는 No Protection 과 Detect Only 열이 비어 있고, According to Profile 열에는 Any 오브젝트 하나가 들어 있습니다. No Protection 이나 Detect Only 열에 오브젝트를 추가하면, According to Profile 열의 오브젝트가 Any 에서 All Other 로 바뀝니다(나머지 전부라는 뜻).
파일 보호(File Protections)
File Protections 페이지에서는 두 가지를 할 수 있습니다.
- 선택한 Autonomous 프로파일이 어떤 파일 형식을 어떤 방식으로 보호하는지 확인
- 프로파일이 권장하는 파일 보호를 재정의(override) 해 다른 보호로 바꾸기
설정 방법은 간단합니다.
- Threat Prevention > Autonomous Threat Prevention > File Protections 로 이동합니다.
- + 기호를 눌러 원하는 보호를 구성합니다.
고를 수 있는 보호는 네 가지입니다.
| 보호 | 작동하는 기술 |
|---|---|
| Inspect | File Reputation, ThreatCloud, Sandbox가 작동합니다. Sandbox 열에서 Sandbox가 켜진 것을 확인할 수 있습니다. |
| Inspect & Clean | File Reputation, ThreatCloud, Sandbox에 더해 Sanitization(CDR) 까지 작동합니다. 역시 Sandbox 열에서 Sandbox가 켜진 것을 볼 수 있습니다. |
| Block | 파일을 차단합니다. |
| Bypass | 파일을 검사하지 않습니다. |
설정(Settings)
정화된 파일 설정 (Sanitized File Settings)
파일이 정화(CDR)된 뒤 어떻게 다룰지를 정하는 옵션으로, 다음 두 가지가 기본으로 선택 되어 있습니다.
- Allow end-users to access the original files that are not malicious according to Sandbox — 파일이 정리·정화되면 문서에 원본 파일로 가는 링크가 담긴 배너 가 추가됩니다. 단, 원본 접근은 Sandbox를 포함한 모든 Threat Prevention 엔진이 그 파일을 양성(benign)으로 판정했을 때만 허용됩니다. 이 옵션을 끄면 원본이 비악성으로 판정되더라도 원본에 접근할 수 없습니다.
- Modify the name of the cleaned file — 정화된 파일의 이름을 바꾸려면 이 옵션을 선택합니다.
고급 설정 (Advanced Settings)
프로파일의 정의를 재정의해 특정 기능·보호를 개별적으로 켜거나 끌 수 있습니다. 예컨대 이 도구로 DNS 보호를 켜고 끕니다.
ThreatCloud 연결 — 켜 두기를 권장
파일을 에뮬레이션을 위해 ThreatCloud 서비스로 보내면, 네트워크가 최신 위협 정보와 운영체제 환경을 받아 옵니다. ThreatCloud 연결은 기본으로 켜져 있으며, 많은 관리 기능을 제공하므로 켜 두기를 권장 합니다. 그래도 이 연결을 막고 싶다면 기본 설정을 바꿀 수 있습니다.
ThreatCloud 연결을 막는 방법:
| 단계 | 할 일 |
|---|---|
| 1 | 메뉴 바에서 Global Properties 를 클릭합니다. |
| 2 | 탐색 트리에서 Data Access Control 로 이동합니다. |
| 3 | Help Check Point Improve the product by sending anonymous information 의 선택을 해제합니다. |
| 4 | SmartConsole 세션을 Publish 합니다. |
| 5 | SmartConsole을 재시작합니다. |
| 6 | 정책을 설치합니다. |
모니터링과 Overview
Logs & Events로 관찰하기
Logs & Events 페이지에서 Threat Prevention 트래픽 관련 로그를 봅니다. 여기에 쌓이는 데이터를 활용하면 환경 안에서 소프트웨어 블레이드가 어떻게 쓰이는지 이해 하고 효과적인 Rule Base를 만들 수 있습니다. 이 페이지에서 Rule Base를 직접 갱신 할 수도 있습니다. 또한 특정 보호를 차단·탐지하거나 추적 설정을 다르게 주는 예외를 더 추가 할 수 있습니다.
Overview 섹션
Autonomous Threat Prevention 뷰의 Overview 섹션은 Autonomous가 멀웨어 공격을 어떻게 처리하는지 알려 줍니다. 삭제·검사·샌드박스 처리된 파일의 개수와, 공격 차단에 관한 그 밖의 정보를 보여 줍니다.
Overview가 보여 주는 각 동작 유형의 로그를 직접 보려면, Logs & Events 뷰 > Logs 또는 Logs & Events > SmartView > Logs 뷰에서 아래 쿼리를 입력합니다.
검사한 파일(Inspected Files):
'(blade:"Anti-Virus" AND file_name:*) OR (blade:"Threat Emulation"
AND NOT verdict:Error) AND action:(Accept OR Allow OR Block OR
Detect OR Drop OR "HTTPS Inspect" OR Inspect OR Prevent OR
Reject)'샌드박스 처리한 파일(Sandboxed Files):
'blade:"Threat Emulation" AND NOT verdict:Error AND action:(Accept
OR Allow OR Block OR Detect OR Drop OR "HTTPS Inspect" OR Inspect
OR Prevent OR Reject)'정화한 파일(Sanitized Files):
'blade:"Threat Extraction" AND action:Extract'차단한 악성 파일(Blocked Malicious Files):
'((blade:"Threat Emulation") OR (blade:"Anti-Virus" AND
"signature") OR (blade:IPS AND (("Adobe Reader Violation" OR
"Content Protection Violation" OR "Instant Messenger" OR "Adobe
Flash Protection Violation")))) AND action:(Block OR Drop OR
Prevent)'탐지한 악성 파일(Detected Malicious Files):
'(blade:"Anti-Virus" AND file_name:*) OR (blade:"Threat Emulation"
AND NOT verdict:Error) AND action:Detect'악성 사이트 접근 차단(Blocked Attempts To Access Malicious Sites):
'NOT SMTP AND action:(Block OR Drop OR Prevent) and ((blade:IPS
AND ("Adobe Flash Protection Violation" OR "Adobe Shockwave
Protection Violation" OR "Web Client Enforcement Violation" OR
"Exploit Kit")) OR (blade:"Anti-Virus" AND ("URL Reputation" OR
"DNS Reputation")))'탐지한 피싱 시도(Detected Phishing Attempts):
'blade:"Zero Phishing" AND action:(Detect)'차단한 피싱 시도(Blocked Phishing Attempts):
'blade:"Zero Phishing" AND action:(Prevent)'정리
Custom이 "직접 조립"이라면 Autonomous는 "용도를 고르면 끝" 입니다. 게이트웨이에서 Autonomous를 켜고, 6개 프로파일 중 자리에 맞는 하나를 고르고, 정책을 설치하는 세 동작이 기본 골격이며, 그 위에 예외·배포 모드·파일 보호·정화 설정·ThreatCloud 연결을 필요에 따라 얹습니다. 블레이드별 세부 조정은 Autonomous — 블레이드별 설정에서 이어집니다. 단 MTA처럼 Autonomous가 지원하지 않는 기능은 Custom으로 전환해야 합니다.